Hackere kan udløse falske jordskælvsalarmer, advarer forskere

I en ny forskningsartikel advarer et græsk forskerhold om, at almindeligt seismologisk udstyr er sårbart over for at blive hacket. Udstyret bruges bl.a. til at advare om jordskælv, der kan være til fare for mennesker i risikozoner. Får hackere kontrollen over udstyret, kan de manipulere med data og udløse falske jordskælvs-alarmer eller endnu værre, skjule ægte alarmer, så folk ikke når at blive advaret, inden det er for sent.

Forskerne beskriver, at det seismologiske udstyr i dag, ligesom så mange andre ting, er blevet forbundet til internettet. Faktisk fungerer moderne seismologiske stationer i dag som IoT-stationer (Internet of Things), og det gør dem sårbare over for de samme typer af angreb, som truer IoT-produkter i private hjem, f.eks. smart-højttalere, -ringeklokker m.m.

Forskerne undersøgte derfor udstyret for en række af de samme sårbarheder, der kan findes i almindelige IoT-produkter. De fandt bl.a. manglende datakryptering, svage protokoller for brugerautentificering, og at standardkonfigurationerne var usikre. Det lykkedes forskerholdet at udføre et DOS-angreb (Denial-of-service) på enhederne, der gjorde udstyret utilgængeligt under angrebet. Samtidig havde forskerne held med at hente brugernavne og kodeord til nogle af de angrebne enheder. Forskerholdet udførte flere angreb, hvor de også opsnappede overførsler af seismologisk data. Data som hackere ville kunne manipulere til enten udløse falske alarmer eller forhindre alarmer i at blive sendt ud.

“Det her er præcis de samme sårbarheder, som vi ser i helt almindelige IoT-produkter. Og det er bekymrende,” siger Bitdefenders sikkerhedsekspert Liviu Arsene. “Det her udstyr er ikke en billig internetforbundet pære, man skruer i lampen derhjemme. Det er dyrt udstyr, der i visse tilfælde findes for at beskytte mennesker mod naturkatastrofer. Det, forskerholdet her har bevist, er endnu et eksempel på, at sikkerheden ikke er prioriteret ift. de fordele, man opnår ved at forbinde enheder og udstyr til internettet.”

Arsene fortsætter: “Som det her eksempel og mange andre før det desværre har vist, så kommer sikkerheden i anden række, når vi taler om IoT og den modernisering, der følger med. Det er ikke lang tid siden, at vi så, hvordan et vandværk i Florida blev manipuleret med og vandet forsøgt forgiftet. Vi bliver nødt til at gøre det bedre, særligt når vi taler om enheder, der potentielt har indflydelse på folks sikkerhed og sundhed. Vi bliver nødt til at vende den trend, hvor moderne IoT-produkters sikkerhed først kommer i anden række. Om man er en organisation eller en privatperson, så bliver man simpelthen nødt til ikke kun at spørge om, hvad produktet kan, og hvad det koster, men også om hvor sikkert det er. Sikkerheden i IoT-enheder bliver nødt til at få en højere prioritet.”