En stribe YouSee-bokse har i længere tid været tilgængelige ud mod internettet, hvorfra det har været muligt at få adgang til og ødelægge tv-signalerne, viser en gennemgang af industritekniker Torben Andersen. Nu har YouSee fjernet udstyret igen efter det store nedbrud nytårsaften.

Annonceindlæg fra cVation A/S Hvor uambitiøs er jeres Cloud-strategi? Der er selvfølgelig en god grund til, at jeg stiller et så provokerende spørgsmål. | Læs mere

YouSee fundet på Shodan-søgemaskinen Industrielektriker Torben Andersen har fundet og dokumenteret, at der er flere YouSee-netværk, som er nemme at finde via Shodan-søgemaskinen.

Uddrag af fundet udstyr Her ses et uddrag af de YouSee-netværkskomponenter, som er fundet frem ved søgning på YouSees hardware-producent på port 23. Klik for større billede. (Skærmdump: Torben Andersen).

Zoom ind på en IP-adresse Et zoom på en IP-adresse i YouSee-netværket giver nysgerrige sjæle viden om blandt andet hostname og lokation. Klik for større billede. (Skærmdump: Torben Andersen).

Brugernavn og password Her ses det, at brugernavnet er "admin", mens password'et skal gættes eller fremfindes via eksempelvis bruteforcing. Klik for større billede. (Skærmdump: Torben Andersen).

berører ikke multiplex, men andet udstyr, som man ikke ved, hvor er," runder han af.



"Pinligt."Så kort opsummerer industrielektriker Torben Andersen flere af sine fund af noget nær pivåbne tv-netværk tilhørende YouSee, efter tv-giganten tilsyneladende er blevet saboteret nytårsaften af en nu sigtet 51-årig mand.Denne sag kan du læse mere om her: YouSee blev angrebet nytårsaftensdag Pinligheden består ifølge Torben Andersen i, at hvis ikke en person med insider-viden fra YouSee om netværkene havde lagt tv-signalerne ned nytårsaften, kunne en udefrakommende have gjort delvist det samme med andet YouSee-udstyr.Torben Andersen forklarer til Computerworld, at han via Shodan-søgemaskinen har fundet frem til flere installationer fra den norske hardware-producent Appear TV, som YouSee benytter sig af til udsendelser af sine tv-signaler.Shodan-søgemaskinen giver indblik i blandt andet åbne computere og netværk ud mod internettet.YouSee pointerer, at en potentiel angriber ikke på nogen måder vil kunne få adgang til hele tv-netværket, men det vender vi tilbage til senere.I første omgang søgte Torben Andersen selv på port 23 på danske netværk med Appear TV som producent.Port 23 refererer til den noget bedagede netværksprotokol Telnet, som blandt andet bruges til terminal-emulering, og som samtidig ikke understøtter kryptering.Derudover har han fundet flere http-indgange til YouSee-netværkene, som kan tilgås via en helt almindelig browser.Både port 23- og http-tilgangene er nu lukket, muligvis af YouSee, forklarer Torben Andersen, som for nyligt har oploadet sine fund til Facebook.Flere hardware-bokse med navne som "YouSee A/S" og "Tele Danmark" til at styre tv-signalerne hos YouSee har ellers indtil for ganske nyligt været synlige ud mod omverdenen."Jeg søgte på centralerne lige efter nytår, hvor jeg kunne se dem, da Shodan-søgemaskinen ikke var blevet opdateret mellem jul og nytår," siger Torben Andersen.Han forklarer, at de fundne centraler og industri-routere kun har været beskyttet af et offentligt brugernavn, som i dette tilfælde er "admin", og så et password, man skal vide/gætte for at komme ind på tv-signal-centalerne."Der var tilsyneladende ikke sat anti-bruteforcing på centralerne, så sådan et password kan man gætte rimelig hurtigt, hvis du har nok computerkraft til rådighed fra eksempelvis en cloud-leverandør. Ellers kan man bare betale sig frem til, at nogen skaffer dig passwordet," forklarer Torben Andersen."Hvis du så kommer ind på en central med brugernavn og password, er det mere end sandsynligt, at du kan tilgå netværkene og eksempelvis gendanne fabriksindstillingerne, hvilket vil slukke for tv-signalerne lokalt hos mange mennesker," fortsætter han.Torben Andersen har erfaring fra opbygning og administration af industrielle PLC- og SCADA-netværk.Han vurderer oven på sine fund i Shodan-søgemaskinen, at mange med lidt netværksviden og en ondsindet tankegang kunne have saboteret tv-signaler for mange danskere nytårsaften.Eller på enhver anden dag i årenes løb.Hele Torben Andersens YouSee-netværksjagt begyndte nytårsmorgen, hvor han i "ganske godt humør" var kommet hjem fra en bytur.Ved ankomsten hos sin mor om morgenen på årets første dag, fortalte hun ham, at YouSee var blevet hacket. Den oplysning affødte straks en vis nysgerrighed, hvilket ledte ham ind på Shodan-søgemaskinen, hvor han søgte efter hardware fra Appear TV."Jeg har tidligere lidt tys-tys talt med en YouSee-tekniker, der har fortalt mig, at det var den hardware, som YouSee i mange tilfælde benytter sig af på sine centraler," forklarer Torben Andersen om sin målrettethed på Shodan-søgemaskinen."Teknikeren fortalte mig efter nytårsaften, at de 33 fejlramte centraler kastede simultant op nytårsaftensdag. Det er stadig et ubesvaret spørgsmå, hvordan folkene bag sådan en sabotage har gjort det," fortsætter han.Torben Andersen forklarer overordnet, at YouSees netværk er bygget op med hovedcentralen "Telefonhuset" i København. Det kaldes i netværkterminologi for D0.Herfra forgrenes tv-signalerne ud til fjerncentraler rundt omkring i landet, såkaldte D1'ere.Det var 33 hardware-enheder i disse D1'ere, der blev lagt ned nytårsaften og slukkede for blandt andet dronningens ønsker om, at gud skal bevare Danmark.De noget nær åbne hardware-centraler og industri-routere, som Torben Andersen har fundet frem via Shodan-søgemaskinen, ligger derefter mellem fjerncentralerne og de grønne forstærkerbokse kaldet D3'ere, som kendes fra gadebilledet.Han fortæller, at det fundne udstyr kan have siddet udenfor de vitale D0- til D3-netværk.Dermed vil et angreb på de fremfundne centraler med blandt andet multiplex-hardware og duplex-moduler til at videresende tv-signaler med ikke have samme kraftige effekt, som hvis D0-centralen i Telefonhuset eller én eller alle D1'ere tages ud af billedet.Med mindre man kan orkestrere et angreb på alle de mindre centraler på samme tid, som det tilsyneladende blev gjort nytårsaften på de 33 hardware-enheder i D1-centralerne.Computerworld har forelagt YouSee de fund, som Torben Andersen har gjort.YouSees presseafdeling har sendt følgende svar på skrift til Computerworld:"Den tilgængelige hardware, der henvises til, er ni bokse, som har været synlige på nettet. Der er udelukkende tale om bokse, som hovedsageligt står ved hoteller, men det kan også være andre større bygninger med mange tv-apparater. De nævnte bokse har ikke videre adgang bagud til vores tv-net - de var koblet på vores kabelnet (coax-net), men havde ikke en upload-funktion (ingen opstrøm)"."Boksen er kun en modtager ligesom dit fjernsyn derhjemme. Det er ikke muligt sende den anden vej. Teknisk siger man, at der er "ingen opstrøm" på kabel-tv, så der er altså intet tilbageløb til YouSees netværk hverken fra de ni bokse eller fra dit tv derhjemme"."Som vi også sagde i går [torsdag, red] har vi brugt denne begivenhed og tiden siden i lørdag til at give alle former for sikkerhed et ekstra servicetjek, og det har selvfølgelig afstedkommet, at vi har undersøgt disse ni bokse, hvor vi har strammet sikkerheden. Det er vigtigt at slå fast, at nedbruddet nytårsaften udelukkende vedrører distribution af vores tv-signal."Torben Andersen har set YouSees erkendelse af, at der har stået YouSee-udstyr, der kunne ses via Shodan-søgemaskinen og som i visse tilfælde kunne tilgås med et brugernavn og password af udefrakommende.Han forklarer, at hvis de ni bokse kun har været tilknyttet hoteller, som YouSee påpeger, har potentielle skader trods alt været til at overse.Han undrer sig dog over, at YouSee ikke adresserer al udstyret, da svaret kun går på ni bokse i tilknytning til hoteller - hvor det altså ifølge YouSee "kun" har været hotelgæsternes tv-signaler, der kunne forstyrres."Tre af de fundne IP-adresser