Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se, e-DN och DN.Prio.

Med ett gratiskonto kan du följa skribenter och ämnen samt bokmärka artiklar.

Hej !
Mitt DN Ämnen jag följer Sparade artiklar Kundservice Logga ut
Ekonomi

Vanliga modem lätta att kapa

Bredbandsbolaget har allvarliga säkerhetsbrister i sina modem som gör att många svenskars internetuppkopplingar är vidöppna för utomstående att kapa.

Det innebär att andra i realtid kan se vilka sajter som besöks, läsa mejl och ta över bankkonton. DN testade hos 56-åriga ­Kerstin Sännås – och kunde se i princip allt hon gjorde på internet.

DN inleder nu serien ”Det sårbara digitala samhället” där vi avslöjar brister i hur företag och myndigheter hanterar sin och ­privatpersoners IT-säkerhet.

Bredbandsbolaget är en av landets största internetleverantörer och har, enligt egen utsago, 25 procent av den svenska marknaden.

DN kan nu visa att några av de vanligaste modemen som ingår i företagets abonnemang har allvarliga säkerhetsbrister. Produkterna marknadsförs med orden ”surfa säkert utan sladdarna”, men de aktuella modemen har så dålig säkerhet att utomstående kan avlyssna internetuppkopplingen.

De osäkra modemen är av märket Zyxel – modellerna 2601, 2602 och 2812. Enligt Bredbandsbolaget har företaget nästan en halv miljon kunder – och enligt kundtjänsten är dessa modem de i särsklass vanligaste. Det betyder att säkerhetsbristen sannolikt berör minst 100.000 hushåll.

DN har testat hos tio personer runt om i landet och har utan större svårig­heter kunnat kapa hushållens internetanslutning. Vi fick deras godkännande före testen. Trots att vi befann oss flera mil därifrån kunde DN i realtid se i princip allt de gjorde på internet – till exempel vilka hemsidor som besöktes och viss mejltrafik.

– Det är jätteilla, särskilt som användarna litar på att operatören ger ut en utrustning som är säker. Modemen kan inte ha genomgått någon säkerhetsgranskning av en kunnig person över huvud taget, säger Leif Nixon, säkerhetskoordinator på Nationellt superdatorcentrum vid Linköpings universitet som har hjälpt DN med granskningen.

För att sårbarheten ska kunna utnyttjas krävs att internetanvändaren lockas att besöka en hemsida som innehåller skadlig datorkod (alltså en programinstruktion till datorn). Koden skulle till exempel kunna läggas in på en sida som innehåller bilder på gulliga djur, eller dolt i en annons på en helt vanlig hemsida. Genom koden som göms på sajten kan utomstående ändra vilken så kallad domännamnserver som modemet ska använda. Servern är en särskild dator som i  normalfallet står hos internetleverantören och som modemet anropar när webbläsaren vill veta vilket ip-nummer en sajt har. DN.se översätts exempelvis till 212.28.194.152.

Om den riktiga domännamn­servern byts ut till hackarens egen server får han eller hon kontroll och kan se vilka sajter som besöks. Det går till och med att skicka internetanvändaren till fel ställe. Det betyder att en person skulle kunna gå in på www.nordea.se i webbläsaren, men komma till en falsk banksida.

– Det här är en dröm för dem som håller på med ekonomiskt driven IT-brottslighet. Får man den här sortens tillgång till ett modem kan man i princip utföra vilka ­attacker som helst på hemsidor där man använder kontokortsuppgifter. Många tänker att ”ingen är väl intresserad av min dator”, men det är alltid intressant att kapa en massa datorer, routrar och modem, säger journalisten Linus Larsson som har skrivit flera böcker om hackare och IT-brottslighet.

Utomlands har liknande säkerhetshål i modem utnyttjats av bedragare, vilket har uppmärksammats i branschtidningar. Hösten 2013 hackades 300.000 polska modem när domännamnservern ändrades så att brottslingar kunde kapa bankkonton. År 2012 hackades 4,5 miljoner modem på liknande sätt i  Brasilien. Indien, Italien och Storbritannien är andra länder som har drabbats på motsvarande sätt de senaste åren.

– Eftersom attackerna har fått så stor spridning över internet tror jag att risken är stor att svenska kunder redan har blivit drabbade. Det här är på riktigt, säger Leif Nixon.

Zyxel 2601 och 2812 är så pass sårbara att det med hjälp av datorkoden till och med går att få ett så kallat root-kommandoskal på modemet. Det innebär att en hackare kan installera program på enheten, till exempel tcpdump som är ett slags spionverktyg som loggar allt en användare gör på internet.

Kerstin Sännås, 56 år, är kund hos Bredbandsbolaget och har ett Zyxel­modem. DN ber henne att gå in på en hemsida med bilder på söta katter där vi har planterat skadlig kod. Två minuter senare har vi full kontroll över hennes internetuppkoppling – utan att hon märker något.

Så fort hon går in på en sajt, dyker hennes surfuppgifter upp i realtid även på DN:s datorskärm. Vi kan till och med se vad som skrivs i olika formulär på hemsidor. Undantaget är sajter som skyddas med kryptering. Banksidor i Sverige är krypterade, men det hjälper inte om modemet kapats och användaren skickas till en falsk hemsida och fyller i sina uppgifter där.

När Kerstin Sännås lämnar hemsidan med de gulliga katterna fortsätter spionprogrammet att fungera.

– Jag blev förvånad över att det var så enkelt för er att titta på vad jag gör på internet. Det här är ju inte alls bra, säger hon när DN visar vad vi ser i vår dator.

Till exempel demonstrerar vi hur enkelt det är att byta ut swedbank.se mot en falsk sida.

Kan du gå in på Swedbanks hemsida?

– Javisst.

Ser du något speciellt?

– Nej, det ser ut som det brukar. Det står swedbank.se i adressfältet.

Tryck på ”Logga in”, så får du se.

– Oj, det var värst, säger Kerstin Sännås när vi avslöjar att hemsidan i själva verket är falsk – skapad av DN.

– Jag kommer att vara mer försiktig framöver.

För att skydda sig mot säkerhetsbristerna i Zyxel-modemen hjälper det inte att installera ett antivirusprogram eller en brandvägg.

Det hjälper heller inte om man byter lösenord på modemet. Det visar sig nämligen att alla Zyxel-modem hos Bredbandsbolaget är förprogrammerade med ett dolt användarkonto som heter ”Kung” med ett dåligt lösenord på bara fyra tecken och som ger fullständiga rättig­heter att ändra inställningar. Kommer man in på det kontot kan man ta kontroll över modemet.

För de personer som har ­hem­telefonen via bredbandet skulle det även gå att avlyssna telefonsamtal.

Leif Nixons bedömning är att det även skulle gå att utnyttja vissa av modemen utan att de drabbade klickar på en länk till en hemsida med skadlig datorkod. Mellan 8.000 och 16.000 Zyxel-modem från Bredbandsbolaget är nämligen exponerade på nätet eftersom de är felaktigt konfigurerade och har en gammal version. På en IT-säkerhetskonferens förra året presenterade två IT-experter allvarliga brister i modemet Zyxel 2601. Trots uppmärksamheten finns bristerna kvar hos vissa av Bredbandsbolagets modem.

Varför ska man bry sig om detta om man har rent mjöl i påsen?

– Det finns två aspekter. Alla har någonting att dölja som man inte vill ska hamna på internet. Man ska också ha i åtanke att det här inte bara handlar om pinsamma saker. Det kan till exempel handla om ens kontakter med banken. Du tror att du har en säker uppkoppling mot din bank, men det kanske du inte har om ditt eget modem inte är pålitligt, säger Leif Nixon.

DN har inte kunnat testa alla modem på den svenska marknaden. Vi har gjort stickprov på ett antal andra modem hos de största leverantörerna men inte hittat motsvarande brister där.

DN granskar. Så tipsar du DN

1. På tjänsten ”DN granskar” kan du tipsa oss om missförhållanden och lämna information som kan vara känslig. Adressen är dngranskar.dn.se. DN skyddar sina källor.

2. Tjänsten är uppbyggd för att ge dig som tipsare största möjliga säkerhet. Därför krypteras ditt tips.

3. Du får vara anonym. Granskande reportrar tar hand om tipset.

dngranskar.dn.se

Ordlista

Datorkod: Ett slags program­instruktion till en dator.

Domännamn: dn.se och skatteverket.se är två exempel.

Modem: Förbinder din dator med internet. De flesta modem som ingår i bredbandsabonnemang fungerar även som trådlös router.

Root-kommandoskal: Om en person får ett root-kommando­skal på till exempel en dator eller modem innebär det att han eller hon har behörighet att installera program och ändra inställningar på apparaten.

Router: Gör det möjligt att koppla ihop enheter i ett nätverk. Till exempel telefoner, laptops och skrivare.

Server: En server är ett slags dator som en klient (till exempel en webbläsare) kan koppla upp sig mot.

Tcpdump: Lite förenklat kan man säga att det är ett ”spionprogram”, men en tcpdump är egentligen inget elakt program i sig. Den kan vara ett bra verktyg för att göra felsökningar.

Om artikelserien

Granskningen:

I serien ”Det sårbara digitala samhället” granskar DN bristande IT-säkerhet hos företag och myndigheter.

Internet får allt större be­tydelse i samhället och i hemmet. Samtidigt flyttar brottsligheten ut på internet – och cyberkrigföring från andra stater blir allt vanligare.

Reportern:

Kristoffer Örstadius är reporter på DN och kan programmering. Han fick i våras journalistpriset Guldspaden för sin granskning av krisen i den svenska skolan.

Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.