Sverige

Säkerhetsbrist åtgärdades inte – trots expertens larm

Det tog bara någon minut för DN:s Kristoffer Örstadius att hacka sig in i Comhems modem.
Det tog bara någon minut för DN:s Kristoffer Örstadius att hacka sig in i Comhems modem. Foto: Nils Öhman

I 14 månader har Comhem känt till att företaget har allvarliga säkerhetsbrister i sina kunders modem.
Trots larm från en IT-säkerhetsexpert i augusti 2013 har luckan ännu inte täppts till.

DN kan nu avslöja att ytterligare modem i Sverige har allvarliga säkerhetsbrister. Det handlar om ett av Comhems vanligaste modem, Netgear CG3100. Det går på bara någon minut att hacka modemet och därmed ta sig in i Comhemkundernas datornätverk.

Comhem har inte åtgärdat säkerhetsbristerna, trots att företaget har känt till dem i minst 14 månader.

Bristerna upptäcktes av IT-experten Johan Rydberg Möller i augusti förra året. Han påträffade sårbarheten i sitt eget modem hemma och tog kontakt med Comhem, både på Twitter och via mejl. Han beskrev säkerhetsbristerna i detalj.

Några dagar senare, den 28 augusti 2013, svarar Comhem på mejl att tekniker har undersökt och ”kan konstatera” att det är en ”bugg i mjukvaran”. Vidare skriver företaget att ”Detta kommer att lösas i nästa mjukvarurelease som kommer att ske inom kort. Vi vill tacka dig för att du uppmärksammade felet och att du tog dig tid att meddela oss det”.

14 månader senare är säkerhetsbristerna fortfarande kvar i modemen. DN har verifierat säkerhetshålet genom egna tester hos sex privatpersoner. Även i Johan Rydberg Möllers modem är säkerhetshålet kvar.

– Det är exakt samma resultat. De uppdateringar som Comhem lovade att göra har inte genomförts. Det är faktiskt riktigt dåligt och anmärkningsvärt, säger Johan Rydberg Möller.

DN har fått tillstånd av de sex privatpersonerna att hacka deras modem.

Precis som hos Bredbandsbolaget finns det ett dolt användarkonto i alla Comhems Netgear-modem. Av säkerhetsskäl kan vi inte skriva vad det heter, men både användarnamnet och lösenordet – som DN har testat – är anmärkningsvärt dåliga.

För att sårbarheten ska kunna utnyttjas krävs att internetanvändaren lockas att besöka en hemsida som innehåller skadlig datorkod (alltså en programinstruktion till datorn). Koden skulle till exempel kunna läggas in på en sida som innehåller bilder på gulliga djur, eller dolt i en annons på en helt vanlig hemsida.

Bristen gör det möjligt för utomstående att till exempel ändra inställningar i modemens brandvägg. I fyra av sex fall är själva internet- anslutningarna dessutom vidöppna för kapning. DN har utan problem kunnat byta ut den så kallade domännamnservern. Servern kan liknas vid en ”adresslista” där sajtadresser översätts till ip-nummer. Det innebär att det i realtid går att se vilka sajter som besöks och även skicka ut falska sajter och därmed sno till exempel bankuppgifter.

Hos alla testade kunder finns säkerhetsbrister, men i två av de sex hushållen har DN inte kunnat byta ut just domännamnservern. Det indikerar alltså att det inte är alla kunder som berörs av den riktigt kritiska sårbarheten.

Utomlands har liknande säkerhetshål i modem utnyttjats av bedragare, vilket har uppmärksammats i branschtidningar. Hösten 2013 hackades 300 000 polska modem när domännamnservern ändrades så att brottslingar kunde kapa bankkonton. År 2012 hackades 4,5 miljoner modem på liknande sätt i Brasilien.

DN konfronterade i måndags Comhem med uppgifterna om säkerhetshål. Företaget tillbakavisade då att modemen har de aktuella bristerna.

DN presenterade under gårdagen en film för företaget där vi visar att det faktiskt går att hacka modemen. I går kväll svängde Comhem. Presschefen Fredrik Hallstan säger nu att de ska arbeta på att lösa problemen.

– Vi tycker naturligtvis att det är allvarligt med de brister som du påtalar. Det är bra att ni har uppmärksammat oss på det. Vi jobbar på det tillsammans med Netgear. Sedan är det viktigt att komma ihåg att vi inte längre levererar detta modem till nya kunder, säger Fredrik Hallstan.

Hur många kunder har det aktuella modemet?

– Jag vet inte. Men vi är ett stort företag så det är säkert många. Jag kan inte bedöma hur stort problemet är.

Han kan inte svara på varför det finns allvarliga säkerhetsproblem i modemen. Detta trots att en IT-expert larmade om brister för 14 månader sedan.

– Vi har fått mjukvaruuppdateringar från Netgear. Däremot har de inte fungerat på våra modem. Modemen uppdaterades. Men den höll inte tillräckligt god kvalitet, så den drogs tillbaka. Det är där vi står nu.

I över ett års tid har ni vetat om att det är säkerhetshål i modemen. Är inte det väldigt lång tid?

– Jag håller med om det. Det är väldigt olyckligt. Det är bra att ni sätter fokus på problemet.

– Vi skyller inte från oss, men vi tycker det är viktigt att era läsare också förstår att allt kokar ner till diskussionen: Var försiktig där ute. Det är inte så att man blir attackerad utifrån, utan det aktiveras av att man surfar in på en hemsida och klickar på en länk.

Det där är ju inte sant. Ett skript skulle kunna bakas in till exempel i en annons på en vanlig hemsida.

– Därför ska man vara försiktig med var man går in. Man ska ha ett bra virusskydd.

Antivirusprogram hjälper inte mot säkerhetshålet.

– Du är betydligt duktigare än vad jag är på teknik, så jag passar på den diskussionen.

Så här kan du skydda dig.

Vad Comhem behöver göra är att uppgradera sina modem till en ny mjukvaruversion.

Ett sätt att skydda sig mot denna typ av brist är att köpa en ny router som har hög säkerhet. Man kan då koppla in den i internetoperatörens modem och ställa in den i så kallat ”bryggat läge”. Tänk dock på att stänga av wifi på internetoperatörens modem. DN

Detta har hänt.

29 oktober: DN avslöjar, tillsammans med IT-säkerhetsexperten Leif Nixon, att Bredbandsbolaget har allvarliga säkerhetsbrister i sina modem. Minst 100 000 svenskars internetuppkopplingar är vidöppna för utomstående att kapa.

30 oktober: Många skrivare, webbkameror och andra elektronikprylar i våra hem är exponerade mot internet utan lösenordsskydd. De är därmed åtkomliga för vem som helst.