Logga in på Dagens Nyheter

Här kan du som DN-kund logga in för obegränsad läsning av DN.se och e-DN.

Med ett gratiskonto kan du följa skribenter och ämnen samt spara artiklar.

Nyheter

Expert: Kamerornas säkerhet är undermålig

DN:s reporter köpte en webbkamera och kopplade upp den i sitt vardagsrum. Loggfilerna avslöjar hur i snitt 43 personer varje dag gick in och smygtittade.

Tusentals svenskar har webbkameror som är möjliga för andra att komma åt.

Övervaka barnkammaren? Sommarstugan? Eller kanske kontoret?

I marknadsföringen beskrivs webbkameror som trygga och praktiska. De kostar ofta under tusenlappen och går enkelt att koppla in i bostaden, till exempel som babymonitor eller för att ha koll på hemmet när man är ute och reser.

Men de är också sårbara. Minst 31.000 webbkameror i Sverige är uppkopplade mot internet, visar en kartläggning som DN har genomfört av hela det svenska internet. Dessa prylar är därmed också öppna för intrång.

I ett experiment har Dagens Nyheter köpt en vanlig webbkamera och kopplat upp den i reporterns vardagsrum. Av integritetsskäl har vi manipulerat utrustningen så att den visar en treminutersfilm som går om och om igen i stället för en ”direktsändningsvy”.

All nätverkskommunikation till och från enheten har loggats dygnet runt. Redan efter tre dagar hackar sig en okänd person in sig på kameran från en ip-adress i Italien. På filmen syns hur reportern sitter i vardagsrummet och tittar på tv. Personen smygtittar på kameran i två minuter.

 

Många inser inte vad de gör när de exponerar sin utrustning mot internet.

 

De kommande månaderna besöks webbkameran vid betydligt fler tillfällen. I april smygtittar varje dag i snitt 43 personer på filmen. Sammanlagt, under de sju månader som DN genomför experimentet, har drygt 6.000 smygtittningar registrerats. Cirka fem procent av trafiken har skett från svenska ip-adresser.

Ur juridisk synvinkel skulle ”besöken” betraktas som dataintrång.

– Det här har ju länge varit en ganska hypotetisk diskusson. Vem som helst kan ju komma åt den, men att verkligen få hårda siffror på att folk gör det är intressant. Och dessutom att folk gör det i så stor utsträckning, säger it-säkerhetsexperten Leif Nixon, som tidigare arbetade på Nationellt superdatorcentrum vid Linköpings universitet.

 

Att hacka webbkameror är ofta mycket enkelt. Man skulle kunna säga att det sker i två steg:

Foto: DNFörst måste angriparen hitta webbkamerans ip-adress.
Det kan låta krångligt, men för detta finns det bland annat särskilda sökmotorer som indexerar uppkopplade enheter som hjälper till.

 

 

Foto: Ibland räcker det sedan med att skriva in ip-adressen i en webbläsare för att se filmen direkt på skärmen.
Oftast behöver däremot angriparen forcera en inloggningssida. Men användarna byter sällan lösenord utan använder de som tillverkaren förinställt, ofta ”admin” eller ”password”.

 

I DN:s experiment har vi använt oss av en webbkamera som kräver lösenordsskydd, men inte bytt lösenord. I övervakningen av nätverkstrafiken kan vi se hur angriparna ofta testar olika lösenord för att till slut logga in på kameran som visar reporterns vardagsrum.

Foto: DN– Även om en användare skulle byta ut sitt lösenord är man utsatt för alla eventuella säkerhets- hål. Elektronikprodukter för privatbruk har urusel kvalitet på sin mjukvara. Det är ingenting som man alls ska exponera mot internet. Det är en strid ström av sårbarheter. Att försöka uppdatera programvaran är heller inte särskilt enkelt, säger Leif Nixon.

Riskerna med webbkameror är inte enbart teoretisk. För några år sedan uppmärksammades det att en familj i USA fick sin babymonitor hackad, alltså en slags webbkamera som används för att övervaka barnkammaren. Mitt i natten väcktes föräldrarna av en mansröst som skrek på bebisen. Det visade sig att en okänd person hade gjort intrång i familjens nätverk. Utredningen kom fram till att hackaren inte bara hade tittat på bebisen genom babymonitorns kamera, utan även interagerat.

• Läs mer – Linus Larsson: Branschen beter sig amatörmässigt

Ett annat exempel är ett rättsfall från Finland. År 2013 åtalades en man i 30-årsåldern misstänkt för att ha fotograferat över hundra personer, främst unga kvinnor, med deras webbkameror.

I Dagens Nyheters kartläggning har vi alltså hittat minst 31 000 uppkopplade webbkameror i Sverige. Utifrån ip-adresserna kan vi se att de flesta enheter sannolikt finns hos privatpersoner. Men i förteckningen över ip-adresser finns också en hel del företag och några kommuner.

Majoriteten av de uppkopplade webbkamerorna ligger bakom inloggningssidor. Av juridiska skäl har DN inte testat att logga in. Däremot vet vi genom kartläggningar som it-säkerhetsexperter har gjort att en stor andel av webbkameror har standardlösenord, alltså precis som i vårt experiment.

Varför kopplar folk upp webbkameror på internet?

– Jag kan ju bara spekulera. Man kanske vill kunna sitta på jobbet och kolla på övervakningskameran hemma – utan att tänka sig för vad det innebär. Många inser inte vad de gör när de exponerar sin utrustning mot internet, säger Leif Nixon.

kristoffer.orstadius@dn.se

Fakta. Så gjorde vi granskningen

  • Vi köpte en webbkamera och kopplade upp den i reportern Kristoffer Örstadius bostad. Ur integritetsperspektiv programmerade vi en enhet som utgav sig för att vara kameran som visade webbkameravyn i direktsändning. Men i stället visade den en treminutersfilm som gick om och om igen.
  • Vi lät den bli exponerad mot internet, utan att ändra de förinställda lösenorden. All aktivitet loggades.
  • Kameran som vi använde var D-Link DCS-2130, men det hade lika gärna kunnat vara en annan modell eftersom i stort sett alla webbkameror på konsumentmarknaden är lika sårbara.

Så skyddar du dig:

  • Säkerställ att webbkameran inte är exponerad direkt mot internet.
  • Uppdatera mjukvaran i webbkameran om möjlighet finns.
  • Om du ändå tvunget vill exponera din webbkamera mot internet. Se då till att du har ett svårt lösenord och att enheten dessutom helst är uppkopplad så att du når den först genom att använda en så kallad ”tunnel”.
DN serie. Det sårbara digitala samhället
Så här jobbar DN med kvalitetsjournalistik: uppgifter som publiceras ska vara sanna och relevanta. Rykten räcker inte. Vi strävar efter förstahandskällor och att vara på plats där det händer. Trovärdighet och opartiskhet är centrala värden för vår nyhetsjournalistik. Läs mer här.