15. juni 2021  |   Trends  |   Det smarte hjem

Hvidevarer på nettet kan rammes af hackere

Når køleskabet, robotstøvsugeren og utallige andre apparater kobles på nettet, bliver de principielt sårbare over for hackerangreb. Men hvor bekymrede skal vi være? Og hvad kan vi gøre for at sikre os – både som producenter og forbrugere? Vi spurgte chefen for Center for Cybersikkerhed (CFCS), Thomas Lund-Sørensen.

Det smarte hjem
15. juni 2021  |   af Søren Bang Hansen

Hvordan vurderer CFCS truslen fra “smarte” hvidevarer og husholdningsapparater?

Internetopkoblede hvidevarer og forbrugerelektronik kan misbruges, hvis kriminelle inficerer dem med skadelig software, generelt kaldet malware. De enheder, du har i hjemmet, vil for eksempel kunne indgå i såkaldte botnet. Det vil sige, at de blandt andet kan bruges til at levere computerkraft til et DDoS-angreb (Distributed Denial of Service), der lægger en hjemmeside ned, eller til at udsende spam.

De kan også bruges af kriminelle til at udvinde kryptovaluta, hvor du betaler for strømmen.

Set fra en samfundsmæssig vinkel er truslen for misbrug i forbindelse med et “botnet” formentlig det mest sandsynlige scenarie.

CENTER FOR CYBERSIKKERHED

• Er en del af Forsvarets Efterretningstjeneste.
• Har hovedkvarter på Kastellet i København.
• Ledes af Thomas Lund-Sørensen, der har mange års erfaring fra Udenrigstjenesten og Forsvarets Efterretningstjeneste. Han har bl.a. arbejdet som ambassadør i Jordan og som regeringens særlige udsending til Libyen under oprøret mod Gaddafi.
• Læs mere om centerets arbejde, og se de aktuelle sikkerhedsvarsler og trusselsvurderinger, på: cfcs.dk.

Er der eksempler på, at hackere har udnyttet svagheder i denne type apparater?

Ikke hvidevarer eller husholdningsprodukter, men i oktober 2016 rapporterede den amerikanske netudbyder Dyn, at selskabets serverinfrastruktur i USA var udsat for et DDoS-angreb. Det vil sige et angreb, hvor man overbelaster offerets infrastruktur i så stort et omfang, at den bliver utilgængelig. Det var det kraftigste DDoS-angreb, internettet nogensinde havde været udsat for, og det påvirkede mange store tjenesteleverandører som fx Amazon Web Services. Også Netflix, Spotify, Paypal og den norske regerings hjemmeside blev utilgængelige i en periode.

Mirai-botnettet, som dette angreb efterfølgende er blevet døbt, udnyttede sårbarheder i IoT-enheder (Internet of Things) – fx digitale tv-bokse og wi-firoutere.

Hvad er formålet med sådan et angreb?

Når den internet-opkoblede enhed er indlemmet i et botnet, kan den benyttes til “crime as a service”, hvor kriminelle på “the dark web” blandt andet sælger DDoS-angreb, som var det en almindelig legitim webshop. Denne form for angreb sker stadig i dag, og der tjenes penge på det.

Der er ikke kendte eksempler på, at hvidevarer har været anvendt, men andre enheder i smarte hjem, som for eksempel overvågningskameraer, er blevet udnyttet på denne måde af kriminelle.

Er der særlige svagheder i produkternes konstruktion, som producenterne bør rette op på?

Der har i tidens løb været enkelte tilfælde af sårbarheder i hvidevarer, hvor hackere har kunnet få adgang til udstyret eller adgang til oplysninger om en e-mailkonto, men inden for de seneste par år har der ikke været offentligt beskrevne hændelser. Man kan pege på fire typiske sårbarheder i IoT-produkter:

1. Standard-password. Det vil sige, at der er et enkelt eller nogle få adgangskoder, som er sat fra fabrikanten. Hvis man kender disse koder, kan man få adgang til udstyret. Derfor er det vigtigt, at fabrikanten sætter unikke adgangskoder på udstyret og sørger for, at brugeren skifter adgangskoden i forbindelse med opsætningen.

2. Manglende sikkerhedsopdateringer. Problemet opstår, fordi producenten af udstyret ikke har en funktion, der sørger for, at softwaren i udstyret kan få sikkerhedsopdateringer, når der opdages sikkerhedshuller i softwaren. Hvidevarer og visse typer forbrugerelektronik er beregnet til at blive brugt i mere end 10 år. Det er derfor et problem, hvis producenten ikke sørger for at opdatere softwaren i hele produktets levetid.

3. Usikker kommunikation – for eksempel i form af manglende kryptering eller dårlig håndtering af certifikater. Hvis et apparat kommunikerer med producentens tjenester via internettet uden kryptering, kan alle i princippet læse den information, der udveksles mellem kundens apparat og producentens system.

4. Eksponering af porte til services, der ikke benyttes, men alligevel er der. Problemet kan opstå, fordi softwaren er en “standard embedded Linux”. Det betyder, at den software, producenten har lagt ind i apparatet, har nogle funktioner, som apparatet ikke skal bruge. Men disse funktioner kan have sikkerhedshuller, som kan misbruges til at installere malware på apparatet. Derfor er det vigtigt, at producenten enten som standard fjerner funktioner, der ikke skal bruges, eller giver brugeren en nem mulighed for at gøre det under opsætningen. Hvis man ønsker at bevare funktionerne i tilfælde af, at de kan bruges til fremtidig funktionalitet, kan man slå dem fra som standard i produktet og give mulighed for at åbne for dem senere.

Er der andet, vi kan gøre som leverandører af netforbundne apparater?

Det bør være nemt for kunden at se, om der er opdateringer tilgængelige for produktet. Tilsvarende bør kunden let kunne se, om produktet ikke længere opdateres fra producentens side. Fra leverandørens side bør det sikres, at ingen online-funktioner er aktiveret uden, at kunden specifikt har aktiveret dem. Leverandøren bør også sikre, at brugernavne og adgangskoder aktivt ændres af brugeren, før produktet tages i brug, så man undgår standardkoder.

Og så bør det være muligt, på en let tilgængelig måde, at slukke for online-funktionaliteten – for eksempel i forbindelse med ferier.

GODE RÅD TIL FORBRUGEREN

Thomas Lund-Sørensen har disse råd til, hvad man selv kan gøre for at sikre hjemmets apparater mod ubudne gæster:

• Aktiver kun de online-funktioner, du faktisk har brug for. Mange apparater har indbyggede muligheder, som de færreste udnytter. Der er ingen grund til at lade unødvendige døre stå åbne for hackere.
• Hold altid enheden opdateret. Ideelt bliver apparatet opdateret automatisk fra producenten, men ligesom med pc’er og mobiltelefoner bør man jævnligt kontrollere, om der findes opdateringer fra producenten, som mangler at blive installeret.
• Køb produkter fra anerkendte brands, der holder deres produkter opdateret. Vi er stadig i en tidlig fase af internetopkoblede husholdningsapparater, men ligesom det er vigtigt for forbrugere at sætte sig ind i for eksempel energiforbruget og den forventede levetid for de elektriske og mekaniske dele, så bør man også se på, om producenten holder softwaren opdateret i hele produktets levetid.
• Brug ikke samme password på dine enheder. Når man sætter en app op til at styre sin internetopkoblede vaskemaskine, bør man bruge en adgangskode, man ikke bruger andre steder. På den måde risikerer man ikke, at et læk hos en anden tjeneste, hvor man har brugt samme adgangskode, kan udnyttes til at sætte gang i en uventet kogevask!
• Hvis det kan lade sig gøre at slukke for enheden, når den ikke er i brug, kan dette mindske risikoen for, at produktet misbruges. Det er ikke relevant for alle husholdningsapparater eller hvidevarer, men man kan også vælge at koble dem fra internettet, når man ikke bruger internetfunktionerne.


Thomas Lund-Sørensen har siden 2012 været chef for Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste

cybersikkerhed | smart home | thomas lund-sørensen
Del på

Tilmeld dig automatisk advisering om nyheder fra Hvidvare-Nyt - klik her
Læs også....
Samsung: styr med apps
Det digitale hjem styres af apps - for on-boarding af nye produkter, for energiforbrug og for at slukke produkterne.

En tryggere hverdag
En komfurvagt er en utroligt effektiv måde at forebygge brand på. Læs mere om vores komfurvagt nedenfor.

RørosHetta Sense
Takket være vores nye teknologi, RørosHetta Sense, behøver du ikke at skænke køkkenventilationen en tanke. Du skal bare tænke på madlavningen, så sørger teknologien i emhætten for resten. 11 indbyggede sensorer sørger automatisk for optimal opfangning af mados til enhver tid. Al teknologi er gemt indei emhætten, så du altid kan vælge det design, der passer bedst til dig og dit køkken.

Skæddersøm og frit farvevalg
Vores emhætter er håndlavede produkter, som giver næsten ubegrænsede muligheder for at forme en emhætte efter din personlige stil.

Lyd og støjniveau
Støjforurening er et relativt begreb. Alt fra et jetfly der letter eller din kollega drikker kaffe. I køkkenet er det den larmende emhætte, der kan ødelægge den kulinariske oplevelse, men sådan behøver det ikke være. Vi bliver ofte spurgt, hvad der er vigtigere i forhold til emhætten. Er det sug kapaciteten eller lyden?

Verdens Smarteste Emhætte
Emhætter med RørosHetta Sense er automatiske, svært stillegående og har en helt unik teknologi. Teknologien er innebygget, så emhættens design, udforming og fare kan skræddersys, så den passer ditt kjøkken.

Nyhed fra Thermex

Ventiler styres efter behov
Med Ventmex-programmet tilbyder Thermex en løsning i form af ventiler. Når emhætten tændes, lukkes ventilen i badeværelset til et minimum, så suget koncentreres i emhætten.

Totalt tjek på temperaturen
ASKO Celsius Cooking er meget mere end blot endnu en induktionskogeplade. Gryderne har indbygget temperatursensor, som kommunikerer med kogepladen og den tilhørende app.

Hvor smart er det smarte hjem?
Den teknologiske udvikling betyder, at stadig mere kan lade sig gøre. Netop derfor kan både producenter og forbrugere måske med fordel tænke lidt dybere over, hvor vi selv trækker grænsen mellem ”need to have”, ”nice to have” – og ”arj, det der er altså for fjollet”.

Nyt hvidevare-brand lanceres i Danmark
Hisense er ikke noget kendt navn blandt danske forbrugere, men det kan det snart blive. De kommende måneder lancerer Gorenje Group Nordic en bred vifte af produkter med Hisense-logoet på fronten.


Annonce
Annonce