John Matherly

John Matherly kartlägger internet bortom webben med sin sökmotor Shodan. Genom att konstant söka av de delar av internet som annars inte syns direkt för användarna så har han en delvis annan bild av nätet än du och jag. Som till exempel det här med storleken. När man bläddrar sig igenom world wide web så ter den sig närmast olidligt oändlig.

– Men internet är ganska litet från ett tekniskt perspektiv, det finns kanske oändligt med webbsidor, men inte så många ip-adresser, säger John Matherly som i veckan talar på IDG:s konferens CITE.

Läs mer: Kom igång med internet of things – det här behöver du

Det betyder enligt honom att det inte är så krångligt att leta reda på det man är intresserad av på webben om man är en hackare med onda avsikter. Det betyder också att taktiken som många använt för att skydda sina uppkopplade prylar på nätet inte fungerar längre.

– Jag ser hela tiden att utvecklare gömmer sina uppkopplingar på konstiga portar och tycker att det räcker som skydd mot angripare. Det är som att det tänker att “ingen hittar mig om jag lägger mig på port 2222 i stället för port 22. Men de flesta människor tänker ungefär likadant, säger John Matherly.

Hans sökmotor Shodan har fått mycket uppmärksamhet i samband med avslöjanden om olika typer av kontroll- och styrutrustning som ligger helt öppen på nätet med möjlighet för vem som helt att logga in utan användarnamn och lösenord.

Trots alla avslöjanden så finns det fortfarande många som inte tycker att det är nödvändigt att skydda sin utrustning ens med ett enkelt lösenord. Vid en snabb sökning i Sverige hittar vi både kontrollutrustning för dammar och vad som verkar vara fjärrvärmeverket i en av Sveriges större kommuner.
Värmeverk
Det är svårt att tänka sig en rimlig anledning till att dessa system ska vara uppkopplade mot nätet utan något som helst skydd. Men John Matherly ser fenomenet hela tiden.

– Ingenjörer och konstruktörer är inte intresserade av säkerhet. Det bara krånglar till saker, säger han.

När nu de uppkopplade maskinerna börjar göra sitt intåg i våra hem följer det dåliga säkerhetstänkandet med, enligt John Matherly.

Läs mer: IBM miljardsatsar på iot

– Vi gör om samma misstag som när vi kopplade upp pc:n. Windows var inte särskilt säkert på den tiden. När vi nu bygger in datorer i kylskåp och glödlampor är det samma sak. Alla tillverkare tävlar om att komma först och då prioriteras inte säkerheten, säger han.

Ännu så länge ser han inte så mycket internet of things-prylar i hemmen. Men han tror att det kommer att ändra sig snart.

– Hittills har det varit för dyrt. Men nu börjar priserna gå ned, säger han.

Med många nya apparater med hyggligt stor datakraft uppkopplade på nätet finns enligt honom en helt ny grogrund för virus och botnät i en miljö där säkerheten inte är inbyggd från början och där det i många fall är svårt att uppdatera apparaterna i efterhand.


Vid en sökning hittar vi kontrollutrustning för dammar och vad som verkar vara fjärrvärmeverket i en större kommun.

Han tar exemplet med en populär smart tv-modell i USA där gränssnittet som den som utvecklat tv:n använt för test fortfarande ligger öppet när kunden kopplar upp tv:n hemma.

John Matherly är dock tveksam till om att vi konsumenter kommer att vara beredda att betala för säkerheten i alla uppkopplade apparater.

– Vem kan tänka sig att betala tio dollar extra för att inte deras kylskåp ska skicka spam, säger han med referens till en nyhet nyligen om ett uppkopplat kylskåp som ska ha använts just för att skicka spam.