<strong><b>USIKKERT:</strong> </b>Einar Otto Stangvik har laget søkemotoren Usikkert.no for å vise nordmenn hvor mye som ligger åpent på nettet. Foto: Ole Petter Baugerød Stokke
USIKKERT: Einar Otto Stangvik har laget søkemotoren Usikkert.no for å vise nordmenn hvor mye som ligger åpent på nettet. Foto: Ole Petter Baugerød Stokke Vis mer

Dingsene dine kan ligge åpne på nett

Einar Otto Stangvik har laget verktøyet som finner nordmenns private webkameraer, strømstyring, filservere og skannere.

Publisert
Sist oppdatert

– Hva er dette? Et garasjeanlegg! Her kan jeg åpne og lukke dørene.

Sikkerhetseksperten Einar Otto Stangvik søker videre.

– Og her kan jeg etter sigende skru av noens juletrelys.

Han smiler oppgitt og endrer søkekriteriene.

– Her kan vi ringe ut fra telefonsentralen til et vekterselskap. Og her ser vi gjennom et webkamera.

Stangvik sitter med sin egetutviklede søkemotor Usikkert.no. I motsetning til vanlige søkemotorer som Google, søker den ikke bare etter nettsider, men alle typer enheter som er koblet på internett i Norge. Som garasjeanlegg, strømstyring, telefonsentraler, webkameraer, nettverksdisker, rutere, TV-er, skrivere; alt.

Mye av dette ligger helt åpent, klart for misbruk. Og noen av enhetene kan være dine, uten at du vet det.

Les også: Slik mener Stangvik at nettbank-appene kan utnyttes av hackere

<strong><b>ENKEL Å BRUKE:</strong> </b>Usikkert.no lar brukerne blant annet søke etter bestemte enheter, og for eksempel angi om de bare vil se dem som trolig ikke krever innlogging.
ENKEL Å BRUKE: Usikkert.no lar brukerne blant annet søke etter bestemte enheter, og for eksempel angi om de bare vil se dem som trolig ikke krever innlogging. Vis mer


Dine dingser på internett

I vår tid handler alt som tilgjengelighet. Ikke bare skal du være tilgjengelig , men også alt du eier. Vi vil styre TV-boksen fra mobilen, varmepumpa fra jobben og skriveren fra stua. Dette betyr ofte at dingsene kobles på internett. Et internett som dermed består av langt mer enn bare nettsider.

<strong><b>FORSTERKER:</strong></b> Her er vi inne på forsterkeren til en nordmann. Vi kan styre volumet og endre innstillingene. Foto: OLE PETTER BAUGERØD STOKKE
FORSTERKER: Her er vi inne på forsterkeren til en nordmann. Vi kan styre volumet og endre innstillingene. Foto: OLE PETTER BAUGERØD STOKKE Vis mer


Faktisk er det mulig at noen av dingsene dine er koblet på nett uten at du vet det. Har du en ny forsterker, en moderne printer eller en nettverksdisk? Da er de kanskje koblet på nett alle sammen, selv om du ikke bruker mulighetene det innebærer, som å styre forsterkeren fra nettbrettet. Og kanskje ligger de der uten passord, eller med standardpassordet produsenten har satt.

Det er da det begynner å bli skikkelig farlig, mener Stangvik. For man finner alt sammen fra søkemotoren hans.

– Man tror gjerne at produsentene du betaler tusenvis av kroner har din sikkerhet i høysetet. Men slik er det ikke alltid, sier Stangvik til DinSide.

Åpne kameraer, lysbrytere, filservere

Etter noen timer i Stangviks søkemotor har DinSide funnet et hav av eksempler på de mange ulike enhetene nordmenn har oppkoblet helt uten passordbeskyttelse.

Her ser du noen eksempler, som blir beskrevet under bildeserien:

<strong><b>EN MORS MARERITT:</strong></b> Dette er et webkamera som overvåker en barneseng, hvor alle og enhver kan se direkteoverføring av noens barn. Foto: OLE PETTER BAUGERØD STOKKE
EN MORS MARERITT: Dette er et webkamera som overvåker en barneseng, hvor alle og enhver kan se direkteoverføring av noens barn. Foto: OLE PETTER BAUGERØD STOKKE Vis mer

  • Filservere. Tilhørende både selskaper, lokale radiokanaler og privatpersoner, som inneholder alt fra programvare til private bilder og tilsynelatende sensitive dokumenter.
  • Web-/overvåkningskameraer. Noen kan være ment for alles øyne, som oversiktsbilder over en by, mens noen overvåker svært private steder som stuer og en baby-seng. Mange brukes av fabrikker, fjøs og oppdrettsanlegg. Flere kan styres fysisk i 360 grader med optisk zoom, mens andre lar deg spille av lydklipp fra kameraet, som hundebjeffing.
  • Torrent-lister. Altså i all hovedsak piratkopiert data nordmenn laster ned, trolig på sine NAS-er, via nettbaserte grensesnitt. Alt fra Fleksnes til porno knyttes til brukerens IP-adresse.

  • Skrivere og skannere. I hovedsak kan man se blekknivåer og diverse logger, samt endre innstillinger, som å videresende alle fakser til et bestemt nummer. Vi har selv sett hvordan man kan skanne dokumenter via nettet, og slik få frem sensitive dokumenter folk har glemt på skannerne sine.
  • Forsterkere. Man kan for eksempel se på og endre lister over favorittkanaler, styre opp og ned volumet og bestemme lydkilder.
  • TV-bokser. For eksempel finner man en hel haug Dreambox-er, med åpen, full kontroll og tilsynelatende tilgang til eventuelt lagret innhold.
  • Rutere. Fjernadministrasjonsverktøy uten passordbeskyttelse lar deg gjøre alt ruterens eier kan gjøre, som å filtrere bort nettsider, omrute trafikk, se logger og få opp alt utstyr som er koblet på.
  • Styringssystemer. Automatiserte hjem skal være fremtiden, men vi tviler på dette var tanken: Vi kan slå av og på lys, styre temperatur og få detaljerte beskrivelser av hva som foregår i huset.
  • TV-er. Disse har ikke noe grensesnitt man kan nå via nettleseren, men de er likevel tilgjengelige fra nettet om man vil forsøke å bryte seg inn.
Av og til dukker det opp beskjeder som "Oppdater firmware ASAP!" og "Kan brukes til hva som helst!" i det vi finner. Trolig spor etter andre, uvedkommende som har vært der før oss.

Les også: Stangviks beste tips for å holde seg trygg på mobilen

<strong><B>FINNER STADIG NOE NYTT:</strong> </B>Einar Otto Stangvik lar seg stadig overraske over det han finner i søkemotoren hans. Både bedrifter og privatpersoner er utsatt. Foto: Ole Petter Baugerød Stokke
FINNER STADIG NOE NYTT: Einar Otto Stangvik lar seg stadig overraske over det han finner i søkemotoren hans. Både bedrifter og privatpersoner er utsatt. Foto: Ole Petter Baugerød Stokke Vis mer


Mangler passord

Det flere årsaker til at nordmenns utstyr ligger åpent på nett, tilsynelatende uten at eierne har noen anelse om hva som foregår.

For det første kan dingsene koble seg på nett uten at du ber dem om det selv. Slik funksjonalitet kan være påslått som standard, for eksempel via UPnP, og må aktivt slås av om du ikke ønsker det. For all del: Kanskje har du selv valgt å koble enheter på nett, for eksempel for å kunne omstarte ruteren til svigermor fra stua. Men slikt er lett å glemme, og lett å glemme de eventuelle konsekvensene av.

Om Usikkert.no

  • Einar Otto Stangvik driver enkeltmannsforetaket Indev, og hjelper blant annet bedrifter til å avdekke sikkerhetshull. Ble kjent som "superhacker" i VG etter å ha avslørt en Høyre-politikers stjeling av private nakenbilder, og har tidligere blant annet avslørt sårbarheter i norske nettbank-apper til DinSide.
  • Usikkert.no opprettet han på eget initiativ for å avdekke det han ser på som alvorlige sikkerhetstrusler i de norske hjem og bedrifter.
  • Søkemotoren tråler regelmessig gjennom over 15 millioner norske IP-adresser på ulike porter, som kan tilhøre alt fra nettsider til kjøleskap.
  • Svarer en webserver, blir svaret logget og IP-adressen lagret, før søkemotoren går til neste adresse.
  • Svarene blir fortløpende kategorisert, slik at man for eksempel kan søke etter det som trolig er en skriver, et webkamera eller en TV. Ting man ikke finner på Google.
  • Søkemotoren minner om SHODAN, som Dagbladet brukte til sin artikkelserie Null CTRL. Usikkert.no skiller seg blant annet på at den kun sjekker norske IP-adresser.
  • Usikkert.no krever innlogging, og all bruk begrenses og logges. DinSide fikk utvidede rettigheter for å gjøre mer omfattende søk til denne artikkelen.


    • – Hvorfor skal en forsterker være tilgjengelig på internett? Det er helt meningsløst. Og hvor ofte trenger du å bruke skanneren hjemme, via nettleseren, mens du selv sitter på bussen til kontoret? spør Stangvik retorisk.

    Det andre hovedproblemet er manglende passordbevissthet. Når du kjøper en ny enhet har den ofte et forhåndsbestemt passord som "admin", eventuelt ingen passord i det hele tatt, slik at brukeren selv kan gå inn og sette passord etter kjøp. Men dette er det mange som ikke gjør. Er enheten tilgjengelig på nett, kan man dermed enkelt google seg frem til standardpassordet for å få full tilgang, eventuelt oppdage at det ikke finnes noe passord i det hele tatt. DinSide har sett flere eksempler på enheter som selv opplyser om standardpassordet i innloggingsvinduet.

    Hvordan enhetene kan misbrukes til rett fra deres eget web-grensesnitt varierer. I verste fall kan uvedkommende spionere gjennom webkameraet ditt, eller få tilgang på filene dine. Andre enheter lar uvedkommende bare se blekknivået i skriveren din.

    Men kommer først uvedkommende inn, kan hackere gjøre langt mer skade enn produsenten selv tillater fra enhetens eget grensesnitt. For eksempel installere skadevare på ruteren din for å få full kontroll over alt du gjør på internett.

    Les også: Slik lager du sikre passord, som også er enkle å huske

    <strong>DIREKTE KONTROLL:</strong> Her ser du et strømstyringssystem tilhørende et norsk bygg eller husstand, hvor uvedkommende enkelt kan skru av og på både lys og varme. Foto: OLE PETTER BAUGERØD STOKKE
    DIREKTE KONTROLL: Her ser du et strømstyringssystem tilhørende et norsk bygg eller husstand, hvor uvedkommende enkelt kan skru av og på både lys og varme. Foto: OLE PETTER BAUGERØD STOKKE Vis mer


    Etterlyser sikkerhetskultur

    – Folk må bli klar over disse farene, mener Stangvik.

    <strong>ØYEÅPNER:</strong> Einar Otto Stangvik håper søkemotoren hans vil øke bevisstheten rundt sikkerhet i Norge. Foto: OLE PETTER BAUGERØD STOKKE
    ØYEÅPNER: Einar Otto Stangvik håper søkemotoren hans vil øke bevisstheten rundt sikkerhet i Norge. Foto: OLE PETTER BAUGERØD STOKKE Vis mer


    På mange måter utgjør tjenesten i seg selv en fare, da Gud og hvermann nå kan "hacke". Men ingen hackere vil bli sjokkerte over å lese denne artikkelen: De har hatt sine metoder for slikt lenge. De som eventuelt får opp øynene, ved å se "tingenes internett" i hvitøyet, er deg og meg. Og det er blant annet derfor Stangvik laget søkemotoren.

    – Men jeg vet ikke hvor optimistisk jeg er. Mange tilbyr for eksempel antivirus uten at kundene bruker det. Det blir som de som veiver om hvor nødutgangene er på flyet; man har "sett det før". Først når flyet krasjer, tenker man "hvor pokker var de nødutgangene!?", fortsetter Stangvik.

    – Jeg etterlyser en bedre sikkerhetskultur med høyere fokus på personvern og sikkerhet. Vi må ha en iboende skepsis, men mangler gode nok referanserammer. At noen kan stjele TV-en vår har vi en iboende forståelse for. Men jeg tror vi trenger noen år til før samfunnet skjønner seg på digital kriminalitet.

    DinSide kommer tilbake med mer, blant annet hva du kan gjøre for å sikre deg. Men helt kort fortalt: Slå av funksjonaliteten om du ikke bruker den, og sett skikkelige passord.

    For mer om hvordan åpne enheter på internett utgjør en fare, anbefaler vi Dagbladets Null CTRL-serie. Journalistene brukte søkemotoren SHODAN, som på mange måter er en internasjonal utgave av Usikkert.no.

    Følg på Instagram Si ifra om feil i artikkelen
    Mer om
    data webkamera nettverk skriver hacking datasikkerhet sikkerhet skanner

    Vi bryr oss om ditt personvern

    dinside er en del av Aller Media, som er ansvarlig for dine data. Vi bruker dataene til å forbedre og tilpasse tjenestene, tilbudene og annonsene våre.

    Les mer