Allt kan hackas

Det är tidig morgon i Santa Barbara och andra konferensdagen startar om ett par timmar. Men ärligt talat var första dagen tillräckligt skrämmande.
Det handlar alltså om säkerhet och tillförlitlighet i embeddedsystem och vanliga datorsystem. Eller kanske snarare den nästan totala brist på säkerhet som finns. Allt går att hacka och det gäller också infrastruktursystem som vattenförsörjning och elförsörjning.
De två klart mest tänkvärda föreläsningarna i går kom från Adriel Desautels, grundare av det ”legala hackerföretaget” Netragard, och  Dan Perrier, chef för Automated Control Systems, ett företag som sysslar med automatisering av infrastruktur. Adriel Desautels berättade om hur han och hans anställda hackare alltid kunde komma in i vilket system som helst. Netragard anlitas av företag för att testa deras system och det har tydligen aldrig hänt att man har misslyckats. I de få fall då man inte kunnat hacka sig rakt in i systemet har man lurat sig in via anställdas godtrogenhet, till exempel via Facebook.
– Ett annat bra sätt är att sprida ut en påse infekterade USB-minnen på parkeringsplatsen utanför företaget, säger Adriel Desautels, Någon plockar alltid upp ett USB-minne och testar i sin dator. Och de blir glada när de ser att minnet är tomt. Fast det var förstås inte tomt från början.
Dan Perriers berättelse från infrastrukturvärlden var på många sätt ännu värre. Där kopplas massor av olika styrsystem samman med stora datorsystem och det hela leder till nästan helt oöverskådliga resultat.
– Det största problemet är att embeddedsystemen aldrig var tänkta att kopplas till nätverk. I många fall tror man också att de inte är det, men verkligheten är att man nästan alltid kan nå alla delar på något sätt. Och säkerheten är för det mesta helt obefintlig.
Ofta handlar det inte bara om utsatthet för hackare, utan också om att systemen är osäkra i sig. Dan Perrier berättade om tillfällen där man försökt testa säkerheten, men omedelbart tvingats avbryta för att allt höll på att gå åt skogen. En enkel portskanning höll till exempel på att sänka elförsörjningen för en stad. Om orsaken till att så lite har hänt hittills säger han.
– Jag har faktiskt ingen aning. Vi har väl haft tur.
Eller som Chris Edwards, den andre europeiske journalisten på konferensen, uttryckte det:
– We are doomed.

Leave a Reply