KOM HACKERNE I FORKJØPET: Ved å søke opp deg selv på tjenester som Usikkert.no, kan du oppdage sikkerhetshull før uvedkommende gjør det. (Foto: OLE PETTER BAUGERØD STOKKE)
Søket alle bør gjøre
DinSide-leser opplevde at varmepumpen gikk bananas. Slik unngår du det samme.
Denne artikkelen er over ett år gammel og kan innholde utdatert informasjon
Artikkelen fortsetter under annonsen
Om Usikkert.no
Einar Otto Stangvik driver enkeltmannsforetaket Indev, og hjelper blant annet bedrifter til å avdekke sikkerhetshull. Ble kjent som "superhacker" i VG etter å ha avslørt en Høyre-politikers stjeling av private nakenbilder, og har tidligere blant annet avslørt sårbarheter i norske nettbank-apper til DinSide.
- Usikkert.no opprettet han på eget initiativ for å avdekke det han ser på som alvorlige sikkerhetstrusler i de norske hjem og bedrifter.
- Søkemotoren tråler regelmessig gjennom over 15 millioner norske IP-adresser på ulike porter, som kan tilhøre alt fra nettsider til kjøleskap.
- Svarer en webserver, blir svaret logget og IP-adressen lagret, før søkemotoren går til neste adresse.
- Svarene blir fortløpende kategorisert, slik at man for eksempel kan søke etter det som trolig er en skriver, et webkamera eller en TV. Ting man ikke finner på Google.
- Søkemotoren minner om SHODAN, som Dagbladet brukte til sin artikkelserie Null CTRL. Usikkert.no skiller seg blant annet på at den kun sjekker norske IP-adresser.
- Usikkert.no krever innlogging, og all bruk begrenses og logges. DinSide fikk utvidede rettigheter for å gjøre mer omfattende søk til denne artikkelen.
– Språket ble satt til svensk, varmepumpen ble skrudd av og på, pluss diverse andre små finurligheter.
Dette opplevde en DinSide-leser etter vår artikkel om søketjenesten Usikkert.no.
Her kan man finne tusenvis av dingser nordmenn har tilgjengelige på internett, som rutere, skrivere, skannere, webkamera, forsterkere og strømstyring av "smarte hus".
Mange av disse mangler sikker innlogging, og uvedkommende kan dermed enkelt gå inn og gjøre hva de vil, som å skru av og på lys og varme i norske hus. Og det var nettopp det som skjedde med vår leser.
– Heldigvis var det en ærlig sjel som skrev på en av sidene mine: "Du burde legge inn passord på siden", forteller leseren, som nå har satt passord.
Les mer: Her finner du tusenvis av printere, skannere, rutere, servere, webkameraer og forsterkere
Gjelder mange
Vår leser er langt fra alene om å ha blottlagt tekniske enheter på nettet. Forskjellen mellom han og andre, er at han nå selv har opplevd hva som kan skje.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenUsikkert.no har, ifølge skaperen Einar Otto Stangvik, om lag 400.000 søkbare tjenester. Det reelle tallet er angivelig høyere, da Usikkert.no bare søker etter tjenester på et gitt antall porter.
Av rundt 1.200 brukere som har søkt på tjenesten, har 400 av dem selv potensielt sårbart utstyr, det vil si hver tredje bruker.
– Hvor mange det gjelder er vanskelig å tallfeste, men basert på funn vet vi at det er et problem, forteller seniorrådgiver Vidar Sandland i Norsk senter for informasjonssikring (Norsis) til DinSide.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsenDet han også vet, er at det er relativt enkelt å sikre seg. Nedover følger de viktigste tipsene fra Sandland og Stangvik. Nøyaktig hvordan de ulike punktene gjøres på enheten din, finner du i bruksanvisningen.
Her finner du de aller beste PC-ene på markedet akkurat nå
1. Sjekk deg selv
Saken fortsetter under bildet
SØKER: Denne ordskyen viser hva de siste 60.000 søkene på Usikkert.no handlet om. Kameraer, filservere og strømstyring er tre av gruppene som går igjen. (Illustrasjon: USIKKERT.NO)
– Jeg er ikke kritisk til at folk lager tjenester som Usikkert.no i det hele tatt. De som er interessert i å finne ut av slikt gjør sine søk andre steder uansett. Og med slike verktøy finnes det ingen unnskyldning for å ikke sjekke seg selv, mener Sandland.
TA SJEKKEN: På Usikkert.no kan du enkelt søke opp din egen IP-adresse, for å se om du er i faresonen. (Skjermdump: OLE PETTER BAUGERØD STOKKE)
For samtidig som tjenester som norske Usikkert.no og internasjonale SHODAN lar uvedkommende finne ditt usikrede utstyr, lar det også deg finne dine egne sikkerhetshull. Dermed kan du utføre en aldri så liten "penetrasjonstest", som det kalles i sikkerhetsbransjen.
Usikkert.no har en egen funksjon øverst til høyre, "Sjekk din IP", som gjør et søk på IP-adressen du sitter bak.
Dagbladet har også en slik tjeneste i sin Null CTRL-serie. Det du finner her, kan også andre finne, så ta grep om du ikke får blankt resultat. Men selv med ingen treff er du ikke nødvendigvis sikker, da de ulike tjenestene ikke nødvendigvis dekker hele spekteret.
Artikkelen fortsetter under annonsenArtikkelen fortsetter under annonsen
2. Sett passord
– Mange kjøper utstyret uten å endre standardpassordet. De setter det opp, og er fornøyde så lenge det virker, forteller Sandland.
Dette betyr at uvedkommende kan google seg frem til passordet på enheten din. Noe utstyr blir også levert helt uten passord, som gjør det enda enklere.
Sett derfor alltid et sikkert passord på enhetene dine. Stangvik minner også folk på å alltid ha passord på sine trådløse nettverk. Du frykter kanskje ikke at naboen skal snylte på nettet ditt, men dette handler også om sikkerhet. Husk dessuten å ha et sikkert passord, det vil si noe du, og bare du, kjenner til.
Det betyr blant annet å ikke bruke det samme passordet på alle tjenester, og aldri dele det med noen.
Les mer: Slik lager du sikre passord som er enkle å huske
3. Slå av tjenester
– Mer og mer forbrukerelektronikk skal være tilgjengelig. Nå kommer det kjøleskap som er tilgjengelige på nett, og de fleste produsentene tenker ikke så mye på sikkerhet, forteller Sandland.
Artikkelen fortsetter under annonsenSpør deg selv: Trenger du virkelig tilgang til enheten? Har du behov for å for eksempel skanne et dokument via internett?
Om ikke: Slå av funksjonaliteten. Og når du kjøper et nytt produkt bør du undersøke om slik funksjonalitet finnes, for kanskje er den skrudd på som standard. Stangvik, mannen bak Usikkert.no, er også svært skeptisk til Universal Plug and Play (UPnP). Standarden for kommunikasjon mellom enheter kan åpne porter i ruteren din uten at du vet det, mener Stangvik. Bruker du ikke UPnP bør du med andre ord slå det av.
Artikkelen fortsetter under annonsenPå jakt etter ny ruter? Her finner du alle vi har testet!
4. Sikre innloggingen
SIKKERT: Må du gjennom en kryptert innlogging ser du "https" i nettadressen, og en hengelås i nettleseren. (Skjermdump: OLE PETTER BAUGERØD STOKKE)
– De fleste rutere er satt opp for å sperre alt utenfra. Ofte gjør de jobben sin, mens det er brukeren som punkterer sikkerheten. For de færreste har behov for å ha ting tilgjengelig direkte på internett, sier Sandland.
Artikkelen fortsetter under annonsenFor eksempel: Å kunne se webkameraet fra internett er noe mange ønsker. Men det går an å få tilgang på langt sikrere måter enn å bare skrive inn en IP-adresse direkte i nettleseren, som betyr at du har åpnet opp nettverket ditt mot omverdenen.
Sandland anbefaler å heller få tilgang via leverandørens nettsider. Pass også på at innloggingen foregår via kryptert kommunikasjon: Se etter "https" og et hengelåsikon ved nettadressen du bruker. Om ikke, kan andre sniffe opp passordet ditt.
5. Oppdater programvaren
SER PROBLEMET: Seniorrådgiver Vidar Sandland i Norsk senter for informasjonssikring (Norsis) mener alle bør ta åpne enheter på den største alvor. (Foto: NORSIS)
– Det kommer hele tiden avsløringer om sårbarheter, som gjør at folk kan komme inn uansett om du har passord eller ikke, fortsetter Sandland i Norsis.
Slik sårbarheter blir gjerne rettet gjennom oppdateringer til enhetenes programvare, den såkalte firmwaren. Pass derfor på å oppdatere denne så ofte som mulig. Av og til blir du varslet om oppdateringene automatisk, og det er da viktig at du godtar oppdateringen. Andre ganger må du selv aktivt inn på enheten for å se etter oppdateringer.
Stangvik anbefaler folk å få en rutine på slike oppdateringer, omtrent på samme måte som mange bytter batteriet i røykvarsleren til faste tider.
Mer lesestoff: Alle DinSides saker om sikkerhet
Denne saken ble først publisert på dinside.no.
