OPPDAGET SIKKERHETSHULL: Da Thomas Sundberg sjekket datasikkerheten sin med Dagbladets testmotor, fant han ut at han kunne få tilgang til ruteren sin eksternt via to ulike brukere med standard brukernavn og passord. Foto: Privat
OPPDAGET SIKKERHETSHULL: Da Thomas Sundberg sjekket datasikkerheten sin med Dagbladets testmotor, fant han ut at han kunne få tilgang til ruteren sin eksternt via to ulike brukere med standard brukernavn og passord. Foto: PrivatVis mer

Thomas' Get-boks lå åpen ut mot nettet

Oppdaget det med Dagbladets datasikkerhets-test.

Hei, denne artikkelen er over ett år gammel og kan innholde utdatert informasjon

(Dagbladet): I forbindelse med artikkelserien «Null CTRL» lanserte Dagbladet denne uka en testfunksjon hvor leserne kan sjekke sin egen datasikkerhet.

Thomas Sundberg er én av over 100 000 personer som hittil har prøvd denne testen.

Resultatet overrasket ham.

- Jeg har fulgt med på artikkelserien, og tenkte at det kunne vært morsomt å prøve ut testmotoren. Jeg anser meg selv som relativt IT-kyndig, og syntes det var svært spesielt da testen slo ut på at web-porten min sto åpen, sier Sundberg til Dagbladet.

Åpen ruter Han fant ut at det var hans nye «Get box 2» som lå åpent ut mot nettet. Dette er den nye «superboksen» fra Get, som gir TV, telefoni og trådløst bredbånd via samme boks.

- Da jeg så at den sto åpen, tenkte jeg at dette var greit, for de fleste rutere har en digital inngangsport. Men det som ikke er greit, var at denne kringskastet internadressen min, sier Sundberg.

Han søkte på nettet og fant ut at Get-boksen hans hadde to ulike brukerkontoer som han også fikk ekstern tilgang til via Internett, begge bare beskyttet med standardpassord.

NY BOKS: Gets nye boks tilbyr TV, bredbånd og telefoni i én og samme boks, og har fått gode resultater i ulike tester. Foto: Get
NY BOKS: Gets nye boks tilbyr TV, bredbånd og telefoni i én og samme boks, og har fått gode resultater i ulike tester. Foto: Get Vis mer

Den ene var hans egen kundebruker, den andre var Gets, som de bruker hvis de skal fjernkonfigurere ruteren for kunden.

Artikkelen fortsetter under annonsen

Kan utnyttes Om uvedkommende får tilgang til en ruter, kan dette føre til flere problemer.

- Via mange rutere kan du få tilgang til hele nettverket og dermed alle delte bilder og filer. Du får de samme rettighetene som om du satt inne i huset ditt, sier seniorrådgiver Vidar Sandland i Norsk senter for informasjonssikring (Norsis) til Dagbladet.

- I tillegg kan du åpne opp brannmuren og sette opp en server som for eksempel kan brukes til å spre ulovlig materiale ut på nettet.

Sundberg byttet raskt begge passordene. Likevel kunne Dagbladet - og alle uvedkommende - fortsatt se en oversikt over alle enhetene koblet til nettet på hans IP-adresse. Dette kan være alt fra telefoner og PC-er til printere og annet teknisk utstyr.

- Jeg synes ikke noe særlig om at andre kan gå inn og se alle enheter jeg har tilkoblet i min leilighet uten å taste noe passord, sier han.

- Et avvik Get har undersøkt saken, og mener denne boksen hadde et avvik.

- «Get box 2» har en innebygd tilgangskontroll som gjør at det ikke er mulig å identifisere ruteren utenfor hjemmenettverket, sier kommunikasjonssjef Anders Bigseth i Get.

De har nå undersøkt hvorvidt denne fungerer.

- Vi har nå skannet alle boksene som er i markedet, og funnet at det har vært fire bokser som har et avvik. Den ene har vi allerede erstattet, og de tre andre blir byttet ut i dag, sier Bigseth.

- Nå vil underleverandøren vår undersøke disse boksene nærmere for å finne årsaken til at disse har et avvik.

Sundberg har fått en ny boks, som ser ut til å fungere. Han er svært fornøyd med at Get tok tak i feilen så raskt.

Gjorde endringer Vidar Sandland i Norsis anbefaler på generelt grunnlag å teste sitt eget nettverk for åpne enheter. I tillegg til Dagbladets test, som søker i en statisk database, finnes flere andre tester på Internett, for eksempel grc.com.

Get opplyser mandag kveld til Dagbladet at de har vært i kontakt med de tre andre brukerne, som opplyser at de har gjort endringer inne i Gets admin-konto, som har gjort ruteren søkbar på Internett.

- Vi er glade for at «Get box 2» verken har feil eller avvik, men vi vil for sikkerhets skyld stenge tilgangen til admin-kontoen gjennom en framtidig programvareoppdatering, sier Anders Bigseth mandag kveld.

Thomas Sundberg mener at han ikke har gjort noe selv som har forårsaket at hans ruter lå åpen ut mot nettet.

FIRE ÅPNE: Get har undersøkt salen og fant totalt fire bokser som var søkbare på nettet. Mandag kveld opplyser kommunikasjonssjef i Get, Anders Bigseth, at de har snakket med de tre andre kundene, som hadde gjort endringer i Gets admin-konto. Thomas Sundberg mener han ikke har gjort dette. Foto: Get
FIRE ÅPNE: Get har undersøkt salen og fant totalt fire bokser som var søkbare på nettet. Mandag kveld opplyser kommunikasjonssjef i Get, Anders Bigseth, at de har snakket med de tre andre kundene, som hadde gjort endringer i Gets admin-konto. Thomas Sundberg mener han ikke har gjort dette. Foto: Get Vis mer