Sikkerhedssystemer er usikre

Artiklen blev oprindeligt publiceret den 13/2/2015

Mange alarm- og overvågningssystemer til private hjem tillader usikre passwords og har andre sårbarheder.

Det fremgår af en analyse fra HP Fortify On Demand. Sikkerhedsfirmaet har undersøgt ti sikkerhedssystemer, der kan fjernstyres over internettet. Alle de ti systemer gjorde det muligt at bruge usikre passwords. Oven i købet kan en angriber afprøve passwords, indtil der er gevinst – systemerne har ingen begrænsning på antal forsøg.

Kun et af de ti systemer gav mulighed for at supplere password-sikkerheden med en anden faktor.

Halvdelen af systemerne havde fejl eller sårbarheder i krypteringen. Nogle var sårbare over for POODLE (Padding Oracle On Downgraded Legacy Encryption) eller tillod den gamle SSL version 2.

Seks af systemerne havde øjensynlig ingen metode til at opdatere firmwaren.

Anbefaling
Tjek sikkerheden, før I køber sikkerhedssystem. Anvend ikke standardbrugernavne. Brug stærke passwords.

Links

• IoT is the Frankenbeast of Information Security, blogindlæg fra HP
• Internet of Things Security Study: Home Security Systems Report (PDF-format)