Kaspersky pomaga wyeliminować krytyczne luki w zabezpieczeniach kontrolera inteligentnego domu globalnego producenta z siedzibą w Polsce
Badacze z firmy Kaspersky analizujący urządzenie sterujące aktywnym ekosystemem inteligentnego domu zidentyfikowali kilka krytycznych luk w zabezpieczeniach. Obejmowały one błędy w infrastrukturze chmury oraz możliwość zdalnego wykonania kodu, dzięki czemu osoba z zewnątrz mogłaby uzyskać dostęp na poziomie administratora do kontrolera oraz w dowolny sposób manipulować infrastrukturą inteligentnego domu. O wynikach badania poinformowano producenta, firmę FIBARO, który natychmiast zareagował, aktualizując protokoły bezpieczeństwa.
Krajobraz Internetu Rzeczy nieustannie rozszerza się i ewoluuje – wraz z nowymi produktami i rozwiązaniami pojawiają się nowe rodzaje zagrożeń, podważając bezpieczeństwo użytkowników. Jeden z pracowników firmy Kaspersky rzucił wyzwanie swoim kolegom badaczom polegające na ocenie inteligentnego systemu w jego własnym domu. W tym celu udzielił badaczom dostęp do kontrolera swojego mieszkania. Urządzenie to łączy urządzenia i nadzoruje operacje, a złamanie jego zabezpieczeń oznaczałoby dla cyberprzestępcy możliwość ingerencji w cały ekosystem w celu przeprowadzenia różnych działań, od szpiegostwa oraz kradzieży po fizyczny sabotaż.
Wstępny etap badania obejmujący zbieranie danych naprowadził ekspertów na kilka potencjalnych wektorów ataków: za pośrednictwem bezprzewodowego protokołu komunikacyjnego Z-Wave powszechnie wykorzystywanego w automatyce domowej; za pośrednictwem interfejsu online panelu administracyjnego; oraz za pośrednictwem infrastruktury chmury. Ten ostatni okazał się najbardziej skuteczny, jeśli chodzi o przeprowadzanie ataków: analiza metod przetwarzania żądań pochodzących z urządzenia ujawniła słaby punkt w procesie autoryzacji oraz możliwość zdalnego wykonania kodu.
W połączeniu, luki te mogłyby pozwolić osobie z zewnątrz uzyskać dostęp do wszystkich kopii zapasowych przesyłanych do chmury ze wszystkich centrów domowych FIBARO w wersji lite oraz przesłać zainfekowane kopie zapasowe do chmury, a następnie pobrać je do konkretnego kontrolera – mimo braku posiadania przywilejów w systemie.
W ramach eksperymentu eksperci z firmy Kaspersky przeprowadzili atak testowy na kontroler. W tym celu przygotowali określoną kopię zapasową zabezpieczoną za pomocą hasła. Następnie wysłali za pośrednictwem chmury wiadomość e-mail oraz SMS do właściciela urządzenia, zalecając mu aktualizację oprogramowania układowego kontrolera. “Ofiara” wyraziła zgodę i pobrała zainfekowaną kopię zapasową. To pozwoliło badaczom uzyskać przywileje administratora kontrolera inteligentnego domu, a tym samym manipulować ekosystemem połączonych urządzeń. Jako dowód skutecznego włamania się do systemu badacze zmienili dźwięk budzika – następnego dnia pracownika firmy Kaspersky obudziła głośna muzyka drum’n’bass.
W przeciwieństwie do nas prawdziwy cyberprzestępca, który uzyskałby dostęp do centrum domowego, z pewnością nie poprzestałby na żarcie z budzikiem. Jednym z głównych zadań badanego przez nas urządzenia jest integrowanie wszystkich “inteligentnych rzeczy”, aby właściciel domu mógł zarządzać nimi z jednego centrum domowego. Istotnym szczegółem jest to, że przedmiotem naszej oceny był system działający w realnych warunkach – wcześniej większość badań przeprowadzano w warunkach laboratoryjnych. Badanie wykazało, że mimo rosnącej świadomości w zakresie bezpieczeństwa Internetu Rzeczy nadal istnieją kwestie, na które należy zwrócić uwagę. Co ważniejsze, badane przez nas urządzenia są produkowane na skalę masową i stosowane w aktywnych sieciach inteligentnych domów. Dziękujemy znanej na całym świecie firmie FIBARO za jej odpowiedzialne podejście do sprawy – wiemy, że kładzie nacisk na cyberbezpieczeństwo – oraz za uczynienie domu naszego kolegi znacznie bezpieczniejszym, niż był przed badaniem – powiedział Paweł Czeremuszkin, badacz ds. cyberbezpieczeństwa, Kaspersky ICS CERT.
Infrastruktura IoT wymaga skomplikowanego systemu, który działa płynnie na wielu poziomach. Wiąże się z ogromną pracą w zakresie implementacji i architektury. Doceniamy badanie i starania firmy Kaspersky. Pomagają nam pracować nad bezpieczeństwem naszych produktów i usług. Wspólnie zdołaliśmy wyeliminować potencjalne słabe punkty. Użytkownikom naszych produktów zalecamy instalowanie aktualizacji oraz sprawdzanie, czy otrzymywane e-maile pokrywają się z komunikatami zamieszczanymi na stronie internetowej FIBARO. Aktualizacje udoskonalają funkcjonalność systemu oraz utrudniają hakerom kradzież prywatnych danych – powiedział Krzysztof Banasiak, dyrektor ds. produktów, FIBARO.
Porady bezpieczeństwa
Eksperci z Kaspersky Lab przygotowali kilka porad pozwalających użytkownikom zabezpieczyć ich urządzenia:
- Zastanawiając się nad tym, jaki obszar swojego życia uczynić nieco bardziej “inteligentnym”, weź pod uwagę zagrożenia dla bezpieczeństwa.
- Zanim kupisz urządzenie Internetu Rzeczy, poszukaj informacji na temat luk w zabezpieczeniach.
- Oprócz standardowych błędów, jakie możesz napotkać w nowych produktach, wprowadzone niedawno na rynek urządzenia mogą posiadać luki w zabezpieczeniach, które nie zostały jeszcze wykryte przez badaczy bezpieczeństwa. Z tego względu lepiej kupować produkty, dla których udostępniono już kilka aktualizacji oprogramowania, niż takie, które dopiero pojawiły się na rynku.
- Dopilnuj, aby wszystkie Twoje urządzenia były aktualne, stosując wszystkie najnowsze aktualizacje bezpieczeństwa oraz oprogramowania układowego (tzw. firmware).
- Zacznij korzystać ze skutecznego rozwiązania bezpieczeństwa, które chroni konto online użytkownika oraz domowe sieci Wi-Fi, gwarantując, że prywatna sieć pozostanie prywatną.
Szczegóły techniczne dotyczące raportu badaczy z firmy Kaspersky Lab poświęconego rozwiązaniom firmy FIBARO są dostępne na stronie https://r.kaspersky.pl/KZvie.