– Resultaten var helt otroliga. Så fort vårt smarta hem dök upp på Shodan fick vi 2 000 till 3 000 inloggningsförsök varje dag. De första kom efter bara några minuter, berättar Michael Veit som är säkerhetsexpert på Sophos.
Säkerhetsfirman har under hösten testat vad som händer om man öppnar upp ett smart hem mot nätet. Shodan, en sökmotor som skannar av nätet efter uppkopplade prylar, snappade genast upp prylarna, och hackarna kastade sig över dem.
Sophos smarta hem, en slags fysisk honungsfälla, är dryga tio kvadratmeter till ytan och uppkopplat till tänderna. Här finns smarta lås, lampor, värmesystem, larm och en mängd sensorer – och så klart en Amazon Echo för röststyrning. Runt två dussin enheter som går att nå via en webbportal.
Läs också: Tillväxt på 2500 procent – ransomware har blivit en miljardindustri
På bara ett par veckor hade det gjorts över 70 000 försök att logga in, från nära på 30 000 unika ip-adresser.
Hade ni väntat er all den här aktiviteten?
– Vi hade faktiskt inte trott att det skulle gå så fort. Väldigt kort efter att vi blev listade av Shodan började de testa oss. Så det är uppenbart att det finns många där ute som spanar efter smarta hem, säger Michael Veit.
Den andra delen av studien har gått ut på att undersöka hur många hem som är öppna mot nätet. Det Sophos gjort, och det många andra faktiskt gör i verkligheten, är att lägga en öppen inloggningssida mot nätet. Så att du med rätt lösenord kan logga in från vilken enhet som helst, var du än befinner dig.
Genom att skanna av sökmotorer som Shodan och Censys har Sophos hittat över 68 000 uppkopplade hem med öppna webbportaler. Minst 873 stycken bara i Sverige.
Det krävs visserligen ett lösenord för att komma åt de flesta av dem, och oftast är ett bra lösenord skydd nog. Trots tusentals försök varje dag har ingen hackare tagit sig in i Sophos smarta hem – men de verkar å andra sidan inte försökt särskilt hårt.
– Hittills har ingen lyckats penetrera vårt första försvar. Det är goda nyheter. Hackarna försöker uppenbarligen inte ta sig in i just det här smarta hemmet. Det beror så klart på att det inte är ett tillräckligt värdefullt mål, och de finns så många andra smarta hem där ute som är enklare att ta sig in i, säger Michael Veit.
En orsak till det är standardlösenord.
De flesta produkter i sakernas internet levereras med enkla standardlösenord. Tänk "admin" eller "password". Så det de flesta hackare gör är att skriva skript som söker av nätet och testar standardlösenord tills de kommer in – varför bry sig in att bryta upp låset när grannen har lämnat dörren öppen?
Det är den typen av säkerhetsslarv som bäddat för botnätverk som Mirai. Dessutom finns företag som säljer uppkopplade prylar med hårdkodade lösenord som inte ens går att ändra.
– Det angriparna försöker lyckas med är att bara ta över din datorkraft. De använder exempelvis webbkameror, routrar eller spelkonsoler för att genomföra ddos-attacker, säger Michael Veit.
Men det är bara början. Han förutspår att vi i takt med att våra hem blir mer uppkopplade kommer att se andra typer av attacker. Ransomware-liknande angrepp, fast där hackarna låser ditt hem istället för dina filer.
Läs också: Säkerhetshål i Tor – webbläsaren kan läcka din ip-adress
– Det är väldigt lätt att pressa pengar ur någon som vill ta sig in i sitt hus, använda sin värmeanläggning eller slå på sina solpaneler. Folk kommer att betala pengar för det, precis som de som inte har en backup betalar för att få tillbaka sina foton, säger Michael Veit.
– Inom en snar framtid finns det förmodligen också en marknadsplats där den som vill göra inbrott kan gå in och be om hjälp att hitta hus i närheten där rörelsesensorerna inte registrerat några rörelser på ett par dagar, så man vet att de som bor där är på semester.
Lösningen han efterlyser är krav på högre säkerhet. Från tillverkarna, men kanske framförallt i form av lagstiftning.
– Som att lösenord måste ändras första gången du använder en produkt, och att tillverkaren måste lova att släppa uppdateringar till den i åtminstone ett par år. Som med Android-telefoner. Det är sådana saker jag väntar mig ska ske de närmaste åren, säger Michael Veit.
