Ekspert: – Asus har sluppet altfor billig unna
Ruterfeil har ført til at norske nakenbilder flyter rundt på nettet.
De siste dagene har det stormet kraftig rundt en sårbarhet i flere av Asus' mest populære rutere, på grunn av en feil vi advarte mot i fjor sommer. Feilen lar hvemsomhelst smyge seg inn på tilkoblede harddisker hos de som ikke har tettet hullet i sin ruter, og hente ned alle filene de måtte ønske.
Mest oppmerksomhet har blitt viet til nakenbilder som har blitt stjålet på denne måten, men også personlige brev, CV-er og andre dokumenter man helst ikke vil ha på avveie kan enkelt rappes av snokene. I tillegg kan dyktige hackere bruke åpne rutere for å få tilgang til alle datamaskiner på samme nettverk som ruteren – og i tillegg spore trafikken inn og ut på Internett.
Det forteller Einar Otto Stangvik til Hardware.no. Han har utviklet Usikkert.no, en nettside med oversikt over usikret nettverksutstyr i Norge. I skrivende stund har tjenesten kartlagt titusener av åpne rutere og NAS-er, tusenvis av telefonisystemer og atter tusener av webkameraer, og mye mer.
Vil opplyse
Formålet med Usikkert.no er ifølge Stangvik å opplyse flest mulig om at de forskjellige dingsene de kjøper ofte gjør seg selv tilgjengelige for hele verden over Internett – helt uten grunn. Han håper folk kan bli mer bevisste på hvordan de bruker enhetene sine, og kanskje at vi får bedre føringer på nasjonalt plan for sikkerhet på datautstyr. Han vil nemlig ikke legge all skyld for slike sikkerhetsbrudd på uoppmerksomme brukere.
– Selvfølgelig har brukere selv en andel av ansvaret når noe skjer. Det gjelder både når noen tapper iCloud-kontoen for private bilder, som var en sak jeg jobbet med i fjor, og når noen bryter seg inn i NAS-boksen din via nettet. Man skal derimot være forsiktig med å kategorisk si at ofrene kan skylde seg selv totalt, mener han, og påpeker at det er alt for store forskjeller mellom enkeltsaker til dét.
Stangvik synes istedet man kan spørre seg hva som skal til for at slike innbrudd er leverandørenes feil. Han lurer på om det er alvorlighetsgraden i et datainnbrudd, eller hvor vanskelig det var å gjennomføre, som avgjøre når man ikke lenger bare kan rette en pekefinger mot brukeren selv.
– Inntrykket jeg sitter med er at straks det er snakk om lettkledde bilder, så er det de som er avbildet som er skyldige; uansett. Er det like mange som har denne urokkelige holdningen dersom tyveriet gjelder for eksempel bedriftshemmeligheter, pass eller kontoinformasjon? Det virker i alle fall for meg som at mange sitter med sterke følelser av hvem som har skyld når ulike situasjoner oppstår – uten at det nødvendigvis begrunnes i hvordan situasjonen rent teknisk har oppstått, sier han.
Straffbart
Når det gjelder lovligheten i slike innbrudd, vil det i prinsippet ikke spille noen rolle hva slags data man snoker på. Enkelte ting vil likevel kunne utløse strengere straffer enn andre. Det forteller Knut Helge Hurum, senioradvokat i Advokatfirmaet Hjort, som tidligere har ført saker om liknende problemstillinger for retten – blant annet i en sak for Høyesterett i 2012.
– Hvis man går inn på data som har stor økonomisk verdi, eller som er veldig personlig, så kan det føre til strengere straff. Ulovlig kopiering eller annen bruk av de data en uberettiget får tilgang til, er i utgangspunktet en annen straffbar handling. Det samme gjelder videre spredning av kopierte data. Det vil i alle tilfelle kunne være straffeskjerpende, forklarer Hurum, og legger til:
– Hvis man ødelegger noe mens man er inne på systemet kan dette også være straffbart skadeverk. Men det er ikke slik at antall lovbrudd alene er avgjørende for straffutmålingen, det vil også være av betydning hvilken type data det er snakk om, om data er kopiert og videreformidlet, og om dette er gjort i den hensikt å skade noen eller for å tjene penger på dette.
Ulovlig å ta seg inn
Det spiller dog liten rolle om du får tak i filene fordi noen har glemt å sette et passord. Overfor Hardware.no slår nemlig Hurum fast at det kan være ulovlig å ta seg inn til andres data gjennom sårbarheter som den i de omtalte Asus-ruterne, selv om harddiskene står aldri så vidåpne mot verden. Hvor grensen går vil imidlertid ikke alltid være klart.
– Det loven fastsetter er at det er ulovlig å skaffe seg adgang til data uberettiget, selv om de ikke er passordbeskyttet. Dette er nedfelt i straffelovens § 145, og ordet «uberettiget» er forstått relativt strengt. Det er ikke noe krav i loven om at data må være passordbeskyttet, understreker Hurum.
Han forteller at det tidligere fantes et krav om at man måtte ha kommet seg forbi et passord før det ble regnet som et straffbart forhold, men at loven ble endret for noen år siden slik at man nå kan være strafferettslig beskyttet selv om man ikke har passordbeskyttet sine data.
Noe forenklet sagt, hvis du tar deg inn på et dataområde hvor det er åpenbart at du ikke har noe å gjøre, kan du bryte straffeloven selv om dataene ikke er passordbeskyttet.
Kan få full tilgang
Et annet faremoment ved usikkerheten i de omtalte Asus-ruterne, som ikke har blitt mye omtalt, er at denne typen sikkerhetshull kan gi uvedkommende tilgang også til resten av nettverket ditt. Det er med andre ord ikke bare å føle seg for trygg selv om man ikke har harddisker koblet i ruteren.
– Programfeilen det er snakk om ville i dette tilfellet ha gjort det mulig å ta seg inn på mye av utstyret inne på det lokale nettverket til brukerene, selv om de ikke har hatt harddisker koblet til Asus-ruteren. En hacker kunne da ha gjort forskjellige angrep mot annen nettrafikk, og i ytterste konsekvens greid å fange opp passord til, eller utnytte sårbarheter i, nettverkets datamaskiner, forklarer Stangvik.
Han påpeker at dyktige hackere dermed, i alle fall i teorien, kunne ha stjålet innhold brukerne hadde trygt lagret på krypterte harddisker i sine lokale PC-er.
– Ruter-hacks er farlige, og mer finurlige enn mange av kritikerene har fattet, slår han fast.
– Vi er ikke alene
Med så alvorlige konsekvenser for brukerne deres var vi svært spente på å høre hva Asus hadde å si til denne saken. Emanuel Järnland er PR-spesialist i selskapets nordiske forretningsgruppe for åpne plattformer, og han understreker overfor Hardware.no at selskapet ikke er alene om å ha sikkerhetssvikt.
– Det mediene har skrevet om i det siste stammer fra i fjor sommer. Vi fant en usikkerhet, lagde en oppgradering av fastvaren, og gikk ut i både pressen og på sosiale medier for å få folk til å oppdatere sitt utstyr. Dere skrev jo også en sak om denne usikkerheten, og grunnen til at det nå har blitt aktuelt igjen er sider som Usikkert.no – som gjør det veldig lett å finne åpne FTP-er, sier han.
Järnland mener at Asus har blitt nevnt ofte fordi selskapet har et bredt utvalg produkter i det øvre sjiktet, som har den typen kapabiliteter som det i det siste har vært snakk om å utnytte.
– Problemene har blitt løst, men enhetene oppdaterer ikke seg selv – blant annet fordi en del av våre kunder ikke ønsker seg automatiske oppdateringer. Men vi har oppfordret folk til å installere oppdateringen, og nå som flere er klar over sårbarheten kommer vi til å gjøre det på nytt. Det blir både på nettsidene våre, i sosiale medier og pressemeldinger, og ved å sende ut e-poster til alle som har registrert sine Asus-produkter på vår nettside, forteller han.
Hvordan kunne det skje?
Järnland sier også at han forstår Stangviks begrunnelse for å utvikle Usikkert.no, men understreker på ny at Asus har rettet sårbarhetene i sine enheter. Det vi gjerne vil ha svar på er dog hvordan dette kunne skje, og spesifikt hvorfor selskapet har sendt ut produkter hvor passord mangler som standard.
– Jevnt over prøver vi å gjøre produktene våre så enkle å bruke som mulig, og jeg vil tro at ett eller annet sted i den prosessen har vi sannsynligvis gjort det litt uklart hva forskjellige sikkerhetsinnstillinger betyr. Dette kan være grunnen til at noen har satt opp FTP-tilkoblingene sine usikkert. Nå, dersom du vil sette opp en slik tilkobling, får du en veldig klar melding om hva det innebærer.
Han tror dessuten det kan være liknende årsaker bak usikkerhetene i andre produsenters produkter. Järnland ønsker også å understreke at usikkerheten kun dreier seg om funksjonen AiDisk, og ikke tjenesten AiCloud – og at sistnevnte alltid har vært automatisk beskyttet.
For ordens skyld skal det nevnes at vi i Hardware.no har også observert både NAS-er og rutere fra andre leverandører på vidt gap mens vi selv har undersøkt saken.
Sluppet for billig unna
Stangvik mener selv Asus har sluppet alt for unna billig i denne saken, men understreker at de slett ikke er alene om å ha denne typen feil. Han mener at for at ting skal bli bedre er det opp til sluttbrukerne å stille strengere krav til tjeneste- og vareleverandører.
– Som konsumenter så stoler vi alltid, i en eller annen grad, på at de varene vi anskaffer har vår beste interesse i tankene. Deretter vil det fra konsument til konsument, for eksempel basert på teknisk kunnskap, variere hvor nøye man selv vurderer eventuell risiko. Dette gjelder både for programvare, for TV-er, mobiltelefoner, nettverksrutere og alt annet teknisk vi har med å gjøre, sier han.
Sikkerhetseksperten forteller at jo mer teknisk noe blir, jo vanskeligere blir det å sette seg inn i, men at det også er noen misforståelser ute og går rundt sikkerhet selv blant de mer teknisk anlagte. Hans inntrykk er blant annet at mange ser på lagring i nettskyen som risikabelt, men at få er like forsiktige når det gjelder elektronikken i sitt eget hjem.
– Hvis du kjøper en ny TV og kobler den til nettverket ditt, så forventer du at den bare er tilgjengelig for deg, hjemme. Men det som ikke engang mange tekniske brukere vet, er at mange moderne TV-er på egen hånd avtaler med ruteren din at de får gjøre seg tilgjengelig på den offentlige IP-adressen din.
TV-er er eksponert
Usikre hverdagsgjenstander som smarte TV-er er heller ikke et hypotetisk problem, eller noe som bare omfatter en håndfull ekstra uforsiktige mennesker. I Usikkert.no-databasen ligger det hundrevis av norske Samsung-TV-er som har eksponert seg selv til det åpne Internett ved hjelp av protokollen UPnP.
– Skulle det da bli avdekket en sårbarhet i disse TV-ene, som gjør at noen kan komme inn og overvåke den, eller se videostrøm fra TV-ens innebygde webkamera – er det da brukerenes egen feil? Bare fordi de koblet TV-en til sitt eget lokale nettverk, og ikke visste hva UPnP er, spør Stangvik retorisk.
Å rette pekefingre mot «mannen i gata» for å ikke ha full kontroll på UPnP slår Stangvik som noe urimelig. Informasjonskampanjer om UPnP slår ham heller ikke som veldig formålstjenlig, og han etterlyser derfor heller en form for godkjenningsordning på elektronisk utstyr.
– Det vi må kunne gjøre er å stille strengere krav til de som lager produktene vi benytter oss av. Jeg har snakket om føringer ikke ulikt CE-merking, som blant annet omfatter fysiske sikkerhetskrav som brannsikkerhet. En CE-aktig merking for programvarekvalitet og datasikkerhet høres, i alle fall for oss som beveger oss i den bransjen, ut som en utopi – men jeg mener det er nyttig å vurdere det.
Det er skremmende lett å cracke trådløse nettverk:
Slik beskytter du deg »
