Ciekawy eksperyment przeprowadził ostatnio analityk z Kaspersky Lab – David Jacoby. Otóż zbadał on bezpieczeństwo sprzętów, które znajdowały się w salonie jego własnego domu. Badanie miało na celu sprawdzenie jak bezpieczny jest jego dom pod kątem cyberzagrożeń i czy sprzęty multimedialne, takie jak urządzenia sieciowe do przechowywania danych (NAS), telewizory smart TV, routery, odtwarzacze Blu-ray itp., sa podatne na cyberataki. Nie będzie chyba niespodzianką jeśli napiszemy, że są.
Nie od dziś wiadomo, że popularne domowe urządzenia multimedialne z dostępem do internetu stanowią realne zagrożenie dla cyberbezpieczeństwa. Posiadają luki w zabezpieczeniach oprogramowań i brak jest podstawowych środków bezpieczeństwa, takich jak mocne domyślne hasła administratora oraz szyfrowanie połączenia.
Urządzenia jakie badał Jacoby obejmowały dwa modele NAS-ów różnych producentów, jeden smart TV, odbiornik satelitarny, router oraz podłączoną do sieci drukarkę. Podczas swojego badania wykrył 14 luk w zabezpieczeniach urządzeń magazynujących podłączonych do sieci domowej, jedną lukę w telewizorze oraz kilka potencjalnie ukrytych funkcji kontroli w routerze.Oczywiście wszyscy producenci zostali poinformowani o istnieniu wykrytych podatności. Nazwy producentów, których produkty zostały objęte badaniem, nie mogą być podane do momentu opublikowania łat bezpieczeństwa usuwających dane luki.
“Użytkownicy powinni mieć świadomość zagrożeń związanych z urządzeniami podłączonymi do internetu i sieci domowej. Trzeba również pamiętać, że bezpieczeństwo naszych informacji to nie tylko silne hasło – nad wieloma rzeczami nie mamy kontroli. W ciągu niecałych 20 minut znalazłem i potwierdziłem niezwykle poważne luki w zabezpieczeniach urządzenia, które wyglądało na bezpieczne, a nawet nawiązywało do bezpieczeństwa swoją nazwą. Jakie wyniki dałoby podobne badanie, gdyby zostało przeprowadzone na znacznie szerszą skalę niż mój salon? To tylko jedno z wielu pytań, na które producenci urządzeń, branża bezpieczeństwa oraz użytkownicy muszą wspólnie znaleźć odpowiedź w najbliższej przyszłości. Inne ważne pytanie dotyczy cyklu życia urządzeń. Jak dowiedziałem się z rozmów z producentami, niektórzy z nich nie będą rozwijali łat bezpieczeństwa dla podatnego na ataki urządzenia, gdy jego cykl życia dobiegnie końca. Cykl ten wynosi zwykle rok lub dwa lata, podczas gdy urządzenia – na przykład takie jak NAS-y – funkcjonują w domach i biurach znacznie dłużej” – powiedział David Jacoby.
Jakie słabości wykryto?
Najpoważniejsze luki w zabezpieczeniach zostały zidentyfikowane w urządzeniach magazynujących podłączonych do sieci (NAS). Kilka z nich pozwala atakującemu na zdalne wykonanie poleceń systemowych z najwyższymi przywilejami administracyjnymi. Testowane urządzenia miały również słabe hasła domyślne, wiele plików konfiguracyjnych posiadało niewłaściwe uprawnienia i zawierało hasła zapisane czystym tekstem (bez żadnego szyfrowania). Na przykład, domyślne hasło administratora dla jednego z urządzeń składało się zaledwie z jednej cyfry. Inne urządzenie udostępniało cały plik konfiguracyjny z hasłami wszystkim użytkownikom w sieci.Wykorzystując inną lukę, Jacoby bez trudu umieścił plik w obszarze pamięci urządzenia niedostępnym do zapisu dla standardowych użytkowników. Gdyby plik ten okazał się szkodliwy, zainfekowany NAS stałby się źródłem infekcji innych podłączonych do niego urządzeń – np. komputerów domowych lub biurowych. Odpowiednio spreparowany plik mógłby nawet przyłączyć domowy NAS do sieci zainfekowanych urządzeń (tzw. botnetu), która służy do rozsyłania spamu lub przeprowadzania ataków DDoS. Co więcej, luka umożliwiła umieszczenie obiektu w specjalnym obszarze systemu plików urządzenia, zatem jedynym sposobem usunięcia go było wykorzystanie tej samej podatności. Naturalnie, nie jest to proste zadanie, nawet dla specjalisty technicznego, nie mówiąc o osobie, która po prostu użytkuje sprzęt multimedialny w swoim domu.
Atak za pośrednictwem smart TV
Analizując poziom bezpieczeństwa własnego telewizora, badacz odkrył, że w komunikacji między odbiornikiem a serwerami jego producenta nie jest wykorzystywane żadne szyfrowanie. To potencjalnie otwiera furtkę atakom typu man-in-the-middle, w wyniku których użytkownik próbujący kupić treści za pośrednictwem smart TV mógłby – na przykład – przesłać pieniądze do oszustów. W ramach eksperymentu badacz zdołał podmienić ikonę interfejsu telewizora na zdjęcie. Widgety i miniaturki są zwykle pobierane z serwerów producenta telewizora, dlatego brak połączenia szyfrowanego może spowodować, że informacje zostaną zmodyfikowane przez osobę trzecią. Badacz odkrył również, że smart TV potrafi wykonać kod Javy, co w połączeniu z możliwością przechwytywania ruchu pomiędzy telewizorem a internetem może przyczynić się do szkodliwych ataków wykorzystujących exploity (szkodliwe programy infekujące za pośrednictwem luk bezpieczeństwa).
Ukryte funkcje szpiegujące routera
Router DSL wykorzystywany w celu zapewniania dostępu do internetu bezprzewodowego wszystkim urządzeniom domowym zawierał kilka niebezpiecznych funkcji ukrytych przed swoim właścicielem. Według badacza niektóre z tych “tajnych” funkcji mogłyby potencjalnie zapewnić dostawcy usług internetowych zdalny dostęp do dowolnego urządzenia w sieci prywatnej. Co ważniejsze, wyniki badania pokazały, że niektóre sekcje interfejsu sieciowego routera (takie jak “Web Cameras”, “Telephony Expert Configure”, “Access Control”, “WAN-Sensing” oraz “Update”) są “niewidoczne” i standardowo nie mogą być przeglądane i modyfikowane przez właściciela sprzętu. Dostęp do nich można uzyskać jedynie poprzez wykorzystanie luki w zabezpieczeniach, która umożliwia przechodzenie pomiędzy różnymi sekcjami interfejsu (w rzeczywistości są to strony WWW, z których każda posiada własny adres alfanumeryczny) poprzez złamanie liczb na końcu adresu za pomocą ataku siłowego (brute force).Pierwotnie, funkcje te zostały wprowadzone dla wygody właściciela urządzenia i pracowników pomocy technicznej: na przykład, funkcja szybkiego dostępu sprawia, że dostawca usług internetowych może szybko i łatwo rozwiązać potencjalne problemy techniczne dotyczące urządzenia. Jednak wygoda może zmienić się w niebezpieczeństwo, jeśli dostęp do urządzenia uzyska niepowołana osoba.
Jak pozostać bezpiecznym w świecie urządzeń połączonych z internetem
– Stosuj wszystkie najnowsze aktualizacje bezpieczeństwa i instaluj uaktualnienia oprogramowania
(tzw. firmware) dla wszystkich swoich urządzeń. W ten sposób zminimalizujesz ryzyko ataków
wykorzystujących znane luki w zabezpieczeniach.
– Zmień domyślną nazwę użytkownika i hasło wszędzie tam, gdzie wymagane jest
logowanie – jest to pierwsza rzecz, którą wykorzysta osoba próbująca zaatakować Twoje urządzenie.
– Większość routerów domowych oferuje opcję konfiguracji własnej sieci dla każdego urządzenia
oraz ograniczenia dostępu do urządzenia – przy pomocy kilku różnych stref zdemilitaryzowanych
(DMZ), czyli oddzielnych segmentów sieci dla systemów charakteryzujących się większym
ryzykiem włamania. Na przykład, jeśli posiadasz telewizor smart TV, możesz ograniczyć jego dostępność i pozwolić, aby on sam miał dostęp jedynie do określonego zasobu w Twojej sieci.
Nie ma potrzeby, by wszystkie urządzenia miały dostęp do całej sieci domowej.
.
.
Pełny raport z badania bezpieczeństwa sprzętów multimedialnych jest dostępny w języku angielskim na stronie https://securelist.com/analysis/publications/66207/iot-how-i-hacked-my-home/.
.
Źródło: Kaspersky Lab
