Under den senaste veckan har skärmdumpar publicerats föreställande system som driver vattenkraftverk, Kalles Kaviarfabrik, grismatsmaskiner, ventilationssystem, apotekssystem samt användare arbetandes på storföretag och banker.
Vad har hänt?
Säkerhetsforskarna Dan Tetler, Paul McMillan och Robert Graham har under de senaste tre åren med hjälp av dels befintlig och dels egenutvecklad programvara sökt igenom Internet efter oskyddade datorer som tillåter fjärrstyrning utan krav på lösenordsautentiering. De datorer som hittats har man sedan kopplat upp sig till och tagit en skärmdump.
Under hackerkonferensen Defcons tjugoandra upplaga gjordes en liveskanning av Internet där en del av resultaten sedan visades upp.
Senare har Dan Tetler på sin Twitterprofil publicerat utvalda skärmdumpar vilka skapat ramaskri bland IT-chefer och företagsledningar. Skanningen visar stora sårbarheter och kan ge illasinnade potentiella möjligheter att styra system som skulle kunna orsaka stor skada för allmänheten.
Bristfällig säkerhet
Gemensamt för samtliga system som hittats i detta forskningsprojekt är bristfällig säkerhet. Alla system som är anslutna till Internet är sårbara och går på ett eller annat sätt att komma åt.
Systemen har använt sig av VNC (Virtual Network Computing), som är en öppen programvara och används likt Microsofts Remote Desktop för att möjliggöra fjärrstyrning av system på distans och används i stor skala runt om i världen.
En dator som är ansluten till Internet och har programvara som tillåter fjärrstyrning kräver ett omfattande säkerhetsarbete. De system som är berörda i detta projekt har ett flertal brister.
Bland annat svarar systemen utan vidare på port 5900 som används vid fjärrstyrning med VNC. De berörda installationerna av VNC har inte krävt någon autentiering med lösenord vid uppkoppling och har heller inget lösenordsskydd när uppkoppling väl har skett.
Scriptet
Säkerhetsforskartrion Dan Tetler, Paul McMillan och Robert Graham har utvecklat ett pythonbaserat script som kombinerar två programvaror. Programvaran Masscan, utvecklad av McMillan söker igenom Internet efter system som svarar på port 5900 och därefter kopplar VNC Snapshot upp mot systemet och tar en skärmbild.
Lag och moral
Dan Tetler skriver på sitt företag Atenlabs blogg om projektet och förklarar där att de arbetat aktivt för att inte lämna ut några uppgifter som kan vara känsliga vid publicering.
Skärmdumpar innehållandes information om så som IP-adresser och namn som gör att systemets ägare kan identifieras har plockats bort.
När det gäller utländska skärmdumpar på andra språk än engelska verkar det dock ha misslyckats då vi hittar skärmdumpar från svenska system som enkelt kan identifieras. Vi har tagit kontakt med de systemägare vi har lyckats identifiera och inväntar kommentarer.
Dan Tetler hävdar att tilltaget de gjort inte är olagligt eftersom de automatiserat sökning, uppkoppling och skärmdumpning. Ingen har aktivt rört något och Tetler väljer att jämföra det med Googles sätt att skanna Internet.
Han menar också att de inte bryter sig in och inte heller loggar in, eftersom inloggningsuppgifter inte krävs för att koppla upp sig mot systemen.
Syftet med projektet är att visa riskerna med att tillåta fjärrstyrning och upplysa om vikten av säkerhet. Just nu pågår ett arbete med att kontakta de systemägare som kan identifieras för att berätta att deras system är utsatta för hot.
Skärmdumpar
För dig som är intressarad av att ta del av skärmdumparna finns de att se på Dan Tetlers Twitter. Här nedan följer en lista på de svenska system vi har hittat bland bilderna. Vi har försökt kontakta samtliga identifierade systemägare och inväntar kommentarer.
Tänk på att det inte går att fastställa om det är utvecklaren, integratören, installatören, ägaren eller brukaren av systemen som är orsaken till den bristfälliga säkerheten.
Kylsystem med Kalles Kaviar-logotyp
Uppdatering 2014-08-18 kl. 22:05: Eva Berglie, presschef på Orkla Foods, som står bakom Kalles kaviar:
“Bilden är INTE från något av våra system (vi har fått frågan tidigare och kollat upp det noga).”
“Vi har alltså INTE haft dataintrång – någon annan har använt vår Kalles-logotype.”
Svensk hockeyrink – Kylsystem för ishockeyrink.
Brunna Särskola – Ventilationssystem för grundskola i Botkyrka.
Råvattenstation
Sämsjövik – Driftsystem för fastighet kallad Sämsjövik.
Jac AB Kylsystem
Auto Pro – Pumpflödessystem
Filmvisning – Sagan om Ringen på svenska
Indoor Energy Control – Kylsystem
[source:http://atenlabs.com/blog/scanning-the-whole-internet “Aten Labs”]