- DÅRLIG SIKRET: Via en feil i oppsettet mot en slik type ruter og hjemmesentral fra Tussa, var det mulig for uvedkommende å overta kontrollen. Foto: Skjermdump/Privat/Zhone
- DÅRLIG SIKRET: Via en feil i oppsettet mot en slik type ruter og hjemmesentral fra Tussa, var det mulig for uvedkommende å overta kontrollen. Foto: Skjermdump/Privat/ZhoneVis mer

- Dette kunne blitt benyttet i kriminelle handlinger

Det har vært for enkelt, sier bredbåndsleverandøren.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): I forbindelse med artikkelserien «Null CTRL» har Dagbladet avslørt flere tusen sårbare systemer koblet til Internett.
Avsløringene fører også til tips fra leserne.

Ett av tipsene viser seg å ha konsekvenser for et ukjent antall bredbåndskunder hos Tussa i Møre og Romsdal.

- Dette kunne ha blitt benyttet til kriminelle handlinger, innrømmer administrerende direktør Ivar Driveklepp i Tussa IKT.

Uvedkommende Som leverandør av bredbåndstjenester har Tussa en såkalt hjemmesentral som plasseres hos kundene. Det er boksen hvor bredbånd kommer inn i huset, og hvor man kobler til TV, telefoni og data.

Ifølge direktøren har påloggingen mot noen slike sentraler en svakhet man er blitt oppmerksom på via et tips til Dagbladet. Enkelte hjemmesentraler har ganske enkelt kunne spores opp på nett, og det har vært mulig for uvedkommende å logge seg inn.

FINNER ID: Via en slik oversikt kan man identifisere personene som bruker nettverket. Bak sladden står flere navn på personer. Foto: Skjermdump/Privat
FINNER ID: Via en slik oversikt kan man identifisere personene som bruker nettverket. Bak sladden står flere navn på personer. Foto: Skjermdump/Privat Vis mer

Om det høres uskyldig ut, kan direktøren forsikre at det langt i fra er noen ønsket situasjon.

Identifiserer eiere Via hjemmesentralens kobling mot Internett, har det vært mulig å logge seg inn med et standard brukernavn og passord. Når man først er inne, har man kunnet lese informasjon fra serveren.

- Selv om man i utgangspunktet ikke vet hvem som eier sentralen man logger seg inn på, kan man som innlogget identifisere personer utfra navn på Iphoner som er koblet til det trådløse nettet, sier tipseren til Dagbladet.

Kan se passord Ifølge tipseren kan man som innlogget se navn og passord på det trådløse nettet hos eieren. 

Med de tilganger og informasjon man får på denne måten, er det potensielt mulig å drive flere typer svindel eller annen kriminell aktivitet.

- Her kan man for eksempel endre en såkalt DNS-server, som igjen gjør det mulig å lage egne nettsider for ulike typer svindel eller misbruk, sier tipseren.

Vedkommende er selv IT-ansatt og har testet systemet får å lokalisere feilen. Som kunde hos Tussa ønsker personen å være anonym.

- Kriminelle handlinger Dagbladet har lagt tipserens beskrivelse fram for Tussa. Selskapet bekrefter at de feilene vedkommende beskriver, er en helt reell trussel.

- For en type hjemmesentraler ser vi at det har vært for enkelt å logge seg på, sier Driveklepp.

Problemene skal gjelde nyere versjoner av hjemmesentralene.

- Dette kan gi tilgang til å endre noen parameter som kunne blitt benyttet til kriminelle handlinger, legger han til.

Selskapet har de siste dagene lagt ned et arbeid for å gjøre hjemmesentralene tryggere:

ENDRINGER: Via flere innstillinger er det mulig å gjøre endringer med potensielt vidtrekkende konsekvenser. Foto: Skjermdump/Privat
ENDRINGER: Via flere innstillinger er det mulig å gjøre endringer med potensielt vidtrekkende konsekvenser. Foto: Skjermdump/Privat Vis mer

-  Vi har derfor lagt inn et ekstra sikkerhetsnivå på hjemmesentralene der vi sperrer for denne muligheten, sier Driveklepp.

- Ikke ruterens feil Produsenten ønsker å presisere at det ikke er noe feil på selve ruteren.

- I dette tilfellet har adgang til ruteren vært tillatt via Internett. Denne tilgangen skulle ha vært blokkert, ellers vil det alltid gå på bekostning av sikkerheten, sier Peter Hagelin hos produsenten Zhone.

Dagbladet har bedt Tussa om å opplyse hvor mange kunder som er rammet av feilen.

- Av markeds- og konkurransehensyn ønsker vi ikke å gå ut med informasjon om antall bredbåndskunder og hvor mange bokser dette gjelder, sier Driveklepp.
 

TRÅDLØS INFO Som det framgår av skjermbildet Dagbladet har mottatt, er det mulig å se navn og passord for det trådløse nettverket. Foto: Skjermdump/Privat
TRÅDLØS INFO Som det framgår av skjermbildet Dagbladet har mottatt, er det mulig å se navn og passord for det trådløse nettverket. Foto: Skjermdump/Privat Vis mer