15. juni 2021  |   TEMA  |   Det smarte hjem

Hvidevarer på nettet kan rammes af hackere

Når køleskabet, robotstøvsugeren og utallige andre apparater kobles på nettet, bliver de principielt sårbare over for hackerangreb. Men hvor bekymrede skal vi være? Og hvad kan vi gøre for at sikre os – både som producenter og forbrugere? Vi spurgte chefen for Center for Cybersikkerhed (CFCS), Thomas Lund-Sørensen.

Det smarte hjem
15. juni 2021  |   af Søren Bang Hansen

Hvordan vurderer CFCS truslen fra “smarte” hvidevarer og husholdningsapparater?

Internetopkoblede hvidevarer og forbrugerelektronik kan misbruges, hvis kriminelle inficerer dem med skadelig software, generelt kaldet malware. De enheder, du har i hjemmet, vil for eksempel kunne indgå i såkaldte botnet. Det vil sige, at de blandt andet kan bruges til at levere computerkraft til et DDoS-angreb (Distributed Denial of Service), der lægger en hjemmeside ned, eller til at udsende spam.

De kan også bruges af kriminelle til at udvinde kryptovaluta, hvor du betaler for strømmen.

Set fra en samfundsmæssig vinkel er truslen for misbrug i forbindelse med et “botnet” formentlig det mest sandsynlige scenarie.

CENTER FOR CYBERSIKKERHED

• Er en del af Forsvarets Efterretningstjeneste.
• Har hovedkvarter på Kastellet i København.
• Ledes af Thomas Lund-Sørensen, der har mange års erfaring fra Udenrigstjenesten og Forsvarets Efterretningstjeneste. Han har bl.a. arbejdet som ambassadør i Jordan og som regeringens særlige udsending til Libyen under oprøret mod Gaddafi.
• Læs mere om centerets arbejde, og se de aktuelle sikkerhedsvarsler og trusselsvurderinger, på: cfcs.dk.

Er der eksempler på, at hackere har udnyttet svagheder i denne type apparater?

Ikke hvidevarer eller husholdningsprodukter, men i oktober 2016 rapporterede den amerikanske netudbyder Dyn, at selskabets serverinfrastruktur i USA var udsat for et DDoS-angreb. Det vil sige et angreb, hvor man overbelaster offerets infrastruktur i så stort et omfang, at den bliver utilgængelig. Det var det kraftigste DDoS-angreb, internettet nogensinde havde været udsat for, og det påvirkede mange store tjenesteleverandører som fx Amazon Web Services. Også Netflix, Spotify, Paypal og den norske regerings hjemmeside blev utilgængelige i en periode.

Mirai-botnettet, som dette angreb efterfølgende er blevet døbt, udnyttede sårbarheder i IoT-enheder (Internet of Things) – fx digitale tv-bokse og wi-firoutere.

Hvad er formålet med sådan et angreb?

Når den internet-opkoblede enhed er indlemmet i et botnet, kan den benyttes til “crime as a service”, hvor kriminelle på “the dark web” blandt andet sælger DDoS-angreb, som var det en almindelig legitim webshop. Denne form for angreb sker stadig i dag, og der tjenes penge på det.

Der er ikke kendte eksempler på, at hvidevarer har været anvendt, men andre enheder i smarte hjem, som for eksempel overvågningskameraer, er blevet udnyttet på denne måde af kriminelle.

Er der særlige svagheder i produkternes konstruktion, som producenterne bør rette op på?

Der har i tidens løb været enkelte tilfælde af sårbarheder i hvidevarer, hvor hackere har kunnet få adgang til udstyret eller adgang til oplysninger om en e-mailkonto, men inden for de seneste par år har der ikke været offentligt beskrevne hændelser. Man kan pege på fire typiske sårbarheder i IoT-produkter:

1. Standard-password. Det vil sige, at der er et enkelt eller nogle få adgangskoder, som er sat fra fabrikanten. Hvis man kender disse koder, kan man få adgang til udstyret. Derfor er det vigtigt, at fabrikanten sætter unikke adgangskoder på udstyret og sørger for, at brugeren skifter adgangskoden i forbindelse med opsætningen.

2. Manglende sikkerhedsopdateringer. Problemet opstår, fordi producenten af udstyret ikke har en funktion, der sørger for, at softwaren i udstyret kan få sikkerhedsopdateringer, når der opdages sikkerhedshuller i softwaren. Hvidevarer og visse typer forbrugerelektronik er beregnet til at blive brugt i mere end 10 år. Det er derfor et problem, hvis producenten ikke sørger for at opdatere softwaren i hele produktets levetid.

3. Usikker kommunikation – for eksempel i form af manglende kryptering eller dårlig håndtering af certifikater. Hvis et apparat kommunikerer med producentens tjenester via internettet uden kryptering, kan alle i princippet læse den information, der udveksles mellem kundens apparat og producentens system.

4. Eksponering af porte til services, der ikke benyttes, men alligevel er der. Problemet kan opstå, fordi softwaren er en “standard embedded Linux”. Det betyder, at den software, producenten har lagt ind i apparatet, har nogle funktioner, som apparatet ikke skal bruge. Men disse funktioner kan have sikkerhedshuller, som kan misbruges til at installere malware på apparatet. Derfor er det vigtigt, at producenten enten som standard fjerner funktioner, der ikke skal bruges, eller giver brugeren en nem mulighed for at gøre det under opsætningen. Hvis man ønsker at bevare funktionerne i tilfælde af, at de kan bruges til fremtidig funktionalitet, kan man slå dem fra som standard i produktet og give mulighed for at åbne for dem senere.

Er der andet, vi kan gøre som leverandører af netforbundne apparater?

Det bør være nemt for kunden at se, om der er opdateringer tilgængelige for produktet. Tilsvarende bør kunden let kunne se, om produktet ikke længere opdateres fra producentens side. Fra leverandørens side bør det sikres, at ingen online-funktioner er aktiveret uden, at kunden specifikt har aktiveret dem. Leverandøren bør også sikre, at brugernavne og adgangskoder aktivt ændres af brugeren, før produktet tages i brug, så man undgår standardkoder.

Og så bør det være muligt, på en let tilgængelig måde, at slukke for online-funktionaliteten – for eksempel i forbindelse med ferier.

GODE RÅD TIL FORBRUGEREN

Thomas Lund-Sørensen har disse råd til, hvad man selv kan gøre for at sikre hjemmets apparater mod ubudne gæster:

• Aktiver kun de online-funktioner, du faktisk har brug for. Mange apparater har indbyggede muligheder, som de færreste udnytter. Der er ingen grund til at lade unødvendige døre stå åbne for hackere.
• Hold altid enheden opdateret. Ideelt bliver apparatet opdateret automatisk fra producenten, men ligesom med pc’er og mobiltelefoner bør man jævnligt kontrollere, om der findes opdateringer fra producenten, som mangler at blive installeret.
• Køb produkter fra anerkendte brands, der holder deres produkter opdateret. Vi er stadig i en tidlig fase af internetopkoblede husholdningsapparater, men ligesom det er vigtigt for forbrugere at sætte sig ind i for eksempel energiforbruget og den forventede levetid for de elektriske og mekaniske dele, så bør man også se på, om producenten holder softwaren opdateret i hele produktets levetid.
• Brug ikke samme password på dine enheder. Når man sætter en app op til at styre sin internetopkoblede vaskemaskine, bør man bruge en adgangskode, man ikke bruger andre steder. På den måde risikerer man ikke, at et læk hos en anden tjeneste, hvor man har brugt samme adgangskode, kan udnyttes til at sætte gang i en uventet kogevask!
• Hvis det kan lade sig gøre at slukke for enheden, når den ikke er i brug, kan dette mindske risikoen for, at produktet misbruges. Det er ikke relevant for alle husholdningsapparater eller hvidevarer, men man kan også vælge at koble dem fra internettet, når man ikke bruger internetfunktionerne.


Thomas Lund-Sørensen har siden 2012 været chef for Center for Cybersikkerhed ved Forsvarets Efterretningstjeneste

cybersikkerhed | smart home | thomas lund-sørensen
Del på

Tilmeld dig automatisk advisering om nyheder fra Hvidvare-Nyt - klik her
Læs også....
Nyhed fra Thermex

Ventiler styres efter behov
Med Ventmex-programmet tilbyder Thermex en løsning i form af ventiler. Når emhætten tændes, lukkes ventilen i badeværelset til et minimum, så suget koncentreres i emhætten.

Totalt tjek på temperaturen
ASKO Celsius Cooking er meget mere end blot endnu en induktionskogeplade. Gryderne har indbygget temperatursensor, som kommunikerer med kogepladen og den tilhørende app.

Hvor smart er det smarte hjem?
Den teknologiske udvikling betyder, at stadig mere kan lade sig gøre. Netop derfor kan både producenter og forbrugere måske med fordel tænke lidt dybere over, hvor vi selv trækker grænsen mellem ”need to have”, ”nice to have” – og ”arj, det der er altså for fjollet”.

Nyt hvidevare-brand lanceres i Danmark
Hisense er ikke noget kendt navn blandt danske forbrugere, men det kan det snart blive. De kommende måneder lancerer Gorenje Group Nordic en bred vifte af produkter med Hisense-logoet på fronten.

Endnu smartere rengøring
iRobot har fået en softwareopdatering og tilretter rengøringen til din hverdag. Også gulvvaskeren Braava jet m6 har lært nye tricks.

Kenwoods kloge multimaskine
Ælte, piske eller smelte? Opgaven vælges let på den indbyggede touch-skærm.

Flere muligheder med Home Connect
Bosch og Siemens hvidevarer kan betjenes af appen Home Connect. Madopskrifter kan overføres til ovnen, som tilpasser sig automatisk.

Miele: Ovn med “madgenkendelse” får verdenspremiere i Danmark
Miele har udviklet to nye ovn-finesser, som firmaet i første omgang har valgt at teste på det danske marked. Den første finesse hedder Smart Food ID og fungerer ligesom mobilens ansigtsgenkendelse – bare med mad. Den anden nye finesse hedder Smart browning control, og den er specifikt rettet mod den evigt populære livret: pizza!

Smart på Skolebænken
AARHUS UNIVERSITET indbudt branchefolk til en tur på skolebænken omkring smart home produkter og services.