TESTET DATASIKKERHET: Espen Sandli og Linn Kongsli Hillestad er journalistene bak Dagbladets serie "Null CTRL". Tips journalistene på nullctrl@dagbladet.no Foto: Øistein Norum Monsen / Dagbladet
TESTET DATASIKKERHET: Espen Sandli og Linn Kongsli Hillestad er journalistene bak Dagbladets serie "Null CTRL". Tips journalistene på [email protected] Foto: Øistein Norum Monsen / DagbladetVis mer

Slik avslører Dagbladet råtten sikkerhet på norske PC-er

Har testet alt fra overvåkingskameraer til databaser og kontrollsystemer.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): Tenk deg at du kan styre naboens web-kamera, åpne konkurrentens database eller ta kontrollen over vitale styringssystemer med et tastetrykk.

I en serie artikler avslører Dagbladet hvor enkelt det lar seg gjøre.

Journalistene Linn Kongsli Hillestad og Espen Sandli har sammen med utvikler Ola Strømman testet alt fra overvåkingskameraer til databaser og kontrollsystemer som ligger åpent på Internett.

Så langt har de avdekket:
2048 overvåkningskameraer i Norge ligger tilgjengelig på nett
• Disse finnes i private hjem, nattklubber, butikker og restauranter
• Over 2500 styringssystemer er koblet til nett, med minimal eller ingen sikkerhet
500 av disse kontrollerer industriell eller samfunnskritisk infrastruktur
• Flere tusen databaser og servere gir deg alt innhold - uten å taste et eneste passord.

Amatører - Vi startet enkelt: «Hva kan personer uten spisskompetanse på datasikkerhet eller hacking finne åpent på nett?» Da vi begynte, ante vi ikke at det skulle bli så omfattende og med så mange funn av kritisk informasjon, sier journalist Espen Sandli.

SKAPEREN:: John Matherly har laget søkemotoren Shodan. Foto: Øistein Norum Monsen/Dagbladet Vis mer

- Det skrives mange saker i Norge og andre land om potensielle farer på nettet. Vi ønsket å gå lenger enn det. Vi ville vise helt konkret hva det er som svikter, hvor det er og hvilke konsekvenser det reelt kan få, sier Hillestad.

Dagbladet har i løpet av prosjektet undersøkt 535 320 unike norske IP-adresser og 707 358 åpne porter.

- Det som er skremmende, er hva journalister i Dagbladet uten spesielle datakunnskaper er i stand til å finne. Hva da med statsmakter, organiserte kriminelle og hackere, spør seniorrådgiver Vidar Sandland i Norsk Senter for Informasjonssikring (Norsis).

ID-tyveri og cyber-jihad Bakgrunnen for at Dagbladet ønsket å kartlegge datasikkerheten i Norge, er den store oppmerksomheten som er viet trusler i det digitale rom de siste åra.

Dette gjelder alt fra trusler mot privatlivets fred til ID-tyveri og andre former for kriminalitet, spionasje og cyber-terrorisme.

Trusler på nettet var også fokus i et eget kapittel i etterretningstjenestens sikkerhetsvurdering for 2013.

I rapporten framhever E-tjenesten blant annet at Al-Qaida og andre jihadistiske grupper beskriver «cyber-jihad» som en aksjonsform med stort skadepotensiale.

Slike grupper har derfor oppfordret til aksjoner mot blant annet kritiske styringssystemer.

Også andre myndigheter, globale bedrifter og organiserte hackergrupper betraktes av E-tjenesten som potensielle trusler i den digitale sfæren.

Ikke som Google Søkemotoren Shodan er et sentralt verktøy i Dagbladets research. Det er en helt spesiell søkemotor som finner enheter som er koblet til Internett, for eksempel servere, mobiltelefoner, webkameraer, servere, harddisker - eller store kritiske kontrollsystemer (såkalte SCADA-systemer).

Shodan fungerer imidlertid svært annerledes enn Google og andre søkemotorer folk flest er kjent med.

- Google lar deg søke etter nettsider, og nettsider er bare en liten del av nettet. Det er en rekke typer programvare Google ikke ser, og det er disse enhetene Shodan oppdager, sier Shodan-grunnlegger John Matherly til Dagbladet.

- Shodan bryr seg om enheten og programvaren i seg selv, mens Google fokuserer på dataene du får servert. Så Shodan søker etter metadataene, mens Google søker etter dataene i seg selv, sier han.

Fingeravtrykk - Shodan er ikke enkel som Google. Her søker vi etter «fingeravtrykk», for eksempel versjonnummeret til en helt konkret enhet fra en helt konkret produsent, sier Hillestad.

For å finne et kamera eller kontrollsystem søkes det etter større eller mindre deler av dette fingeravtrykket.


Teamet bak serien «Null CTRL» har funnet og foredlet flere hundre slike søketermer.

- Det er laget enkeltstående artikler basert på funn i Shodan tidligere, men da er det jeg eller andre eksperter som har funnet det fram for journalistene. Dagbladet gjør jobben selv, og i stor skala. Det har jeg enorm respekt for. Det er synd ikke flere journalister har forstått hvor godt redskap dette er i research, for å få større oppmerksomhet rundt datasikkerhet, sier Matherly.

Han har vært orientert om Dagbladets bruk av hans søkemotor, men ikke hatt noen rolle i søkene. Etter hvert som prosjektet har vokst, har Dagbladet innhentet veiledning fra nasjonale og internasjonale eksperter.

Her stopper vi - Har Dagbladet begynt med hacking?

- Nei. Så definitivt ikke. Vi hadde en etisk og juridisk gjennomgang med advokat og eksperter på området før vi startet. Det er viktig å få fram at Dagbladet ikke driver med hacking, sier Hillestad.

- Blir vi bedt om å taste et passord for å komme inn noe sted, gjør vi ikke det, sier Sandli.

Det betyr også at Dagbladets kartlegging av sviktende sikkerhet stopper der noen har satt et passord. Det gjelder også i tilfeller hvor passordet er enkelt å gjette.

- Det vi vet, er at mange aldri har byttet ut passordet enheten ble levert med. For personer med andre etiske og juridiske vurderinger enn oss, er det da såre enkelt å ta seg inn, sier Sandli.
 
Større omfang Det store antallet som bruker for enkle passord ble synliggjort av en omstridt gruppe hackere i fjor.

De søkte internett etter enheter som brukte ett av fire kjente standardpassord, og skal angivelig ha funnet flere hundre tusen enheter verden over.

- Omfanget av sårbare systemer i Norge er derfor sannsynligvis langt større enn det vi har avdekket, sier Hillestad.

Positive reaksjoner I flere tilfeller har journalistene oppsøkt privatpersoner og bedrifter, og vist dem hvilke sikkerhetshull de har.

- Det er klart det kan være ubehagelig for folk å bli fortalt at andre kan ha hatt tilgang til deres data. Men mottakelsen har nesten utelukkende vært positiv. Folk er genuint takknemlige for å bli varslet, sier Sandli.

Journalistene har varslet eiere, nettleverandører og/eller sikkerhetsmyndigheter i forkant av publisering, slik at sikkerhetshull blir tettet.

Les også:
Her er mannen bak «verdens farligste søkemotor»
Hele serien «Null CTRL»