Istraživači kompanije Kaspersky koji istražuju kontrolni uređaj za aktivni ekosistem pametne kuće identifikovali su nekoliko kritičnih slabosti. Ovo uključuje greške u infrastrukturi cloud-a i potencijalno daljinsko izvršavanje koda koje bi trećoj strani omogućilo da dobije „super korisnik“ pristup kontroleru i da manipuliše infrastrukturom pametnog doma na bilo koji način. Nalazi su podeljeni sa vendorom, kompanijom Fibaro, koja je odmah rešila problem i ažurirala bezbednosne protokole.

Prošle su godine od kada je otpočelo istraživanje bezbednost interneta stvari (IoT), i kako internet stvari nastavlja da se širi i razvija, takva istraživanja su od velikog značaja: sa novim proizvodima i rešenjima pojavljuju se nove dimenzije pretnji koje ugrožavaju bezbednost korisnika. Jedan zaposleni u kompaniji Kaspersky izazvao je istraživače kompanije da ispitaju pametni sistem koji se koristi u njegovoj kući. Dao je istraživačima pristup kontroleru za njegovu pametnu kuću. Kontroler je izabran zato što povezuje i nadzire sveukupne operacije širom pametnog doma, a uspešan napad bi omogućio sajber napadačima da upadnu u čitav ekosistem kuće čime bi se omogućilo sve od špijunaže i krađe do fizičke sabotaže.

Inicijalna faza prikupljanja podataka dovela je stručnjake do nekoliko potencijalnih vektora napada: preko bežičnog komunikacijskog protokola Z-Wave koji se široko koristi za kućnu automatizaciju; preko veb interfejsa administrativnog panela; i preko cloud infrastrukture. Poslednje se pokazalo kao najefikasnije za napad: ispitivanje iskoriščenih metoda za obradu zahteva uređaja otkrilo je ranjivost u procesu autorizacije i mogućnost da se daljinski izvrši kod.

Povezana vest:  Kompaniji Kaspersky Lab uručena „Nagrada za izuzetnost“ za 2012.

Zajedno, omogućili bi trećoj strani da dobije pristup svim rezervnim kopijama postavljenim na cloud iz svih Fibaro kuća, da postave zaražene rezervne kopije na cloud, a zatim ih prebace na određeni kontroler – uprkos tome što nemaju prava na sistem.

Da bi završili eksperiment, stručnjaci kompanije Kaspersky su izvršili test napad na kontroler. Za to su pripremili posebnu rezervnu kopiju sa zasebno razvijenim tekstom, zaštićenim lozinkom. Zatim su putem clouda poslali i-mejl i SMS vlasniku uređaja, pozivajući ga da ažurira firmver kontrolera. Kao što je zatraženo, „žrtva“ se složila i preuzela zaraženu kopiju. Ovo je omogućilo istraživačima da dobiju “super korisnički pristup” za kontroler pametne kuće, dopuštajući im da manipulišu povezanim ekosistemom. Da bi demonstrirali uspešan upad u sistem, istraživači su promenili melodiju alarma – sledećeg dana, zaposleni kompanije Kaspersky se probudio uz veoma glasnu muziku.

„Za razliku od nas, pravi napadač sa pristupom centru kuće ne bi se ograničio na šalu alarmom. Jedan od glavnih zadataka uređaja koji smo proučavali je integracija svih „pametnih stvari“ tako da vlasnik kuće može upravljati njima iz jednog centra. Važan detalj je da je naša procena bila usmerena na sistem aktivnog angažovanja – prethodno je većina istraživanja sprovedena u laboratorijskim uslovima. Istraživanje je pokazalo da, uprkos sve većoj svesti o bezbednosti interneta stvari, još uvek postoje pitanja koja treba rešiti. Još važnije, uređaji koje smo proučavali se masovno proizvode i koriste u funkcionalnim pametnim kućnim mrežama. Zahvaljujemo se kompaniji Fibaro na njenom odgovornom odnosu prema problemima, jer znamo da su fokusirani na sajber bezbednost, kao i tome što su dom našeg kolege učinili mnogo bezbednijim nego što je bio pre istraživanja”, rekao je Pavel Čeremuškin (Pavel Cheremushkin), bezbednosni istraživač ICS CERT tima u kompaniji Kaspersky.

Povezana vest:  Kaspersky Lab se pridružuje „Enterprise Ethereum” alijansi

„Infrastruktura interneta stvari zahteva komplikovan sistem koji glatko radi na više nivoa. To podrazumeva mnogo implementacionih i arhitektonskih radova. Cenimo istraživanje i trud kompanije Kaspersky. Pomogli su nam da radimo na bezbednosti naših proizvoda i usluga. Zajedno smo eliminisali potencijalne ranjivosti. Preporučujemo FIBARO korisnicima da instaliraju ažuriranja, i da uvek proveravaju da li su i-mejl poruke u skladu sa obaveštenjima na FIBARO vebsajtu. Ažuriranja poboljšavaju funkcionalnost sistema i otežavaju hakerima krađu privatnih podataka“, rekao je Kristof Banasiak (Krzysztof Banasiak), direktor proizvodnje u kompaniji FIBARO.

Povezana vest:  Rails Girls Beograd: summer edition//otvorene prijave

Kako bi sačuvali bezbednost uređaja, savetujemo korisnike da:

  • Razmisle o rizicima kada odlučuju koji deo života će da učine malo „pametnijim“
  • Pretraže internet pre nego što kupe uređaj interneta stvari kako bi proverili da li ima vesti o nekakvim ranjivostima
  • Pored standardnih grešaka koje dobijate u novim proizvodima, nedavno izdati uređaji mogu imati bezbednosne probleme koji još nisu otkriveni od strane istraživača bezbednosti. Imajući to u vidu, najbolje bi bilo da kupite proizvode koji su već imali nekoliko softverskih ažuriranja, a ne najnovije proizvode na tržištu.
  • Proverite da li su svi uređaji ažurni sa najnovijim bezbednosnim i firmverskim ažuriranjima.
  • Počnite da koristite Kaspersky Security Cloud koji štiti korisničke onlajn naloge i kućne Wi-Fi mreže, čime se osigurava da će privatna mreža ostati privatna: on će obavestiti korisnika u slučaju da neželjeni gosti pokušaju da se povežu, štiteći kućne uređaje interneta stvari, automatski upozoravajući na bezbednosne pretnje uz savet stručnjaka kada je potrebno preduzeti mere.

Ceo izveštaj možete pročitati na Securelist.