Sårbarhet gör att du kan kontrollera kylare på ICA

hacker-attack-cracker-cyberthreat-malware
Bildkälla: Pixabay / TheDigitalArtist

Hoppsan, det här var nog inte vad ICA hade tänkt sig när de beställde sina smarta kylar från skotska Resource Data Management. Med enkla medel kan i princip vem som helst kontrollera kylarna över internet.

Det här rapporterar säkerhetsforskare

Säkerhetsforskarna Noam Rotem och Ran L har kontrollerat säkerheten kring kylsystem från skotska företaget Resource Data Management, eller bara kort RDM.

Enligt Noam och Ran är kylsystemen mycket sårbara eftersom de inte bara är åtkomliga över internet av i princip vem som helst; standardlösenordet är dessutom löjligt enkelt och ändras sällan efter installation.

Säkerhetsforskaren belyser faktumet att flera stora livsmedelsaktörer använder kylsystemen idag. Bland annat svenska ICA och Hemköp, men även tunga namn som Marks & Spencer, Ocado och Way-on.

Vad kan jag göra med de smarta kylsystemen?

kylsystem sarbar defrost 2019
Skärmdump från safetydetective.com

Tanken bakom de smarta kylsystemen är att de ska kunna hanteras från en central plats.

Det betyder att du kan övervaka allt från temperaturer, till att ändra nivåer och helt stänga av systemen i vissa fall. Exakt vad som går att göra beror lite på system och företaget som använder dem.

Dessutom går det att få detaljerade ritningar över specifika rum, exempelvis maskinrum. Åter igen, det beror helt på vilket system man loggar in på.

På vilket sätt är kylsystemen sårbara?

  1. Kommunikationen sker helt öppet över internet
  2. Kylsystemen använder vanliga portar som 9000, 8080, 8100 och 80
  3. Standardlösenordet byts väldigt sällan och är enkelt att ta reda på
  4. I vissa fall är det inga lösenord överhuvudtaget
  5. Enkelt att hitta alla systemen via Google eller annan sökmotor

Shodan är en specialiserad söktmotor som används av hackare och säkerhetsforskare. Bland annat för att hitta sårbara, öppna system på internet. Det är inte olagligt att använda Shodan, däremot kan du råka klicka dig in på system som du inte är behörig att använda. Använd med försiktighet.

Det är mycket oroväckande att kylsystemen kommunicerar med det okrypterade HTTP-protokollet. Det gör att trafiken i värsta fall kan avlyssnas vilket ökar riskerna.

Standardlösenordet är lika enkelt att gissa som att räkna på sina fingrar och i vissa fall behövs inget lösenord överhuvudtaget. Att företagen inte har bättre koll på nätverksanslutna system och deras säkerhet är väldigt oroväckande.

Här finns de smarta kylarna

kylsystem sarbara shodan 2019
Bildkälla: safetydetective.com

Enligt uppgift finns oskyddade system i flertalet länder; bland annat Australien, Island, Israel, Malaysia, Storbritannien, Sverige och Tyskland.

Noam Rotem och Ran L skriver i ett långt blogginlägg att det handlar om hundratals platser runt om i världen som tillsammans har tusentals berörda, sårbara maskiner.

Vad säger Resource Data Management om kritiken?

När säkerhetsforskarna initialt kontaktade Resource Data Management fick de inget svar. Först efter att ha sökt företaget via Twitter kom ett e-postmeddelande – och då med det här svaret:

Good Afternoon,
Thank you for your email and approach. Having looked at your services they are not of interest to our company.
As a senior team member within the company can I please ask you to refrain from contacting us any further, on any of individual or general email accounts. It would also be greatly appreciated if you could refrain from tagging us on posts on social media.
Thank you for your co-operation.

Knappast svaret man vill ha som säkerhetsforskare när man vill assistera med information om en potentiell sårbarhet. Kort efter första svaret valet företaget att återkoppla ytterligare två gånger med utförligare svar.

Här är en några punkter som summering på svaren från RDM:

  • RDM säger att dokumentationen tydligt säger att lösenord måste bytas när systemen installeras
  • RDM har ingen kontroll över vart systemen installeras eller vem som gör det
  • Många av RDM:s system har inte stöd för fjärråtkomst som standard
  • RDM kommer att kontakta alla sina kända kunder, installatörer och distributörer och påminna om vikten av att byta lösenord
  • RMD tar bort alla standard-användare i framtida system
  • Varje nytt system ska få ett unikt lösenord
  • RDM ber säkerhetsforskarna om ursäkt för det första svaret (se citatet ovan)

Det är positivt att Resource Data Management ser över hur lösenorden används i systemen de säljer. Första steget till bättre säkerhet är att tillverkaren tar ansvaret att göra sina produkter säkrare – unika lösenord är ett stort steg i rätt riktning.

Frågan är bara vad de och kunderna kommer att göra med resten av utmaningarna. Att kommunikationen mot internet är okrypterad är ett stort problem, även okunskapen hos köparen.

  1. Vad tycker du om den här nyheten?
  2. Är det ett stort problem som säkerhetsforskarna belyser?
  3. Och hur ser du på säkerheten i dina egna prylar i hemmet – är det något du har tänkt på?

Skriv gärna en kommentar och berätta om dina tankar.

Mikael Anderberg är en veteran inom teknikvärlden med stor kännedom kring tillverkare, nya tekniker och produkter. Har mångårig erfarenhet från blogg- och it-världen vilken bidrar till utvecklingen av Tekniksmart tillsammans med andra entusiaster. Mikael har i grunden expertis inom fotografering och kamerautrustning, copywriter och content editing, och SEO. Läs mer om mig här.