Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Sztuka przetrwania w świecie Internetu Rzeczy: jak korzystać z inteligentnych urządzeń i zabezpieczyć się przed cyberprzestępcami

Tagi:

Straszne historyjki dotyczące Internetu Rzeczy (IoT) przywołują w naszej wyobraźni obraz zakapturzonych cyberprzestępców, których celem życia jest włamywanie się do systemów komputerowych i utrudnianie życia innym ludziom, wynajdując miliony sposobów, aby przeniknąć do ich sfery prywatnej za pośrednictwem ich gadżetów. Jednak czy tak postrzegany Internet Rzeczy jest wystarczającym powodem, aby przestać wykorzystywać inteligentne urządzenia? Według nas, nie. Uważamy jednak, że klienci powinni być świadomi potencjalnych zagrożeń i wiedzieć, jak je łagodzić, zanim zachłysną się światem Internetu Rzeczy.      

Ponad rok temu nasz kolega z Globalnego Zespołu ds. Badań i Analiz, David Jacoby, rozejrzał się po swoim salonie i postanowił zbadać, jak podatne na cyberataki są jego urządzenia. Okazało się, że niemal wszystkie posiadały jakieś luki. W związku z tym zadaliśmy sobie pytanie: czy jest to zbieg okoliczności czy dostępne obecnie na rynku inteligentne produkty „IoT” są naprawdę tak podatne na ataki? Aby znaleźć odpowiedź, wcześniej tego roku wybraliśmy losowe połączone z internetem urządzenia domowe i zbadaliśmy, jak działają.

Do naszego eksperymentu wybraliśmy następujące urządzenia:

  • urządzenie USB do transmisji strumieniowej wideo (Google Chromecast);
  • sterowaną smartfonem kamerę IP;
  • sterowany smartfonem ekspres do kawy;
  • system bezpieczeństwa domu, również obsługiwany przy pomocy smartfona.

Zadanie, jakie wyznaczyliśmy sobie, było proste: stwierdzić, czy którekolwiek z tych produktów stanowią zagrożenie dla bezpieczeństwa jego właściciela. Wyniki naszego dochodzenia dają wiele do myślenia:   

Google Chromecast. Hakowanie Internetu Rzeczy dla początkujących

Ryzyko: zawartość ekranu ofiary jest wysyłana strumieniowo ze źródła, które posiada atakujący.

Chromecast, który został niedawno zaktualizowany bardziej zaawansowaną wersją, stanowi interesujące urządzenie. Jest to niedrogi gadżet USB, który umożliwia strumieniowanie treści ze smartfona lub tabletu do telewizora lub innego urządzenia z ekranem. Aby go włączyć, użytkownik musi wpiąć urządzenie w wejście HDMI telewizora. Następnie Chromecast uruchamia własną sieć Wi-Fi w celu przeprowadzenia wstępnej konfiguracji. Po nawiązaniu połączenia ze smartfonem lub tabletem wyłącza własną sieć Wi-Fi i łączy się z domową siecią Wi-Fi użytkownika. Jest niezwykle wygodny i przyjazny dla użytkownika.   

klp_chromecast_auto.jpg

Jeśli jednak w pobliżu znajduje się haker, urządzenie to okazuje się mniej wygodne i zdecydowanie mniej przyjazne. Potwierdza to znana luka w zabezpieczeniach „rickrolling”, wykryta przez konsultanta ds. bezpieczeństwa, Dana Petro. Pozwala ona na strumieniowanie zawartości na ekran ofiary ze źródła, które posiada osoba atakująca. Działa to w następujący sposób: osoba atakująca zalewa urządzenie specjalnymi żądaniami „rozłącz” wysyłanymi z fałszywego urządzenia opartego na minikomputerze Raspberry Pi, a następnie, gdy Chromecast włącza w odpowiedzi swój własny moduł Wi-Fi, zostaje on ponownie połączony z urządzeniem atakującego, strumieniując zawartość, zgodnie z jego życzeniem.   

Jedynym sposobem na powstrzymanie tego procesu jest wyłączenie telewizora, usunięcie urządzenia spoza zasięgu hotspota Wi-Fi oraz zaczekanie, aż osoba atakująca znudzi się lub odejdzie.

Jedynym ograniczeniem dla tego ataku jest fakt, że osoba atakująca musi być w zasięgu sieci Wi-Fi, z którą połączony jest Chromecast. W naszym eksperymencie odkryliśmy jednak, że to niekoniecznie stanowi przeszkodę w przypadku taniej, kierunkowej anteny Wi-Fi oraz oprogramowania Kali Linux. Gdy wykorzystaliśmy te metody, stwierdziliśmy, że do Chromecasta można włamać się z dużo większej odległości niż wynosi normalny zasięg sygnału domowych sieci Wi-Fi. To oznacza, że o ile w przypadku pierwotnego włamania hakerskiego dokonanego przez Dana Petro osoba atakująca ryzykowała, że zostanie wykryta przez rozwścieczonego właściciela Chromecasta, w przypadku anteny kierunkowej, takie ryzyko nie istnieje.

Nie uważamy tego „ustalenia” za nowe odkrycie w dziedzinie bezpieczeństwa; rozszerza ono jedynie znany wcześniej i nieusunięty do tej pory problem. Jest to ćwiczenie dla początkujących w zakresie włamywania się do urządzeń sfery Internetu Rzeczy, chociaż mogłoby zostać wykorzystane w naprawdę szkodliwy sposób – wrócimy do tego później. Na początek, przyjrzymy się innym wynikom naszego krótkiego badania.

Zapobieganie: Wykorzystywanie urządzenia odległych miejscach Twojego domu zmniejszy ryzyko ataków w przypadku anten kierunkowych.

Stan luki: nienaprawiona.

Kamera IP

Problem nr 1

Ryzyko: osoby atakujące uzyskują dostęp do adresów e-mail wszystkich użytkowników kamery, którzy doświadczyli problemów technicznych.

Badana przez nas kamera IP była pozycjonowana przez producenta jako elektroniczna niania. Umieszczasz kamerę w pokoju dziecka, pobierasz aplikację na smartfona, podłączasz kamerę do aplikacji oraz sieci Wi-Fi i to wszystko: możesz oglądać swoje dziecko, zawsze kiedy chcesz i z dowolnego miejsca.

klp_kamera_wifi_auto.jpg

Dlaczego ktoś chciałby włamać się do elektronicznej niani? W rzeczywistości, znamy wiele takich przypadków jeszcze z 2013 r.:

http://www.cbsnews.com/news/baby-monitor-hacked-spies-on-texas-child/, przy czym podobny problem odnotowano w 2015 r.: http://www.kwch.com/news/local-news/whitewater-woman-says-her-baby-monitor-was-hacked/32427912. A zatem tak, są ludzie, którzy z jakiegoś powodu chcą włamać się do elektronicznych nianiek.

Gdy badaliśmy naszą kamerę (wiosną 2015 r.) dostępne były dwie różne aplikacje, które pozwalały klientom komunikować się z tym urządzeniem. Obie zawierały luki w zabezpieczeniach. Później dowiedzieliśmy się od producenta, że jedna z nich była już przestarzała, ale nadal wykorzystywana przez wielu właścicieli kamer. Odkryliśmy, że przestarzała aplikacja zawiera zapisane na sztywno dane uwierzytelniające dostęp do konta w serwisie Gmail.   

public static final String EMAIL_FROM = "****@gmail.com";

    public static final String EMAIL_PASSWORD = "****";

    public static final String EMAIL_PORT = "465";

    public static final String EMAIL_SMTP_HOST = "smtp.gmail.com";

    public static final String EMAIL_TO;

    public static final String EMAIL_TO_MAXIM = "****@gmail.com";

    public static final String EMAIL_TO_PHILIPS = "****@philips.com";

    public static final String EMAIL_USERNAME = "****@gmail.com";

Producent powiedział nam później, że konto to było wykorzystywane do zbierania raportów na temat problemów technicznych pochodzących od użytkowników kamery.

Problem polega na tym, że raporty te były wysyłane na predefiniowane konto z prywatnych kont pocztowych użytkowników. Dlatego osoba atakująca nie musiałaby nawet kupować kamery; wystarczyło jedynie pobrać i dokonać inżynierii wstecznej jednej z aplikacji, aby uzyskać dostęp do serwisowego konta e-mail oraz zebrać adresy e-mail wszystkich użytkowników kamery, którzy doświadczyli problemów technicznych. Jeśli w wyniku wykorzystania tej luki dostęp do poczty użytkownika mogła uzyskać nieznajoma osoba, to duży problem, prawda? Być może. Jednak patrząc na tę sprawę realnie, nie wydaje się, by luka ta miała zostać wykorzystana do masowego przechwycenia informacji osobistych, głównie ze względu na stosunkowo niewielką liczbę ofiar. Problemy techniczne są rzadkie, a aplikacja była stara i niezbyt popularna w momencie przeprowadzania przez nas badania. Poza tym, elektroniczna niania to produkt niszowy. 

Z drugiej strony, jeśli posiadasz elektroniczną nianię, prawdopodobnie jesteś rodzicem i fakt ten czyni Cię (a tym samym Twój adres e-mail) bardziej pożądanym celem, w przypadku gdyby osoba atakująca planowała określoną, ukierunkowaną kampanię oszukańczą. 

Innymi słowy, nie jest to krytyczna luka w zabezpieczeniach, ale może być wykorzystywana przez przestępców. Jednak nie była to jedyna luka w zabezpieczeniach, jaką znaleźliśmy, badając kamerę i aplikację.

Stan luki: naprawiona. 

Problem nr 2

Ryzyko: przejęcie pełnej kontroli nad kamerą przez osobę atakującą.

Po przyjrzeniu się przestarzałej aplikacji przeszliśmy do nowszej wersji i natychmiast odkryliśmy kolejny interesujący problem.

Aplikacja komunikuje się z kamerą za pośrednictwem usługi opartej na chmurze, a komunikacja pomiędzy aplikacją a tą usługą jest szyfrowana przy użyciu HTTPS. Wykorzystuje Identyfikator sesji w celu uwierzytelnienia, który zostaje automatycznie zmieniony za każdym razem, gdy użytkownik inicjuje nową sesję. Brzmi bezpiecznie, w rzeczywistości jednak można przechwycić identyfikator sesji i kontrolować kamerę za pośrednictwem chmury lub uzyskać hasło umożliwiające lokalny dostęp do kamery.  

Zanim aplikacja zacznie strumieniować dane z kamery, wysyła żądanie HTTP do serwisu opartego na chmurze:

type=android&id=APA91bEjfHJc7p6vw3izKmMNFYt7wJQr995171iGq2kk_rD4XaMEHhTXqTmFaAALjWD15bnaVcyMuV2a7zvEFdtV13QXildHQn0PCvQbPikag2CPJwPwOWWsXtP7B0S-Jd3W-7n0JUo-nMFg3-Kv02yb1AldWBPfE3UghvwECCMANYU3tKZCb2A&sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

Żądanie to zawiera Identyfikator sesji, który mógłby zostać przechwycony, ponieważ żądanie jest niezaszyfrowane. Identyfikator sesji jest następnie wykorzystywany do uzyskania aktualnego hasła. Stwierdziliśmy, że można tego dokonać poprzez stworzenie specjalnego odsyłacza zawierającego na końcu identyfikator sesji.

https://****/****/**** sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

W odpowiedzi na ten odsyłacz usługa oparta na chmurze wysyła hasło do sesji.

 https://****/****/****sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

… "local_view":{ "password":"N2VmYmVlOGY4NGVj","port":9090} …

Przy użyciu hasła można przejąć pełną kontrolę nad kamerą, łącznie z możliwością oglądania przesyłanych strumieniowo filmów, słuchać nagrań audio oraz odtwarzania ich na kamerze.

Należy zauważyć, że nie jest to zdalny atak – osoba atakująca musi znajdować się w tej samej sieci co użytkownik aplikacji, aby przechwycić pierwotne żądanie, co zmniejsza prawdopodobieństwo wykorzystania luki. Jednak, użytkownicy aplikacji powinni zachować ostrożność, szczególnie jeśli wykorzystują duże sieci, do których dostęp ma wiele osób. Na przykład, jeśli użytkownik aplikacji łączy się ze swoją kamerą z publicznej sieci Wi-Fi, może narazić się na ryzyko ataku ze strony osoby znajdującej się w tej samej sieci. W takich warunkach nietrudno wyobrazić sobie realny scenariusz wykorzystania aplikacji, w którym uczestniczy osoba trzecia. 

Stan luki: naprawiona.

Problem nr 3

Ryzyko: osoba atakująca może zrobić wszystko z oprogramowaniem systemowym (firmware) kamery.

Trzeci problem, jaki wykryliśmy podczas badania kamery sterowanej smartfonem, tkwił nie w aplikacji, ale w samej kamerze. Był dość prosty: w oprogramowaniu systemowym znajdowało się fabryczne hasło do SSH umożliwiające dostęp z prawami administratora. Sprawa była prosta, ponieważ kamera działała pod kontrolą systemu Linux, a hasło pozwalające na dostęp z przywilejami administratora umożliwiało działanie w trybie „god-mode” każdemu, kto miał dostęp do urządzenia i znał hasło. Osoba atakująca może zrobić wszystko z oprogramowaniem systemowym kamery: zmodyfikować je, wyczyścić – wszystko. Jedyne, co musi zrobić, aby uzyskać hasło, to pobrać i rozpakować firmware ze strony producenta (chociaż osoba atakująca musiałaby znajdować się w tej samej sieci, w której znajduje się zaatakowane urządzenie, aby uzyskać adres URL, z którego pobierane jest oprogramowanie systemowe) oraz użyć ścieżki \\ubifs\\home/.config. Tam właśnie znajduje się hasło. W czystym tekście.

CONFIG_****_ROOT_PASSWORD="sVGhNBRNyE57"

CONFIG_****_ROOT_PASSWORD="GFg7n0MfELfL"

O wiele bardziej niepokojące jest to, że jeśli nie jesteś ekspertem od Linuksa, tylko zwykłym niedoświadczonym użytkownikiem, nie jesteś w stanie samodzielnie usunąć lub zmienić tego hasła. 

Dlaczego hasło do SSH było tam umieszczone? To stanowi dla nas zagadkę, ale możemy wskazać kilka powodów. Dostęp z przywilejami administratora byłby potrzebny twórcom i specjalistom ds. wsparcia technicznego w sytuacji, kiedy klient trafiłby na nieoczekiwany problem techniczny, którego nie można naprawić przez telefon. Najwidoczniej, jest to powszechna praktyka w przypadku nowych modeli takich urządzeń, które mogą zawierać błędy, które nie zostały wykryte i usunięte na etapie poprzedzającym wprowadzenie produktu na rynek. Przyjrzeliśmy się oprogramowaniu systemowemu kilku innych kamer innego producenta i również wykryliśmy tam hasła do SSH. Sprawa wygląda tak: twórcy zostawsiają hasło do SSH w oprogramowaniu systemowym, aby móc od czasu do czasu naprawić nieoczekiwane błędy, a kiedy pojawi się stabilna wersja takiego oprogramowania, po prostu zapominają usunąć lub zaszyfrować hasło.   

Nasze drugie przypuszczenie jest takie, że po prostu zapominają, że w ogóle tam było. Jak odkryliśmy podczas badania, część urządzenia, w którym znalezione zostały hasła do SSH – mikroukład – zwykle dostarczana jest przez innego producenta. Ten producent z kolei pozostawia hasło do SSH dla swojej wygody, aby mieć pewność, że producent produktu końcowego (elektroniczna niania) ma możliwość dostrojenia mikroukładu i podłączenia go do innego sprzętu oraz oprogramowania. A zatem producent po prostu zapomina usunąć hasło. Proste.  

Stan luki: naprawiona.

Komunikacja z producentem

Wykrycie tych luk w zabezpieczeniach nie stanowiło problemu. Trzeba też przyznać, że zgłoszenie ich producentowi również nie było trudne i pomogło je załatać. Kamera, którą badaliśmy, była marki Philips, ale tak naprawdę została wyprodukowana i była wspierana przez Gibson Innovations. Przedstawiciele tej firmy niezwykle szybko zareagowali na nasze zgłoszenie. W efekcie, wszystkie zgłoszone przez nas błędy zostały załatane, zarówno w kamerze jak i w aplikacjach (Android oraz iOS).           

Tej jesieni Rapid7 opublikował bardzo interesujący raport dotyczący luk w zabezpieczeniach elektronicznych niań, a na liście urządzeń zawierających dziury znalazł się produkt firmy Philips (nieco inna wersja badanej przez nas kamery). W raporcie wyszczególniono wiele luk - niektóre przypominały te wykryte w naszym badaniu. Jednak według zaprezentowanej w tym raporcie osi czasu „od wykrycia do łaty”, Gibson Innovations to jeden z nielicznych producentów urządzeń w ramach Internetu Rzeczy, którzy poważnie traktują luki w zabezpieczeniach swoich produktów i są w tym konsekwentni. Brawo za tak odpowiedzialne podejście.    

Ale wracając do naszego badania…

Ktoś mógłby powiedzieć, że problemy dotyczące bezpieczeństwa, jakie wykryliśmy w kamerze IP, mogą wprawdzie zostać wykorzystane przez osobę atakującą, ale wymagają dostępu do tej samej sieci, w której znajduje się kamera - i miałby rację. Z drugiej strony, dla osoby atakującej nie stanowi to dużej przeszkody, szczególnie gdy użytkownik posiada w swojej sieci inne urządzenie. 

Ekspres do kawy sterowany smartfonem

Co mogłoby pójść źle?

Ryzyko: wyciek hasła do domowej sieci bezprzewodowej.

Losowo wybrany przez nas ekspres do kawy potrafi zdalnie przyrządzić filiżankę kawy dokładnie wtedy, kiedy chcesz. Musisz jedynie ustawić czas, a kiedy kawa będzie już gotowa, aplikacja wyśle Ci powiadomienie. Możesz również monitorować stan maszyny za pośrednictwem aplikacji. Możesz, na przykład, dowiedzieć się, czy kawa już się parzy czy nie, czy urządzenie jest gotowe do parzenia lub czy już pora uzupełnić pojemnik z wodą. Innymi słowy, bardzo fajne urządzenie, które – niestety – daje osobie atakującej możliwość przechwycenia hasła do Twojej lokalnej sieci Wi-Fi.

klp_ekspres_wifi_auto.jpg

Zanim użyjesz ekspresu, musisz go skonfigurować. Wygląda to tak: gdy urządzenie zostanie podłączone, tworzy niezaszyfrowany hotspot i nasłuchuje ruch UPNP. Smartfon, na którym działa aplikacja służąca do komunikowania się z ekspresem, łączy się z tym hotspotem i wysyła żądanie emisji UDP, pytając, czy w sieci znajdują się urządzenia UPNP. Ponieważ nasz ekspres jest takim urządzeniem, odpowiada na żądanie. Następnie ze smartfona do urządzenia wysyłana jest krótka wiadomość zawierająca SSID oraz hasło do domowej sieci bezprzewodowej.  

surviving_iot_eng_4_auto.png

Właśnie tu wykryliśmy problem. Chociaż hasło jest wysyłane w formie zaszyfrowanej, komponenty klucza szyfrowania są wysyłane za pośrednictwem otwartego, niezabezpieczonego kanału. Komponenty te to adres sieciowy ekspresu oraz inne niepowtarzalne dane uwierzytelniające. Przy pomocy tych komponentów w smartfonie generowany jest klucz szyfrowania. Hasło do sieci domowej zostaje zaszyfrowane z użyciem tego klucza poprzez 128-bitowy algorytm AES i wysłane w postaci base64 do ekspresu. W ekspresie klucz jest również generowany przy pomocy tych komponentów, a hasło może zostać odszyfrowane. Następnie, ekspres łączy się z bezprzewodową siecią domową i przestaje pełnić funkcję hotspota do czasu, gdy zostanie zrestartowany. Od tego momentu do ekspresu można uzyskać dostęp jedynie za pośrednictwem domowej sieci bezprzewodowej. Nie ma to jednak znaczenia, ponieważ do tego czasu hasło zostało już złamane.  

Stan luki: nadal istnieje.

Komunikacja z producentem

Przesłaliśmy nasze wyniki producentowi ekspresu, który przyznał, że problem istnieje, i wydał następujące oświadczenie:

„Zarówno wygoda użytkownika jak i bezpieczeństwo są dla nas niezwykle istotne i nieustannie dążymy do uzyskania równowagi między tymi zagadnieniami. Rzeczywiste zagrożenia związane z wspomnianymi przez Państwa lukami w zabezpieczeniach podczas konfiguracji są bardzo niewielkie. Aby uzyskać dostęp, haker musiałby być fizycznie obecny w zasięgu sieci domowej dokładnie w momencie konfiguracji, czyli miałby na to zaledwie kilka minut. Innymi słowy, haker musiałby zaatakować konkretny inteligentny ekspres i znajdować się w sieci dokładnie w momencie konfiguracji, co jest wysoce nieprawdopodobne. Z tego powodu uważamy, że potencjalne luki nie są wystarczającym powodem, aby wprowadzić sugerowane zmiany, które będą miały poważny negatywny wpływ na pracę użytkownika. Chociaż nie istnieją konkretne plany zmiany procedury konfiguracji, nieustannie je rewidujemy i nie zawahalibyśmy się wprowadzić zmian, gdyby zagrożenia były większe. Jeśli coś zmieni się w tym względzie w najbliższej przyszłości, powiadomimy Państwa o tym".

Nie możemy się całkowicie nie zgodzić z tym stwierdzeniem i musimy przyznać, że okno czasowe, które pozwala przeprowadzić atak, jest bardzo niewielkie. Luka ta może zostać załatana na wiele sposobów, jednak z naszej analizy wynika, że niemal wszystkie te sposoby wymagają zmian w sprzęcie (port ethernet w ekspresie lub klawiatura dla hasła rozwiązałyby problem) lub dostarczenia unikatowego kodu PIN dla każdego ekspresu, łącznie z tymi, które zostały już sprzedane, co z punktu widzenia logistyki nie jest łatwe. Takie zmiany miałyby znaczący wpływ na wygodę korzystania z urządzenia, a proces konfiguracji nie byłby tak prosty.  

Jedyną poprawką dla oprogramowania, jaką możemy zaproponować, jest zastosowanie asymetrycznego szyfrowania. W tym przypadku, ekspres musiałby wysłać do smartfona użytkownika publiczny klucz szyfrowania i tylko wtedy mogłaby nastąpić wymiana poufnych danych. To jednak nadal pozwalałoby użytkownikowi w danej sieci Wi-Fi, łącznie z osobą atakującą, przejąć kontrolę na ekspresem. Klucz publiczny byłby dostępny dla wszystkich, a pierwszy użytkownik, który otrzymałby go i nawiązał połączenie z ekspresem, mógłby go kontrolować. Jednak, legalny użytkownik ekspresu wiedziałby przynajmniej, że coś jest nie tak, ponieważ podczas skutecznego ataku/po ataku nie mógłby komunikować się z urządzeniem. Nie dotyczy to aktualnego oprogramowania wykorzystywanego w ekspresie.    

Można więc powiedzieć, że do pewnego stopnia rozumiemy logikę producenta: stopień zagrożenia związanego z tym problemem jest zbyt niski wobec złożoności środków, jakie należałoby zastosować w celu wyeliminowania problemu. Poza tym, nieprawdą byłoby stwierdzenie, że producent w ogóle nie myślał o kwestiach bezpieczeństwa: jak już wspominaliśmy wcześniej, hasło jest przesyłane w postaci zabezpieczonej i trzeba trzymać antenę w określony sposób.   

Jednak luka ta nadal istnieje i sprytny przestępca bez trudno mógłby wykorzystać ją w celu uzyskania hasła do sieci Wi-Fi. Sytuacja wygląda interesująco: jeśli jesteś użytkownikiem takiego ekspresu, za każdym razem, gdy zmieniasz hasło do Twojej domowej sieci Wi-Fi w celu zabezpieczenia jej, tak naprawdę ujawniasz nowe hasło, ponieważ za każdym razem, gdy wprowadzasz nowe hasło, musisz ponownie skonfigurować ekspres do kawy. Niektóre osoby nie widzą w tym problemu, jednak dla innych jest to naruszenie bezpieczeństwa.

Z tego powodu, nie ujawnimy producenta ani modelu, aby nie kierować uwagi na produkt zawierający luki. Jeśli jednak jesteś użytkownikiem ekspresu sterowanego przy użyciu smartfona i martwi Cię opisany problem, skontaktuj się z producentem i zapytaj go, czy to, co odkryliśmy w naszym badaniu, dotyczy produktu, który posiadasz lub zamierzasz kupić.

Ostatni etap naszej podróży do niezabezpieczonego świata Internetu Rzeczy…

Systemy bezpieczeństwa domu a prawa fizyki

Ryzyko: obchodzenie czujników bezpieczeństwa bez wywoływania alarmów.

Systemy bezpieczeństwa domu sterowane przy użyciu aplikacji są dzisiaj dość popularne. Na rynku dostępnych jest wiele różnych produktów do zabezpieczenia domu przed włamaniem fizycznym. Zwykle, takie systemy obejmują koncentrator, który jest podłączony do Twojej sieci domowej i do Twojego smartfona, oraz kilka czujników zasilanych baterią, które komunikują się bezprzewodowo z koncentratorem. Czujniki zwykle są montowane na drzwiach/oknie i powiadamiają właściciela, czy zabezpieczone okno lub drzwi zostały otwarte.

Gdy po raz pierwszy zaczęliśmy badać inteligentny system bezpieczeństwa domu, byliśmy podekscytowani. Wcześniej znaleźliśmy wiele informacji dotyczących wykrycia przez badaczy poważnych luk w zabezpieczeniach takich produktów. Przykładem może być badanie przeprowadzone przez firmę HP lub inne rewelacyjne badanie dotyczące braku ochrony protokołu ZigBee wykorzystywanego przez takie produkty, zaprezentowane podczas tegorocznej konferencji Black Hat.  Spodziewaliśmy się, że łatwo znajdziemy liczne problemy.   

klp_cloud_alarm_auto.jpg

Tak jednak nie było. Im bardziej zagłębialiśmy się w system, tym bardziej stwierdzaliśmy, że z perspektywy cyberbezpieczeństwa jest to dobrze zaprojektowane urządzenie. Aby skonfigurować system, należy podłączyć koncentrator bezpośrednio do rutera Wi-Fi, z kolei aby umożliwić komunikację aplikacji z koncentratorem, należy stworzyć konto na stronie internetowej producenta, podać numer telefonu oraz wprowadzić tajny kod PIN, wysyłany do użytkownika za pośrednictwem SMS-a. Cała komunikacja pomiędzy aplikacją a systemem jest kierowana przez usługę chmury producenta, a wszystko odbywa się za pośrednictwem HTTPS. 

Analizując, w jaki sposób koncentrator pobiera nowe wersje oprogramowania systemowego, stwierdziliśmy, że firmware nie jest podpisany, co jest pewnym problemem, ponieważ potencjalnie pozwala pobrać na urządzenie dowolną wersję tego oprogramowania. Jednocześnie w tym celu niezbędna jest znajomość hasła oraz loginu do konta użytkownika. Ponadto, będąc w tej samej sieci, w której znajduje się system bezpieczeństwa, można wysyłać polecenia do koncentratora. Jednak aby ustalić, jakie rodzaje poleceń można wysłać, należy dokonać inżynierii wstecznej firmware’u koncentratora, co w rzeczywistości nie wchodzi w zakres badania bezpieczeństwa, ale stanowi rodzaj agresywnego włamanie. A przecież my nie jesteśmy agresywnymi hakerami.  

A zatem, z perspektywy oprogramowania – jeśli nie zamierzasz za wszelką cenę włamać się do urządzenia – badany przez nas system bezpieczeństwa domu można uznać za bezpieczny.

Jednak później przyjrzeliśmy się czujnikom.

Pokonanie czujników stykowych ich własną bronią

Czujniki stykowe lub antywłamaniowe, dostarczane w pakiecie, składają się z trzech głównych części: magnesu (tej części, którą umieszczamy na drzwiach lub ruchomej części okna), przekaźnika radiowego oraz czujnika pola magnetycznego. Działa to w następujący sposób: magnes emituje pole magnetyczne, które jest rejestrowane przez czujnik pola magnetycznego. Jeśli drzwi lub okno jest otwarte, czujnik przestaje rejestrować pole magnetyczne i wysyła powiadomienie do koncentratora, sygnalizując, że drzwi/okno jest otwarte. Jeśli jednak pole magnetyczne istnieje, żaden alarm nie zostaje uruchomiony, co oznacza, że wszystko, czego potrzebujesz, aby obejść czujnik, to magnes, który jest wystarczająco silny, aby zastąpić pole magnetyczne. W naszym laboratorium umieściliśmy magnes w pobliżu czujnika, a następnie otworzyliśmy okno, przedostaliśmy się do środka, zamknęliśmy okno i usunęliśmy magnes. Nie było alarmu ani żadnej niespodzianki.      

Ktoś mógłby powiedzieć, że to może zadziałać tylko w przypadku okien, gdzie można z łatwością zlokalizować dokładne miejsce, w którym został umieszczony czujnik. Jednak pola magnetyczne są zdradliwe i mogą przenikać przez ściany, a najprostsza aplikacja na smartfona służąca do wykrywania pola magnetycznego precyzyjnie zlokalizuje czujnik, nawet jeśli nie znajduje się on w zasięgu Twojego wzroku. A zatem drzwi również są podatne na ataki (jeśli nie są wykonane z metalu). Fizyka górą!   

Czujnik ruchu

Zachęceni łatwym zwycięstwem nad czujnikami stykowymi, przeszliśmy do czujnika ruchu i po zdemontowaniu go odkryliśmy, że jest to raczej prosty czujnik podczerwieni, który wykrywa ruch ciepłego obiektu. To oznacza, że jeśli obiekt nie jest ciepły, czujnik nie reaguje. Jak odkryliśmy podczas naszego eksperymentu, trzeba jedynie założyć płaszcz, okulary, czapkę oraz/lub maskę, aby stać się niewidocznym dla czujnika. Fizyka wygrywa po raz kolejny! 

Strategie ochrony

Złe wieści są takie, że urządzenia oparte na czujnikach pola magnetycznego oraz niskiej jakości czujniki ruchu podczerwieni są wykorzystywane nie tylko w badanym przez nas systemie bezpieczeństwa domu. Są to dość standardowe czujniki, które można znaleźć w wielu innych, podobnych produktach. Aby się o tym przekonać, wystarczy przeszukać sklepy internetowe oferujące urządzenia Internetu Rzeczy. Kolejna zła wiadomość: tego błędu nie można naprawić przy pomocy aktualizacji oprogramowania. Problem tkwi w samej technologii.  

Dobra wiadomość jest taka, że można zabezpieczyć się również przed włamywaczami, którzy nie opuszczali w szkole lekcji fizyki. Należy przestrzegać następujących podstawowych zasad:

  1. Jeśli wykorzystujesz opisany wyżej system, ochrona domu nie powinna opierać się wyłącznie na czujnikach stykowych. Producenci inteligentnych systemów bezpieczeństwa domu zwykle oferują dodatkowe urządzenia, takie jak kamery wyczuwające ruch i dźwięk, których nie można obejść przy użyciu magnesu. Dlatego rozsądnie byłoby uzupełnić czujniki stykowe o inteligentne kamery, nawet jeśli będzie to dodatkowy koszt. Wykorzystywanie samych czujników stykowych zmieni Twój system bezpieczeństwa domu w oparty na zaawansowanych technologiach system „zabawkę”.
  2. Jeśli wykorzystujesz czujniki ruchu podczerwieni, spróbuj umieścić je przed kaloryferem w pomieszczeniach, przez które będzie musiał przejść włamywacz, gdyby dostał się do Twojego domu. W tym przypadku, intruz, niezależnie od tego, jakie nosi ubrania, zasłoni kaloryfer, a czujnik wykryje zmianę i przekaże informację o tym do Twojego smartfonowa.  

Wnioski

Na podstawie wyników naszego krótkiego eksperymentu możemy powiedzieć, że producenci robią, co w ich mocy, aby uwzględnić cyberbezpieczeństwo urządzeń, które produkują, co jest dobrą wiadomością. Mimo to, każde podłączone do sieci, sterowane aplikacją urządzenie, które jest zwykle określane jako urządzenie IoT, niemal na pewno będzie posiadało co najmniej jedną lukę w zabezpieczeniach. Z drugiej strony, prawdopodobieństwo, że luki te będą krytyczne, nie jest tak wysokie. 

Jednocześnie, niski poziom zagrożenia związanego z takimi lukami w zabezpieczeniach nie gwarantuje, że nie zostaną wykorzystane w ataku. Na początku artykułu obiecaliśmy, że opiszemy, w jaki sposób ta niegroźna i zabawna luka „rickrolling” może zostać wykorzystana w niebezpiecznym ataku. A zatem:

Wyobraź sobie, że pewnego dnia telewizor z podłączonym do niego urządzeniem Chromecast - oba należą do niedoświadczonego użytkownika – zaczyna wyświetlać komunikaty o błędach, z których wynika, że aby usunąć problem, użytkownik musi przywrócić ustawienia fabryczne routera Wi-Fi. To oznacza, że użytkownik musiałby ponownie podłączyć wszystkie swoje urządzenia, w tym ekspres do kawy działający w sieci Wi-Fi. Użytkownik restartuje router i ponownie podłącza wszystkie swoje urządzenia. W efekcie, Chromecast znów działa normalnie, podobnie jak wszystkie inne urządzenia w sieci. Użytkownik nie zauważa jedynie, że ktoś w tym czasie połączył się z routerem i uzyskał dostęp do elektronicznej niani lub innych urządzeń znajdujących się w sieci, takich które nie posiadają żadnych luk krytycznych, a jedynie kilka drobnych błędów.      

klp_infografika_zagrozenia_IoT_auto.png

Z ekonomicznego punktu widzenia, nadal nie wiadomo, dlaczego cyberprzestępcy chcieliby zaatakować urządzenia podłączone do sieci. Jednak w związku z sukcesem rynku Internetu Rzeczy jak również popularyzacją i standaryzacją technologii, jedynie kwestią czasu jest to, kiedy czarne kapelusze znajdą sposób, aby zarobić na ataku na Internet Rzeczy. Jednym z nich może być oprogramowanie ransomware, ale z pewnością nie jest to jedyny sposób.   

Ponadto, cyberprzestępcy nie są jedynymi, którzy mogą zainteresować się Internetem Rzeczy. Tego lata, na przykład, Rosyjskie Ministerstwo Spraw Wewnętrznych zleciło badanie możliwych sposobów zbierania danych kryminalistycznych z urządzeń stworzonych z pomocą inteligentnych technologii. Z kolei, wojsko kanadyjskie ogłosiło niedawno przetarg na dostawcę, który może „znaleźć luki w zabezpieczeniach i środki bezpieczeństwa” dla samochodów, i „opracuje oraz zaprezentuje exploit”.      

Nie oznacza to, że ze względu na te wszystkie zagrożenia nie powinniśmy korzystać z Internetu Rzeczy. Bezpieczną opcją jest mądry wybór: zastanów się, jakie chcesz urządzenie lub system w ramach Internetu Rzeczy, do czego planujesz je wykorzystywać i gdzie.

Oto lista sugestii Kaspersky Lab: 

  1. Przed zakupem jakiegokolwiek urządzenia IoT poszukaj w Internecie informacji na temat wszelkich luk w zabezpieczeniach tego urządzenia. Internet Rzeczy stanowi niezwykle aktualny temat i wielu badaczy podejmuje się znalezienia luk w zabezpieczeniach tego rodzaju produktów: od elektronicznych niań po sterowane aplikacjami strzelby. Jest dość prawdopodobne, że urządzenie, które chcesz kupić, zostało już zbadane przez badaczy bezpieczeństwa i można sprawdzić, czy wykryte problemy zostały już naprawione.
  2. Kupowanie produktów, które zostały niedawno wprowadzone na rynek nie zawsze jest najlepszym pomysłem. Oprócz standardowych błędów, jakie można znaleźć w nowych produktach, urządzenia te mogą zawierać luki w zabezpieczeniach, które nie zostały jeszcze wykryte przez badaczy bezpieczeństwa. Najlepszą radą, jakiej można udzielić w tym zakresie, jest zalecenie kupowania produktów, dla których opublikowano już kilka aktualizacji oprogramowania. 
  3. Wybierając, którą sferę swojego życia chcesz uczynić nieco bardziej „smart”, uwzględnij zagrożenia bezpieczeństwa. Jeśli przechowujesz w swoim domu wiele przedmiotów posiadających dużą wartość materialną, prawdopodobnie dobrym pomysłem będzie postawienie na profesjonalny system bezpieczeństwa, który może zastąpić lub uzupełnić dotychczasowy, sterowany za pomocą aplikacji system alarmowy zabezpieczający twój dom; możesz również skonfigurować obecny system w taki sposób, aby wszelkie potencjalne luki w zabezpieczeniach nie wpływały na jego działanie. Podczas wyboru urządzenia, które będzie gromadziło informacje dotyczące Twojego życia osobistego oraz życia Twojej rodziny, takiego jak elektroniczna niania, lepszym rozwiązaniem może być najprostszy model na rynku wykorzystujący fale radiowe (RF), taki, który potrafi transmitować jedynie sygnał audio, bez możliwości łączenia się z Internetem, Jeśli nie ma takiej opcji, wtedy należy przestrzegać naszej pierwszej rady – wybierz mądrze.
Jeśli chodzi o producentów urządzeń Internetu Rzeczy, mamy tylko jedną, ale istotną sugestię: podczas tworzenia nowych produktów i udoskonalania starych powinni współpracować ze specjalistami ds. bezpieczeństwa. Prowadzone są inicjatywy, takie jak Builditsecure.ly czy OWASP Internet of Things project, które mogą rzeczywiście pomóc stworzyć rewelacyjne urządzenie połączone z siecią, które nie zawiera poważnych problemów dotyczących bezpieczeństwa. W Kaspersky Lab również będziemy kontynuowali nasze badania, aby dowiedzieć się więcej na temat urządzeń połączonych z internetem oraz znaleźć sposoby ochrony użytkowników przed zagrożeniami, jakie stanowią takie urządzenia.