– Hva er dette? Et garasjeanlegg! Her kan jeg åpne og lukke dørene.
Sikkerhetseksperten Einar Otto Stangvik søker videre.
– Og her kan jeg etter sigende skru av noens juletrelys.
Han smiler oppgitt og endrer søkekriteriene.
– Her kan vi ringe ut fra telefonsentralen til et vekterselskap. Og her ser vi gjennom et webkamera.
Stangvik sitter med sin egetutviklede søkemotor Usikkert.no. I motsetning til vanlige søkemotorer som Google, søker den ikke bare etter nettsider, men alle typer enheter som er koblet på internett i Norge. Som garasjeanlegg, strømstyring, telefonsentraler, webkameraer, nettverksdisker, rutere, TV-er, skrivere; alt.
Mye av dette ligger helt åpent, klart for misbruk. Og noen av enhetene kan være dine, uten at du vet det.
Les også: Slik mener Stangvik at nettbank-appene kan utnyttes av hackere
Dine dingser på internett
I vår tid handler alt som tilgjengelighet. Ikke bare skal du være tilgjengelig , men også alt du eier. Vi vil styre TV-boksen fra mobilen, varmepumpa fra jobben og skriveren fra stua. Dette betyr ofte at dingsene kobles på internett. Et internett som dermed består av langt mer enn bare nettsider.
Faktisk er det mulig at noen av dingsene dine er koblet på nett uten at du vet det. Har du en ny forsterker, en moderne printer eller en nettverksdisk? Da er de kanskje koblet på nett alle sammen, selv om du ikke bruker mulighetene det innebærer, som å styre forsterkeren fra nettbrettet. Og kanskje ligger de der uten passord, eller med standardpassordet produsenten har satt.
Det er da det begynner å bli skikkelig farlig, mener Stangvik. For man finner alt sammen fra søkemotoren hans.
– Man tror gjerne at produsentene du betaler tusenvis av kroner har din sikkerhet i høysetet. Men slik er det ikke alltid, sier Stangvik til DinSide.
Åpne kameraer, lysbrytere, filservere
Etter noen timer i Stangviks søkemotor har DinSide funnet et hav av eksempler på de mange ulike enhetene nordmenn har oppkoblet helt uten passordbeskyttelse.
Her ser du noen eksempler, som blir beskrevet under bildeserien:
- Filservere. Tilhørende både selskaper, lokale radiokanaler og privatpersoner, som inneholder alt fra programvare til private bilder og tilsynelatende sensitive dokumenter.
- Web-/overvåkningskameraer. Noen kan være ment for alles øyne, som oversiktsbilder over en by, mens noen overvåker svært private steder som stuer og en baby-seng. Mange brukes av fabrikker, fjøs og oppdrettsanlegg. Flere kan styres fysisk i 360 grader med optisk zoom, mens andre lar deg spille av lydklipp fra kameraet, som hundebjeffing.
- Torrent-lister. Altså i all hovedsak piratkopiert data nordmenn laster ned, trolig på sine NAS-er, via nettbaserte grensesnitt. Alt fra Fleksnes til porno knyttes til brukerens IP-adresse.
- Skrivere og skannere. I hovedsak kan man se blekknivåer og diverse logger, samt endre innstillinger, som å videresende alle fakser til et bestemt nummer. Vi har selv sett hvordan man kan skanne dokumenter via nettet, og slik få frem sensitive dokumenter folk har glemt på skannerne sine.
- Forsterkere. Man kan for eksempel se på og endre lister over favorittkanaler, styre opp og ned volumet og bestemme lydkilder.
- TV-bokser. For eksempel finner man en hel haug Dreambox-er, med åpen, full kontroll og tilsynelatende tilgang til eventuelt lagret innhold.
- Rutere. Fjernadministrasjonsverktøy uten passordbeskyttelse lar deg gjøre alt ruterens eier kan gjøre, som å filtrere bort nettsider, omrute trafikk, se logger og få opp alt utstyr som er koblet på.
- Styringssystemer. Automatiserte hjem skal være fremtiden, men vi tviler på dette var tanken: Vi kan slå av og på lys, styre temperatur og få detaljerte beskrivelser av hva som foregår i huset.
- TV-er. Disse har ikke noe grensesnitt man kan nå via nettleseren, men de er likevel tilgjengelige fra nettet om man vil forsøke å bryte seg inn.
Les også: Stangviks beste tips for å holde seg trygg på mobilen
Mangler passord
Det flere årsaker til at nordmenns utstyr ligger åpent på nett, tilsynelatende uten at eierne har noen anelse om hva som foregår.
For det første kan dingsene koble seg på nett uten at du ber dem om det selv. Slik funksjonalitet kan være påslått som standard, for eksempel via UPnP, og må aktivt slås av om du ikke ønsker det. For all del: Kanskje har du selv valgt å koble enheter på nett, for eksempel for å kunne omstarte ruteren til svigermor fra stua. Men slikt er lett å glemme, og lett å glemme de eventuelle konsekvensene av.
– Hvorfor skal en forsterker være tilgjengelig på internett? Det er helt meningsløst. Og hvor ofte trenger du å bruke skanneren hjemme, via nettleseren, mens du selv sitter på bussen til kontoret? spør Stangvik retorisk.
Det andre hovedproblemet er manglende passordbevissthet. Når du kjøper en ny enhet har den ofte et forhåndsbestemt passord som "admin", eventuelt ingen passord i det hele tatt, slik at brukeren selv kan gå inn og sette passord etter kjøp. Men dette er det mange som ikke gjør. Er enheten tilgjengelig på nett, kan man dermed enkelt google seg frem til standardpassordet for å få full tilgang, eventuelt oppdage at det ikke finnes noe passord i det hele tatt. DinSide har sett flere eksempler på enheter som selv opplyser om standardpassordet i innloggingsvinduet.
Hvordan enhetene kan misbrukes til rett fra deres eget web-grensesnitt varierer. I verste fall kan uvedkommende spionere gjennom webkameraet ditt, eller få tilgang på filene dine. Andre enheter lar uvedkommende bare se blekknivået i skriveren din.
Men kommer først uvedkommende inn, kan hackere gjøre langt mer skade enn produsenten selv tillater fra enhetens eget grensesnitt. For eksempel installere skadevare på ruteren din for å få full kontroll over alt du gjør på internett.
Les også: Slik lager du sikre passord, som også er enkle å huske
Etterlyser sikkerhetskultur
– Folk må bli klar over disse farene, mener Stangvik.
På mange måter utgjør tjenesten i seg selv en fare, da Gud og hvermann nå kan "hacke". Men ingen hackere vil bli sjokkerte over å lese denne artikkelen: De har hatt sine metoder for slikt lenge. De som eventuelt får opp øynene, ved å se "tingenes internett" i hvitøyet, er deg og meg. Og det er blant annet derfor Stangvik laget søkemotoren.
– Men jeg vet ikke hvor optimistisk jeg er. Mange tilbyr for eksempel antivirus uten at kundene bruker det. Det blir som de som veiver om hvor nødutgangene er på flyet; man har "sett det før". Først når flyet krasjer, tenker man "hvor pokker var de nødutgangene!?", fortsetter Stangvik.
– Jeg etterlyser en bedre sikkerhetskultur med høyere fokus på personvern og sikkerhet. Vi må ha en iboende skepsis, men mangler gode nok referanserammer. At noen kan stjele TV-en vår har vi en iboende forståelse for. Men jeg tror vi trenger noen år til før samfunnet skjønner seg på digital kriminalitet.
DinSide kommer tilbake med mer, blant annet hva du kan gjøre for å sikre deg. Men helt kort fortalt: Slå av funksjonaliteten om du ikke bruker den, og sett skikkelige passord.
For mer om hvordan åpne enheter på internett utgjør en fare, anbefaler vi Dagbladets Null CTRL-serie. Journalistene brukte søkemotoren SHODAN, som på mange måter er en internasjonal utgave av Usikkert.no.
Har du noe å tilføye?
Velkommen til Dinsides diskusjon. Vi vil gjerne vite hva du mener, men husk at mange leser det du skriver. Hold deg til temaet og vær saklig, så slipper vi å slette eller moderere innlegg. Mer om vilkårene her. Kommentarer til hvordan redaksjonen har løst saken på, tips om skrivefeil eller lignende sendes til tips@dinside.no.