Med hjälp av sökmotorn Shodan har den israeliske säkerhetsforskaren Noam Rotem riktat in sitt sökljus på kylsystem från det skotska företaget Resource Data Management (RDM). Dessa kylsystem säljs över hela världen, bland annat till sjukhus och livsmedelsföretag. Kylsystemen från RDM är uppkopplade mot internet för att det ska vara enkelt att övervaka dem, och i förekommande fall även styra dem, eller till exempel att ladda in ny styrmjukvara.
Problemet är inte detta; problemet är att de inte skyddas på ett vettigt sätt. Det är väldigt enkelt att logga in på dessa system eftersom grundlösenordet är löjligt enkelt och sällan ut byts ut efter installation av kylsystemen.
RDM:s kylsystem säljs som sagt till hela världen, bland annat till stora livsmedelskedjor som Marks & Spencer, Ocado och Way-on. Noam Rotem har hittat oskyddade kylsystem från RDM i bland annat Storbritannien, Australien, Israel, Tyskland, Nederländerna, Malaysia, Island – och, visar det sig, även hos svenska Ica och Hemköp.
Det gemensamma för dessa system är att de kommunicerar oskyddat över http och tcp-porten 9000, eller i vissa fall över port 8080, 8100 eller helt enkelt port 80. Alla system levereras med ett enkelt användarnamn och lösenordet "1234”, som alltså sällan byts ut. Sammantaget betyder detta att säkerheten är på i stort sett lägsta tänkbara nivå och öppnar för illasinnade att ställa till med stor skada i de aktuella butikerna.
Faktum är att man inte ens behöver använda sökmotorn Shodan för att hitta systemen; det duger bra med Google – allt man behöver är rätt url, vilket inte är speciellt svårt. Techworld går av säkerhetsskäl inte in på dessa detaljer, men vi har sett hur enkelt det är. Bara genom en Google-sökning går det att hitta bland annat ett kyllager i Storbritannien och ett sjukhus i Tyskland där oskyddade kylsystem från RDM finns installerade. Den som använder Shodan dessutom, kan snabbt och enkelt hitta tusentals oskyddade kylsystem.
Ett exempel på ett oskyddat system, i en Ica-butik i Sverige, ser ut så här. Notera att allt som krävs för att stänga av hela systemet är en ett klick på rätt knapp. Det ser även ut som att man kan stänga av temperaturlarmet.
För samma Ica-butik kan vi här se en ritning över hela butiken och alla dess kylar och frysar, och den andra bilden visar en ritning över maskinrummet. Allt går att styra med knapparna nedtill.
Ett annat exempel visar en annan modell av kylsystemet, även detta från en matbutik i Sverige, och även här ser vi att det går att styra systemet. Se raden med knappar längst ned.
Ytterligare ett exempel visar en översikt över alla kylar och frysar på en stor Ica-butik i centrala Stockholm.
Ett sista exempel kommer från en av Sveriges mest välbesökta Hemköp-butiker i centrala Stockholm.
När vi summerar situationen så är det inte mindre än 36 svenska livsmedelsbutiker och ett slakteri som exponerar oskyddade kylsystem mot internet. Butikerna ligger på bland andra följande orter:
Alingsås, Boden, Gustavsberg, Gävle, Göteborg, Halmstad, Lidingö, Linköping, Luleå, Lund, Märsta, Nacka, Norrköping, Sandviken, Skara, Skellefteå, Staffanstorp, Stockholm, Strängnäs, Sundsvall, Söderhamn, Umeå, Uppsala, Varberg, Vellinge, Vilhelmina, Västerås och Växjö.
Resource Data Management i Skottland är informerat om säkerhetsbristerna och säger i ett svar att det är upp till kunderna att säkra systemen genom att byta lösenord, men att man nu ska gå ut med en påminnelse om detta till sina kunder.
Den internationella delen av Noam Rotems analys finns att läsa i ett blogginlägg hos Safety Detective.
Läs också:
Vi hackade ett Google-konto på fem minuter – tack vare teleoperatörens slarv
Tusentals svenska företag öppna för gisslanattacker
