Säkerhetsforskaren: ”Det är inte ok”
Hem LEVERANTÖRKASPERSKY LAB Säkerhetsforskaren: ”Det är inte ok”

Säkerhetsforskaren: ”Det är inte ok”

Publicerat av: Redaktionen

KANALRÖST – KASPERSKY LAB David Jacoby, säkerhetsforskare på Kaspersky Lab, gick lös på sin egen hemelektronik i syfte att hitta svagheter. Resultatet skickar en tydlig signal till dig som jobbar med it-säkerhet.

Idag vet de allra flesta vad ett datorvirus är, att vi borde ha säkra lösenord och att det är viktigt att höja vår säkerhetsnivå. Men även för många som arbetar med säkerhet finns det apparater som ofta glöms bort. Apparater som precis som datorn och telefonen är kopplade till våra nätverk.

David Jacoby, Kaspersky Lab

David Jacoby, säkerhetsforskare på Kaspersky Lab.

För vad händer egentligen om vi tänker så mycket på framtiden att vi glömmer att säkra oss mot hoten som finns i vår vardag i dag? David Jacoby, säkerhetsforskare på Kaspersky Lab, bestämde sig för att attackera sitt eget hem och att ta reda på hur säker mot intrång hans vardagsteknik verkligen är.

Han valde att fokusera på allt utom telefon, dator och surfplatta, som var kopplat till hans nätverk. Det är apparater som lätt glöms bort, som skrivare, routrar, smart-TV, satellitmottagare och externa lagringsenheter.

Tre kriterier

David Jacoby attackerade sina apparater utifrån tre kriterier. En eller flera av dem skulle uppfyllas för att testet skulle anses framgångsrikt. För det första skulle han kunna komma åt apparaten, till exempel filerna på hans nätverkslagringsenhet. Han ville också kunna få administrativ tillgång till apparaterna och slutligen också kunna modifiera apparaten efter personliga intressen.

För att på riktigt gå in i rollen som en hacker använde han sig inte alls av den information han hade om sina apparater i attackerna. Därför blev projektet lite svårt i en inledande fas, men efter att ha letar omkring en stund hittade han huvudkonfigurationsfilen för sin lagringsenhet. Och där hittade han snabbt sina lösenord och kunde ta kommando över apparaten.

Ju mer han letade desto fler svagheter hittade han. Svagheter som kunde utnyttjas för att köra systemets kommandon som högsta privilegier på enheten.

– Vid det här laget var det i princip game over för båda nätverkslagringsenheterna. Jag hade inte bara tillgång till hela filsystem på enheterna, det var dessutom väldigt enkelt för mig att infektera dem med en trojan eller bakdörr som skulle göra apparaten till en zombie, eller ge hackern möjlighet att utföra ytterligare attacker från enheten, säger David Jacoby.

Lätt plantera skadlig kod

Eftersom ett av hans planerade scenarion var att skapa en bakdörr var det precis vad David Jacoby gjorde härnäst. Den kompromissade enheten användes för att lagra filer, vilket gjorde uppdraget väldigt lätt. Det var bara att ladda upp den skadliga filen och placera den utanför de delade mapparna i filsystemet. Allt som allt hittade han 14 svagheter i lagringsenheten som skulle tillåta en hacker att utföra systemkommandon med de högsta administrativa privilegierna.

– De andra enheterna var rätt säkra, men en fullständig granskning av denna typ av enheter skulle vara svår eftersom man måste hitta alternativa sätt att avgöra om attacken var lyckad eller inte, skriver David Jacoby i sin undersökning.

Efter några dagars letande hade han fortfarande inte hittat något mer som täckte de tre kriterierna. Projektet började också bli lite komplicerat eftersom han inte ville förstöra någonting. Det var trots allt hans egna apparater han hackade. Han beslöt helt enkelt att avsluta sin undersökning och kontakta tillverkarna, som var väldigt tacksamma för informationen han kunde komma med.

Starka lösenord räcker inte

Det är viktigt för både individer och företag att förstå risken med enheter som kopplas till nätverk. Det är också viktigt att förstå att vår information inte är säker bara för att vi har starka lösenord. Det tog David Jacoby tjugo minuter att hitta seriösa svagheter i en enhet vi betraktar som säker och som vi lagrar alla våra viktiga filer på. Han menar att vi behöver komma fram till alternativa lösningar som kan hjälpa både individer och företag att förbättra deras säkerhet.

Till tillverkarna säger han bland annat att det inte är accepterat med lösenordsskydd med en längd av bara ett tecken och att det inte fungerar att se de här apparaterna som bara underhållning. Det är inte okej att ha läsbara konfigurationsfiler innehållande alla användaruppgifter – speciellt inte på en lagringsenhet kopplad till nätverket.

Relaterade Artiklar

Vi använder cookies och andra identifierare för att förbättra din upplevelse. Detta gör att vi kan säkerställa din åtkomst, analysera ditt besök på vår webbplats. Det hjälper oss att erbjuda dig ett personligt anpassat innehåll och smidig åtkomst till användbar information. Klicka på ”Jag godkänner” för att acceptera vår användning av cookies och andra identifierare eller klicka ”Mer information” för att justera dina val. Jag Godkänner Mer Information >>

-
00:00
00:00
Update Required Flash plugin
-
00:00
00:00