Straszne historyjki dotyczÄ…ce Internetu Rzeczy (IoT) przywoÅ‚ujÄ… w naszej wyobraźni obraz zakapturzonych cyberprzestÄ™pców, których celem życia jest wÅ‚amywanie siÄ™ do systemów komputerowych i utrudnianie życia innym ludziom, wynajdujÄ…c miliony sposobów, aby przeniknąć do ich sfery prywatnej za poÅ›rednictwem ich gadżetów. Jednak czy tak postrzegany Internet Rzeczy jest wystarczajÄ…cym powodem, aby przestać wykorzystywać inteligentne urzÄ…dzenia? WedÅ‚ug nas, nie. Uważamy jednak, że klienci powinni być Å›wiadomi potencjalnych zagrożeÅ„ i wiedzieć, jak je Å‚agodzić, zanim zachÅ‚ysnÄ… siÄ™ Å›wiatem Internetu Rzeczy.      

Ponad rok temu nasz kolega z Globalnego Zespołu ds. Badań i Analiz, David Jacoby, rozejrzał się po swoim salonie i postanowił zbadać, jak podatne na cyberataki są jego urządzenia. Okazało się, że niemal wszystkie posiadały jakieś luki. W związku z tym zadaliśmy sobie pytanie: czy jest to zbieg okoliczności czy dostępne obecnie na rynku inteligentne produkty "IoT" są naprawdę tak podatne na ataki? Aby znaleźć odpowiedź, wcześniej tego roku wybraliśmy losowe połączone z internetem urządzenia domowe i zbadaliśmy, jak działają.

Do naszego eksperymentu wybraliśmy następujące urządzenia:

• urzÄ…dzenie USB do transmisji strumieniowej wideo (Google Chromecast);
• sterowanÄ… smartfonem kamerÄ™ IP;
• sterowany smartfonem ekspres do kawy;
• system bezpieczeÅ„stwa domu, również obsÅ‚ugiwany przy pomocy smartfona.

Zadanie, jakie wyznaczyliÅ›my sobie, byÅ‚o proste: stwierdzić, czy którekolwiek z tych produktów stanowiÄ… zagrożenie dla bezpieczeÅ„stwa jego wÅ‚aÅ›ciciela. Wyniki naszego dochodzenia dajÄ… wiele do myÅ›lenia:   

Google Chromecast. Hakowanie Internetu Rzeczy dla poczÄ…tkujÄ…cych

Ryzyko: zawartość ekranu ofiary jest wysyłana strumieniowo ze źródła, które posiada atakujący.

Chromecast, który zostaÅ‚ niedawno zaktualizowany bardziej zaawansowanÄ… wersjÄ…, stanowi interesujÄ…ce urzÄ…dzenie. Jest to niedrogi gadżet USB, który umożliwia strumieniowanie treÅ›ci ze smartfona lub tabletu do telewizora lub innego urzÄ…dzenia z ekranem. Aby go wÅ‚Ä…czyć, użytkownik musi wpiąć urzÄ…dzenie w wejÅ›cie HDMI telewizora. NastÄ™pnie Chromecast uruchamia wÅ‚asnÄ… sieć Wi-Fi w celu przeprowadzenia wstÄ™pnej konfiguracji. Po nawiÄ…zaniu poÅ‚Ä…czenia ze smartfonem lub tabletem wyÅ‚Ä…cza wÅ‚asnÄ… sieć Wi-Fi i Å‚Ä…czy siÄ™ z domowÄ… sieciÄ… Wi-Fi użytkownika. Jest niezwykle wygodny i przyjazny dla użytkownika.   

JeÅ›li jednak w pobliżu znajduje siÄ™ haker, urzÄ…dzenie to okazuje siÄ™ mniej wygodne i zdecydowanie mniej przyjazne. Potwierdza to znana luka w zabezpieczeniach "rickrolling", wykryta przez konsultanta ds. bezpieczeÅ„stwa, Dana Petro. Pozwala ona na strumieniowanie zawartoÅ›ci na ekran ofiary ze źródÅ‚a, które posiada osoba atakujÄ…ca. DziaÅ‚a to w nastÄ™pujÄ…cy sposób: osoba atakujÄ…ca zalewa urzÄ…dzenie specjalnymi żądaniami "rozÅ‚Ä…cz" wysyÅ‚anymi z faÅ‚szywego urzÄ…dzenia opartego na minikomputerze Raspberry Pi, a nastÄ™pnie, gdy Chromecast wÅ‚Ä…cza w odpowiedzi swój wÅ‚asny moduÅ‚ Wi-Fi, zostaje on ponownie poÅ‚Ä…czony z urzÄ…dzeniem atakujÄ…cego, strumieniujÄ…c zawartość, zgodnie z jego życzeniem.   

Jedynym sposobem na powstrzymanie tego procesu jest wyłączenie telewizora, usunięcie urządzenia spoza zasięgu hotspota Wi-Fi oraz zaczekanie, aż osoba atakująca znudzi się lub odejdzie.

Jedynym ograniczeniem dla tego ataku jest fakt, że osoba atakująca musi być w zasięgu sieci Wi-Fi, z którą połączony jest Chromecast. W naszym eksperymencie odkryliśmy jednak, że to niekoniecznie stanowi przeszkodę w przypadku taniej, kierunkowej anteny Wi-Fi oraz oprogramowania Kali Linux. Gdy wykorzystaliśmy te metody, stwierdziliśmy, że do Chromecasta można włamać się z dużo większej odległości niż wynosi normalny zasięg sygnału domowych sieci Wi-Fi. To oznacza, że o ile w przypadku pierwotnego włamania hakerskiego dokonanego przez Dana Petro osoba atakująca ryzykowała, że zostanie wykryta przez rozwścieczonego właściciela Chromecasta, w przypadku anteny kierunkowej, takie ryzyko nie istnieje.

Nie uważamy tego "ustalenia" za nowe odkrycie w dziedzinie bezpieczeństwa; rozszerza ono jedynie znany wcześniej i nieusunięty do tej pory problem. Jest to ćwiczenie dla początkujących w zakresie włamywania się do urządzeń sfery Internetu Rzeczy, chociaż mogłoby zostać wykorzystane w naprawdę szkodliwy sposób - wrócimy do tego później. Na początek, przyjrzymy się innym wynikom naszego krótkiego badania.

Zapobieganie: Wykorzystywanie urządzenia odległych miejscach Twojego domu zmniejszy ryzyko ataków w przypadku anten kierunkowych.

Stan luki: nienaprawiona.

Kamera IP

Problem nr 1

Ryzyko: osoby atakujące uzyskują dostęp do adresów e-mail wszystkich użytkowników kamery, którzy doświadczyli problemów technicznych.

Badana przez nas kamera IP była pozycjonowana przez producenta jako elektroniczna niania. Umieszczasz kamerę w pokoju dziecka, pobierasz aplikację na smartfona, podłączasz kamerę do aplikacji oraz sieci Wi-Fi i to wszystko: możesz oglądać swoje dziecko, zawsze kiedy chcesz i z dowolnego miejsca.

Dlaczego ktoś chciałby włamać się do elektronicznej niani? W rzeczywistości, znamy wiele takich przypadków jeszcze z 2013 r.:

http://www.cbsnews.com/news/baby-monitor-hacked-spies-on-texas-child/, przy czym podobny problem odnotowano w 2015 r.: http://www.kwch.com/news/local-news/whitewater-woman-says-her-baby-monitor-was-hacked/32427912. A zatem tak, są ludzie, którzy z jakiegoś powodu chcą włamać się do elektronicznych nianiek.

Gdy badaliÅ›my naszÄ… kamerÄ™ (wiosnÄ… 2015 r.) dostÄ™pne byÅ‚y dwie różne aplikacje, które pozwalaÅ‚y klientom komunikować siÄ™ z tym urzÄ…dzeniem. Obie zawieraÅ‚y luki w zabezpieczeniach. Później dowiedzieliÅ›my siÄ™ od producenta, że jedna z nich byÅ‚a już przestarzaÅ‚a, ale nadal wykorzystywana przez wielu wÅ‚aÅ›cicieli kamer. OdkryliÅ›my, że przestarzaÅ‚a aplikacja zawiera zapisane na sztywno dane uwierzytelniajÄ…ce dostÄ™p do konta w serwisie Gmail.   

public static final String EMAIL_FROM = "****@gmail.com";

    public static final String EMAIL_PASSWORD = "****";

    public static final String EMAIL_PORT = "465";

    public static final String EMAIL_SMTP_HOST = "smtp.gmail.com";

    public static final String EMAIL_TO;

    public static final String EMAIL_TO_MAXIM = "****@gmail.com";

    public static final String EMAIL_TO_PHILIPS = "****@philips.com";

    public static final String EMAIL_USERNAME = "****@gmail.com";

Producent powiedział nam później, że konto to było wykorzystywane do zbierania raportów na temat problemów technicznych pochodzących od użytkowników kamery.

Problem polega na tym, że raporty te byÅ‚y wysyÅ‚ane na predefiniowane konto z prywatnych kont pocztowych użytkowników. Dlatego osoba atakujÄ…ca nie musiaÅ‚aby nawet kupować kamery; wystarczyÅ‚o jedynie pobrać i dokonać inżynierii wstecznej jednej z aplikacji, aby uzyskać dostÄ™p do serwisowego konta e-mail oraz zebrać adresy e-mail wszystkich użytkowników kamery, którzy doÅ›wiadczyli problemów technicznych. JeÅ›li w wyniku wykorzystania tej luki dostÄ™p do poczty użytkownika mogÅ‚a uzyskać nieznajoma osoba, to duży problem, prawda? Być może. Jednak patrzÄ…c na tÄ™ sprawÄ™ realnie, nie wydaje siÄ™, by luka ta miaÅ‚a zostać wykorzystana do masowego przechwycenia informacji osobistych, głównie ze wzglÄ™du na stosunkowo niewielkÄ… liczbÄ™ ofiar. Problemy techniczne sÄ… rzadkie, a aplikacja byÅ‚a stara i niezbyt popularna w momencie przeprowadzania przez nas badania. Poza tym, elektroniczna niania to produkt niszowy. 

Z drugiej strony, jeÅ›li posiadasz elektronicznÄ… nianiÄ™, prawdopodobnie jesteÅ› rodzicem i fakt ten czyni CiÄ™ (a tym samym Twój adres e-mail) bardziej pożądanym celem, w przypadku gdyby osoba atakujÄ…ca planowaÅ‚a okreÅ›lonÄ…, ukierunkowanÄ… kampaniÄ™ oszukaÅ„czÄ…. 

Innymi słowy, nie jest to krytyczna luka w zabezpieczeniach, ale może być wykorzystywana przez przestępców. Jednak nie była to jedyna luka w zabezpieczeniach, jaką znaleźliśmy, badając kamerę i aplikację.

Stan luki: naprawiona. 

Problem nr 2

Ryzyko: przejęcie pełnej kontroli nad kamerą przez osobę atakującą.

Po przyjrzeniu się przestarzałej aplikacji przeszliśmy do nowszej wersji i natychmiast odkryliśmy kolejny interesujący problem.

Aplikacja komunikuje siÄ™ z kamerÄ… za poÅ›rednictwem usÅ‚ugi opartej na chmurze, a komunikacja pomiÄ™dzy aplikacjÄ… a tÄ… usÅ‚ugÄ… jest szyfrowana przy użyciu HTTPS. Wykorzystuje Identyfikator sesji w celu uwierzytelnienia, który zostaje automatycznie zmieniony za każdym razem, gdy użytkownik inicjuje nowÄ… sesjÄ™. Brzmi bezpiecznie, w rzeczywistoÅ›ci jednak można przechwycić identyfikator sesji i kontrolować kamerÄ™ za poÅ›rednictwem chmury lub uzyskać hasÅ‚o umożliwiajÄ…ce lokalny dostÄ™p do kamery.  

Zanim aplikacja zacznie strumieniować dane z kamery, wysyła żądanie HTTP do serwisu opartego na chmurze:

type=android&id=APA91bEjfHJc7p6vw3izKmMNFYt7wJQr995171iGq2kk_rD4XaMEHhTXqTmFaAALjWD15bnaVcyMuV2a7zvEFdtV13QXildHQn0PCvQbPikag2CPJwPwOWWsXtP7B0S-Jd3W-7n0JUo-nMFg3-Kv02yb1AldWBPfE3UghvwECCMANYU3tKZCb2A&sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

Żądanie to zawiera Identyfikator sesji, który mógłby zostać przechwycony, ponieważ żądanie jest niezaszyfrowane. Identyfikator sesji jest następnie wykorzystywany do uzyskania aktualnego hasła. Stwierdziliśmy, że można tego dokonać poprzez stworzenie specjalnego odsyłacza zawierającego na końcu identyfikator sesji.

https://****/****/**** sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

W odpowiedzi na ten odsyłacz usługa oparta na chmurze wysyła hasło do sesji.

 https://****/****/****sessionId=100-U3a9cd38a-45ab-4aca-98fe-29b27b2ce280

" "local_view":{ "password":"N2VmYmVlOGY4NGVj","port":9090} "

Przy użyciu hasła można przejąć pełną kontrolę nad kamerą, łącznie z możliwością oglądania przesyłanych strumieniowo filmów, słuchać nagrań audio oraz odtwarzania ich na kamerze.

Należy zauważyć, że nie jest to zdalny atak - osoba atakujÄ…ca musi znajdować siÄ™ w tej samej sieci co użytkownik aplikacji, aby przechwycić pierwotne żądanie, co zmniejsza prawdopodobieÅ„stwo wykorzystania luki. Jednak, użytkownicy aplikacji powinni zachować ostrożność, szczególnie jeÅ›li wykorzystujÄ… duże sieci, do których dostÄ™p ma wiele osób. Na przykÅ‚ad, jeÅ›li użytkownik aplikacji Å‚Ä…czy siÄ™ ze swojÄ… kamerÄ… z publicznej sieci Wi-Fi, może narazić siÄ™ na ryzyko ataku ze strony osoby znajdujÄ…cej siÄ™ w tej samej sieci. W takich warunkach nietrudno wyobrazić sobie realny scenariusz wykorzystania aplikacji, w którym uczestniczy osoba trzecia. 

Stan luki: naprawiona.

Problem nr 3

Ryzyko: osoba atakująca może zrobić wszystko z oprogramowaniem systemowym (firmware) kamery.

Trzeci problem, jaki wykryliśmy podczas badania kamery sterowanej smartfonem, tkwił nie w aplikacji, ale w samej kamerze. Był dość prosty: w oprogramowaniu systemowym znajdowało się fabryczne hasło do SSH umożliwiające dostęp z prawami administratora. Sprawa była prosta, ponieważ kamera działała pod kontrolą systemu Linux, a hasło pozwalające na dostęp z przywilejami administratora umożliwiało działanie w trybie "god-mode" każdemu, kto miał dostęp do urządzenia i znał hasło. Osoba atakująca może zrobić wszystko z oprogramowaniem systemowym kamery: zmodyfikować je, wyczyścić - wszystko. Jedyne, co musi zrobić, aby uzyskać hasło, to pobrać i rozpakować firmware ze strony producenta (chociaż osoba atakująca musiałaby znajdować się w tej samej sieci, w której znajduje się zaatakowane urządzenie, aby uzyskać adres URL, z którego pobierane jest oprogramowanie systemowe) oraz użyć ścieżki \\ubifs\\home/.config. Tam właśnie znajduje się hasło. W czystym tekście.

CONFIG_****_ROOT_PASSWORD="sVGhNBRNyE57"

CONFIG_****_ROOT_PASSWORD="GFg7n0MfELfL"

O wiele bardziej niepokojÄ…ce jest to, że jeÅ›li nie jesteÅ› ekspertem od Linuksa, tylko zwykÅ‚ym niedoÅ›wiadczonym użytkownikiem, nie jesteÅ› w stanie samodzielnie usunąć lub zmienić tego hasÅ‚a. 

Dlaczego hasÅ‚o do SSH byÅ‚o tam umieszczone? To stanowi dla nas zagadkÄ™, ale możemy wskazać kilka powodów. DostÄ™p z przywilejami administratora byÅ‚by potrzebny twórcom i specjalistom ds. wsparcia technicznego w sytuacji, kiedy klient trafiÅ‚by na nieoczekiwany problem techniczny, którego nie można naprawić przez telefon. Najwidoczniej, jest to powszechna praktyka w przypadku nowych modeli takich urzÄ…dzeÅ„, które mogÄ… zawierać bÅ‚Ä™dy, które nie zostaÅ‚y wykryte i usuniÄ™te na etapie poprzedzajÄ…cym wprowadzenie produktu na rynek. PrzyjrzeliÅ›my siÄ™ oprogramowaniu systemowemu kilku innych kamer innego producenta i również wykryliÅ›my tam hasÅ‚a do SSH. Sprawa wyglÄ…da tak: twórcy zostawsiajÄ… hasÅ‚o do SSH w oprogramowaniu systemowym, aby móc od czasu do czasu naprawić nieoczekiwane bÅ‚Ä™dy, a kiedy pojawi siÄ™ stabilna wersja takiego oprogramowania, po prostu zapominajÄ… usunąć lub zaszyfrować hasÅ‚o.   

Nasze drugie przypuszczenie jest takie, że po prostu zapominajÄ…, że w ogóle tam byÅ‚o. Jak odkryliÅ›my podczas badania, część urzÄ…dzenia, w którym znalezione zostaÅ‚y hasÅ‚a do SSH - mikroukÅ‚ad - zwykle dostarczana jest przez innego producenta. Ten producent z kolei pozostawia hasÅ‚o do SSH dla swojej wygody, aby mieć pewność, że producent produktu koÅ„cowego (elektroniczna niania) ma możliwość dostrojenia mikroukÅ‚adu i podÅ‚Ä…czenia go do innego sprzÄ™tu oraz oprogramowania. A zatem producent po prostu zapomina usunąć hasÅ‚o. Proste.  

Stan luki: naprawiona.

Komunikacja z producentem

Wykrycie tych luk w zabezpieczeniach nie stanowiÅ‚o problemu. Trzeba też przyznać, że zgÅ‚oszenie ich producentowi również nie byÅ‚o trudne i pomogÅ‚o je zaÅ‚atać. Kamera, którÄ… badaliÅ›my, byÅ‚a marki Philips, ale tak naprawdÄ™ zostaÅ‚a wyprodukowana i byÅ‚a wspierana przez Gibson Innovations. Przedstawiciele tej firmy niezwykle szybko zareagowali na nasze zgÅ‚oszenie. W efekcie, wszystkie zgÅ‚oszone przez nas bÅ‚Ä™dy zostaÅ‚y zaÅ‚atane, zarówno w kamerze jak i w aplikacjach (Android oraz iOS).           

Tej jesieni Rapid7 opublikowaÅ‚ bardzo interesujÄ…cy raport dotyczÄ…cy luk w zabezpieczeniach elektronicznych niaÅ„, a na liÅ›cie urzÄ…dzeÅ„ zawierajÄ…cych dziury znalazÅ‚ siÄ™ produkt firmy Philips (nieco inna wersja badanej przez nas kamery). W raporcie wyszczególniono wiele luk - niektóre przypominaÅ‚y te wykryte w naszym badaniu. Jednak wedÅ‚ug zaprezentowanej w tym raporcie osi czasu "od wykrycia do Å‚aty", Gibson Innovations to jeden z nielicznych producentów urzÄ…dzeÅ„ w ramach Internetu Rzeczy, którzy poważnie traktujÄ… luki w zabezpieczeniach swoich produktów i sÄ… w tym konsekwentni. Brawo za tak odpowiedzialne podejÅ›cie.    

Ale wracajÄ…c do naszego badania?

KtoÅ› mógÅ‚by powiedzieć, że problemy dotyczÄ…ce bezpieczeÅ„stwa, jakie wykryliÅ›my w kamerze IP, mogÄ… wprawdzie zostać wykorzystane przez osobÄ™ atakujÄ…cÄ…, ale wymagajÄ… dostÄ™pu do tej samej sieci, w której znajduje siÄ™ kamera - i miaÅ‚by racjÄ™. Z drugiej strony, dla osoby atakujÄ…cej nie stanowi to dużej przeszkody, szczególnie gdy użytkownik posiada w swojej sieci inne urzÄ…dzenie. 

Ekspres do kawy sterowany smartfonem

Co mogłoby pójść źle?

Ryzyko: wyciek hasła do domowej sieci bezprzewodowej.

Losowo wybrany przez nas ekspres do kawy potrafi zdalnie przyrządzić filiżankę kawy dokładnie wtedy, kiedy chcesz. Musisz jedynie ustawić czas, a kiedy kawa będzie już gotowa, aplikacja wyśle Ci powiadomienie. Możesz również monitorować stan maszyny za pośrednictwem aplikacji. Możesz, na przykład, dowiedzieć się, czy kawa już się parzy czy nie, czy urządzenie jest gotowe do parzenia lub czy już pora uzupełnić pojemnik z wodą. Innymi słowy, bardzo fajne urządzenie, które - niestety - daje osobie atakującej możliwość przechwycenia hasła do Twojej lokalnej sieci Wi-Fi.

Zanim użyjesz ekspresu, musisz go skonfigurować. WyglÄ…da to tak: gdy urzÄ…dzenie zostanie podÅ‚Ä…czone, tworzy niezaszyfrowany hotspot i nasÅ‚uchuje ruch UPNP. Smartfon, na którym dziaÅ‚a aplikacja sÅ‚użąca do komunikowania siÄ™ z ekspresem, Å‚Ä…czy siÄ™ z tym hotspotem i wysyÅ‚a żądanie emisji UDP, pytajÄ…c, czy w sieci znajdujÄ… siÄ™ urzÄ…dzenia UPNP. Ponieważ nasz ekspres jest takim urzÄ…dzeniem, odpowiada na żądanie. NastÄ™pnie ze smartfona do urzÄ…dzenia wysyÅ‚ana jest krótka wiadomość zawierajÄ…ca SSID oraz hasÅ‚o do domowej sieci bezprzewodowej.  

WÅ‚aÅ›nie tu wykryliÅ›my problem. Chociaż hasÅ‚o jest wysyÅ‚ane w formie zaszyfrowanej, komponenty klucza szyfrowania sÄ… wysyÅ‚ane za poÅ›rednictwem otwartego, niezabezpieczonego kanaÅ‚u. Komponenty te to adres sieciowy ekspresu oraz inne niepowtarzalne dane uwierzytelniajÄ…ce. Przy pomocy tych komponentów w smartfonie generowany jest klucz szyfrowania. HasÅ‚o do sieci domowej zostaje zaszyfrowane z użyciem tego klucza poprzez 128-bitowy algorytm AES i wysÅ‚ane w postaci base64 do ekspresu. W ekspresie klucz jest również generowany przy pomocy tych komponentów, a hasÅ‚o może zostać odszyfrowane. NastÄ™pnie, ekspres Å‚Ä…czy siÄ™ z bezprzewodowÄ… sieciÄ… domowÄ… i przestaje peÅ‚nić funkcjÄ™ hotspota do czasu, gdy zostanie zrestartowany. Od tego momentu do ekspresu można uzyskać dostÄ™p jedynie za poÅ›rednictwem domowej sieci bezprzewodowej. Nie ma to jednak znaczenia, ponieważ do tego czasu hasÅ‚o zostaÅ‚o już zÅ‚amane.  

Stan luki: nadal istnieje.

Komunikacja z producentem

Przesłaliśmy nasze wyniki producentowi ekspresu, który przyznał, że problem istnieje, i wydał następujące oświadczenie:

"Zarówno wygoda użytkownika jak i bezpieczeństwo są dla nas niezwykle istotne i nieustannie dążymy do uzyskania równowagi między tymi zagadnieniami. Rzeczywiste zagrożenia związane z wspomnianymi przez Państwa lukami w zabezpieczeniach podczas konfiguracji są bardzo niewielkie. Aby uzyskać dostęp, haker musiałby być fizycznie obecny w zasięgu sieci domowej dokładnie w momencie konfiguracji, czyli miałby na to zaledwie kilka minut. Innymi słowy, haker musiałby zaatakować konkretny inteligentny ekspres i znajdować się w sieci dokładnie w momencie konfiguracji, co jest wysoce nieprawdopodobne. Z tego powodu uważamy, że potencjalne luki nie są wystarczającym powodem, aby wprowadzić sugerowane zmiany, które będą miały poważny negatywny wpływ na pracę użytkownika. Chociaż nie istnieją konkretne plany zmiany procedury konfiguracji, nieustannie je rewidujemy i nie zawahalibyśmy się wprowadzić zmian, gdyby zagrożenia były większe. Jeśli coś zmieni się w tym względzie w najbliższej przyszłości, powiadomimy Państwa o tym".

Nie możemy siÄ™ caÅ‚kowicie nie zgodzić z tym stwierdzeniem i musimy przyznać, że okno czasowe, które pozwala przeprowadzić atak, jest bardzo niewielkie. Luka ta może zostać zaÅ‚atana na wiele sposobów, jednak z naszej analizy wynika, że niemal wszystkie te sposoby wymagajÄ… zmian w sprzÄ™cie (port ethernet w ekspresie lub klawiatura dla hasÅ‚a rozwiÄ…zaÅ‚yby problem) lub dostarczenia unikatowego kodu PIN dla każdego ekspresu, Å‚Ä…cznie z tymi, które zostaÅ‚y już sprzedane, co z punktu widzenia logistyki nie jest Å‚atwe. Takie zmiany miaÅ‚yby znaczÄ…cy wpÅ‚yw na wygodÄ™ korzystania z urzÄ…dzenia, a proces konfiguracji nie byÅ‚by tak prosty.  

JedynÄ… poprawkÄ… dla oprogramowania, jakÄ… możemy zaproponować, jest zastosowanie asymetrycznego szyfrowania. W tym przypadku, ekspres musiaÅ‚by wysÅ‚ać do smartfona użytkownika publiczny klucz szyfrowania i tylko wtedy mogÅ‚aby nastÄ…pić wymiana poufnych danych. To jednak nadal pozwalaÅ‚oby użytkownikowi w danej sieci Wi-Fi, Å‚Ä…cznie z osobÄ… atakujÄ…cÄ…, przejąć kontrolÄ™ na ekspresem. Klucz publiczny byÅ‚by dostÄ™pny dla wszystkich, a pierwszy użytkownik, który otrzymaÅ‚by go i nawiÄ…zaÅ‚ poÅ‚Ä…czenie z ekspresem, mógÅ‚by go kontrolować. Jednak, legalny użytkownik ekspresu wiedziaÅ‚by przynajmniej, że coÅ› jest nie tak, ponieważ podczas skutecznego ataku/po ataku nie mógÅ‚by komunikować siÄ™ z urzÄ…dzeniem. Nie dotyczy to aktualnego oprogramowania wykorzystywanego w ekspresie.    

Można wiÄ™c powiedzieć, że do pewnego stopnia rozumiemy logikÄ™ producenta: stopieÅ„ zagrożenia zwiÄ…zanego z tym problemem jest zbyt niski wobec zÅ‚ożonoÅ›ci Å›rodków, jakie należaÅ‚oby zastosować w celu wyeliminowania problemu. Poza tym, nieprawdÄ… byÅ‚oby stwierdzenie, że producent w ogóle nie myÅ›laÅ‚ o kwestiach bezpieczeÅ„stwa: jak już wspominaliÅ›my wczeÅ›niej, hasÅ‚o jest przesyÅ‚ane w postaci zabezpieczonej i trzeba trzymać antenÄ™ w okreÅ›lony sposób.   

Jednak luka ta nadal istnieje i sprytny przestępca bez trudno mógłby wykorzystać ją w celu uzyskania hasła do sieci Wi-Fi. Sytuacja wygląda interesująco: jeśli jesteś użytkownikiem takiego ekspresu, za każdym razem, gdy zmieniasz hasło do Twojej domowej sieci Wi-Fi w celu zabezpieczenia jej, tak naprawdę ujawniasz nowe hasło, ponieważ za każdym razem, gdy wprowadzasz nowe hasło, musisz ponownie skonfigurować ekspres do kawy. Niektóre osoby nie widzą w tym problemu, jednak dla innych jest to naruszenie bezpieczeństwa.

Z tego powodu, nie ujawnimy producenta ani modelu, aby nie kierować uwagi na produkt zawierający luki. Jeśli jednak jesteś użytkownikiem ekspresu sterowanego przy użyciu smartfona i martwi Cię opisany problem, skontaktuj się z producentem i zapytaj go, czy to, co odkryliśmy w naszym badaniu, dotyczy produktu, który posiadasz lub zamierzasz kupić.

Ostatni etap naszej podróży do niezabezpieczonego świata Internetu Rzeczy?

Systemy bezpieczeństwa domu a prawa fizyki

Ryzyko: obchodzenie czujników bezpieczeństwa bez wywoływania alarmów.

Systemy bezpieczeństwa domu sterowane przy użyciu aplikacji są dzisiaj dość popularne. Na rynku dostępnych jest wiele różnych produktów do zabezpieczenia domu przed włamaniem fizycznym. Zwykle, takie systemy obejmują koncentrator, który jest podłączony do Twojej sieci domowej i do Twojego smartfona, oraz kilka czujników zasilanych baterią, które komunikują się bezprzewodowo z koncentratorem. Czujniki zwykle są montowane na drzwiach/oknie i powiadamiają właściciela, czy zabezpieczone okno lub drzwi zostały otwarte.

Gdy po raz pierwszy zaczÄ™liÅ›my badać inteligentny system bezpieczeÅ„stwa domu, byliÅ›my podekscytowani. WczeÅ›niej znaleźliÅ›my wiele informacji dotyczÄ…cych wykrycia przez badaczy poważnych luk w zabezpieczeniach takich produktów. PrzykÅ‚adem może być badanie przeprowadzone przez firmÄ™ HP lub inne rewelacyjne badanie dotyczÄ…ce braku ochrony protokoÅ‚u ZigBee wykorzystywanego przez takie produkty, zaprezentowane podczas tegorocznej konferencji Black Hat.  SpodziewaliÅ›my siÄ™, że Å‚atwo znajdziemy liczne problemy.   

Tak jednak nie byÅ‚o. Im bardziej zagÅ‚Ä™bialiÅ›my siÄ™ w system, tym bardziej stwierdzaliÅ›my, że z perspektywy cyberbezpieczeÅ„stwa jest to dobrze zaprojektowane urzÄ…dzenie. Aby skonfigurować system, należy podÅ‚Ä…czyć koncentrator bezpoÅ›rednio do rutera Wi-Fi, z kolei aby umożliwić komunikacjÄ™ aplikacji z koncentratorem, należy stworzyć konto na stronie internetowej producenta, podać numer telefonu oraz wprowadzić tajny kod PIN, wysyÅ‚any do użytkownika za poÅ›rednictwem SMS-a. CaÅ‚a komunikacja pomiÄ™dzy aplikacjÄ… a systemem jest kierowana przez usÅ‚ugÄ™ chmury producenta, a wszystko odbywa siÄ™ za poÅ›rednictwem HTTPS. 

AnalizujÄ…c, w jaki sposób koncentrator pobiera nowe wersje oprogramowania systemowego, stwierdziliÅ›my, że firmware nie jest podpisany, co jest pewnym problemem, ponieważ potencjalnie pozwala pobrać na urzÄ…dzenie dowolnÄ… wersjÄ™ tego oprogramowania. JednoczeÅ›nie w tym celu niezbÄ™dna jest znajomość hasÅ‚a oraz loginu do konta użytkownika. Ponadto, bÄ™dÄ…c w tej samej sieci, w której znajduje siÄ™ system bezpieczeÅ„stwa, można wysyÅ‚ać polecenia do koncentratora. Jednak aby ustalić, jakie rodzaje poleceÅ„ można wysÅ‚ać, należy dokonać inżynierii wstecznej firmware'u koncentratora, co w rzeczywistoÅ›ci nie wchodzi w zakres badania bezpieczeÅ„stwa, ale stanowi rodzaj agresywnego wÅ‚amanie. A przecież my nie jesteÅ›my agresywnymi hakerami.  

A zatem, z perspektywy oprogramowania - jeśli nie zamierzasz za wszelką cenę włamać się do urządzenia - badany przez nas system bezpieczeństwa domu można uznać za bezpieczny.

Jednak później przyjrzeliśmy się czujnikom.

Pokonanie czujników stykowych ich własną bronią

Czujniki stykowe lub antywÅ‚amaniowe, dostarczane w pakiecie, skÅ‚adajÄ… siÄ™ z trzech głównych części: magnesu (tej części, którÄ… umieszczamy na drzwiach lub ruchomej części okna), przekaźnika radiowego oraz czujnika pola magnetycznego. DziaÅ‚a to w nastÄ™pujÄ…cy sposób: magnes emituje pole magnetyczne, które jest rejestrowane przez czujnik pola magnetycznego. JeÅ›li drzwi lub okno jest otwarte, czujnik przestaje rejestrować pole magnetyczne i wysyÅ‚a powiadomienie do koncentratora, sygnalizujÄ…c, że drzwi/okno jest otwarte. JeÅ›li jednak pole magnetyczne istnieje, żaden alarm nie zostaje uruchomiony, co oznacza, że wszystko, czego potrzebujesz, aby obejść czujnik, to magnes, który jest wystarczajÄ…co silny, aby zastÄ…pić pole magnetyczne. W naszym laboratorium umieÅ›ciliÅ›my magnes w pobliżu czujnika, a nastÄ™pnie otworzyliÅ›my okno, przedostaliÅ›my siÄ™ do Å›rodka, zamknÄ™liÅ›my okno i usunÄ™liÅ›my magnes. Nie byÅ‚o alarmu ani żadnej niespodzianki.      

KtoÅ› mógÅ‚by powiedzieć, że to może zadziaÅ‚ać tylko w przypadku okien, gdzie można z Å‚atwoÅ›ciÄ… zlokalizować dokÅ‚adne miejsce, w którym zostaÅ‚ umieszczony czujnik. Jednak pola magnetyczne sÄ… zdradliwe i mogÄ… przenikać przez Å›ciany, a najprostsza aplikacja na smartfona sÅ‚użąca do wykrywania pola magnetycznego precyzyjnie zlokalizuje czujnik, nawet jeÅ›li nie znajduje siÄ™ on w zasiÄ™gu Twojego wzroku. A zatem drzwi również sÄ… podatne na ataki (jeÅ›li nie sÄ… wykonane z metalu). Fizyka górÄ…!   

Czujnik ruchu

ZachÄ™ceni Å‚atwym zwyciÄ™stwem nad czujnikami stykowymi, przeszliÅ›my do czujnika ruchu i po zdemontowaniu go odkryliÅ›my, że jest to raczej prosty czujnik podczerwieni, który wykrywa ruch ciepÅ‚ego obiektu. To oznacza, że jeÅ›li obiekt nie jest ciepÅ‚y, czujnik nie reaguje. Jak odkryliÅ›my podczas naszego eksperymentu, trzeba jedynie zaÅ‚ożyć pÅ‚aszcz, okulary, czapkÄ™ oraz/lub maskÄ™, aby stać siÄ™ niewidocznym dla czujnika. Fizyka wygrywa po raz kolejny! 

Strategie ochrony

ZÅ‚e wieÅ›ci sÄ… takie, że urzÄ…dzenia oparte na czujnikach pola magnetycznego oraz niskiej jakoÅ›ci czujniki ruchu podczerwieni sÄ… wykorzystywane nie tylko w badanym przez nas systemie bezpieczeÅ„stwa domu. SÄ… to dość standardowe czujniki, które można znaleźć w wielu innych, podobnych produktach. Aby siÄ™ o tym przekonać, wystarczy przeszukać sklepy internetowe oferujÄ…ce urzÄ…dzenia Internetu Rzeczy. Kolejna zÅ‚a wiadomość: tego bÅ‚Ä™du nie można naprawić przy pomocy aktualizacji oprogramowania. Problem tkwi w samej technologii.  

Dobra wiadomość jest taka, że można zabezpieczyć się również przed włamywaczami, którzy nie opuszczali w szkole lekcji fizyki. Należy przestrzegać następujących podstawowych zasad:

1. Jeśli wykorzystujesz opisany wyżej system, ochrona domu nie powinna opierać się wyłącznie na czujnikach stykowych. Producenci inteligentnych systemów bezpieczeństwa domu zwykle oferują dodatkowe urządzenia, takie jak kamery wyczuwające ruch i dźwięk, których nie można obejść przy użyciu magnesu. Dlatego rozsądnie byłoby uzupełnić czujniki stykowe o inteligentne kamery, nawet jeśli będzie to dodatkowy koszt. Wykorzystywanie samych czujników stykowych zmieni Twój system bezpieczeństwa domu w oparty na zaawansowanych technologiach system "zabawkę".
2. JeÅ›li wykorzystujesz czujniki ruchu podczerwieni, spróbuj umieÅ›cić je przed kaloryferem w pomieszczeniach, przez które bÄ™dzie musiaÅ‚ przejść wÅ‚amywacz, gdyby dostaÅ‚ siÄ™ do Twojego domu. W tym przypadku, intruz, niezależnie od tego, jakie nosi ubrania, zasÅ‚oni kaloryfer, a czujnik wykryje zmianÄ™ i przekaże informacjÄ™ o tym do Twojego smartfonowa.  

Wnioski

Na podstawie wyników naszego krótkiego eksperymentu możemy powiedzieć, że producenci robiÄ…, co w ich mocy, aby uwzglÄ™dnić cyberbezpieczeÅ„stwo urzÄ…dzeÅ„, które produkujÄ…, co jest dobrÄ… wiadomoÅ›ciÄ…. Mimo to, każde podÅ‚Ä…czone do sieci, sterowane aplikacjÄ… urzÄ…dzenie, które jest zwykle okreÅ›lane jako urzÄ…dzenie IoT, niemal na pewno bÄ™dzie posiadaÅ‚o co najmniej jednÄ… lukÄ™ w zabezpieczeniach. Z drugiej strony, prawdopodobieÅ„stwo, że luki te bÄ™dÄ… krytyczne, nie jest tak wysokie. 

Jednocześnie, niski poziom zagrożenia związanego z takimi lukami w zabezpieczeniach nie gwarantuje, że nie zostaną wykorzystane w ataku. Na początku artykułu obiecaliśmy, że opiszemy, w jaki sposób ta niegroźna i zabawna luka "rickrolling" może zostać wykorzystana w niebezpiecznym ataku. A zatem:

Wyobraź sobie, że pewnego dnia telewizor z podÅ‚Ä…czonym do niego urzÄ…dzeniem Chromecast - oba należą do niedoÅ›wiadczonego użytkownika - zaczyna wyÅ›wietlać komunikaty o bÅ‚Ä™dach, z których wynika, że aby usunąć problem, użytkownik musi przywrócić ustawienia fabryczne routera Wi-Fi. To oznacza, że użytkownik musiaÅ‚by ponownie podÅ‚Ä…czyć wszystkie swoje urzÄ…dzenia, w tym ekspres do kawy dziaÅ‚ajÄ…cy w sieci Wi-Fi. Użytkownik restartuje router i ponownie podÅ‚Ä…cza wszystkie swoje urzÄ…dzenia. W efekcie, Chromecast znów dziaÅ‚a normalnie, podobnie jak wszystkie inne urzÄ…dzenia w sieci. Użytkownik nie zauważa jedynie, że ktoÅ› w tym czasie poÅ‚Ä…czyÅ‚ siÄ™ z routerem i uzyskaÅ‚ dostÄ™p do elektronicznej niani lub innych urzÄ…dzeÅ„ znajdujÄ…cych siÄ™ w sieci, takich które nie posiadajÄ… żadnych luk krytycznych, a jedynie kilka drobnych bÅ‚Ä™dów.      

Z ekonomicznego punktu widzenia, nadal nie wiadomo, dlaczego cyberprzestÄ™pcy chcieliby zaatakować urzÄ…dzenia podÅ‚Ä…czone do sieci. Jednak w zwiÄ…zku z sukcesem rynku Internetu Rzeczy jak również popularyzacjÄ… i standaryzacjÄ… technologii, jedynie kwestiÄ… czasu jest to, kiedy czarne kapelusze znajdÄ… sposób, aby zarobić na ataku na Internet Rzeczy. Jednym z nich może być oprogramowanie ransomware, ale z pewnoÅ›ciÄ… nie jest to jedyny sposób.   

Ponadto, cyberprzestÄ™pcy nie sÄ… jedynymi, którzy mogÄ… zainteresować siÄ™ Internetem Rzeczy. Tego lata, na przykÅ‚ad, Rosyjskie Ministerstwo Spraw WewnÄ™trznych zleciÅ‚o badanie możliwych sposobów zbierania danych kryminalistycznych z urzÄ…dzeÅ„ stworzonych z pomocÄ… inteligentnych technologii. Z kolei, wojsko kanadyjskie ogÅ‚osiÅ‚o niedawno przetarg na dostawcÄ™, który może "znaleźć luki w zabezpieczeniach i Å›rodki bezpieczeÅ„stwa" dla samochodów, i "opracuje oraz zaprezentuje exploit".      

Nie oznacza to, że ze względu na te wszystkie zagrożenia nie powinniśmy korzystać z Internetu Rzeczy. Bezpieczną opcją jest mądry wybór: zastanów się, jakie chcesz urządzenie lub system w ramach Internetu Rzeczy, do czego planujesz je wykorzystywać i gdzie.

Oto lista sugestii Kaspersky Lab: 

1. Przed zakupem jakiegokolwiek urządzenia IoT poszukaj w Internecie informacji na temat wszelkich luk w zabezpieczeniach tego urządzenia. Internet Rzeczy stanowi niezwykle aktualny temat i wielu badaczy podejmuje się znalezienia luk w zabezpieczeniach tego rodzaju produktów: od elektronicznych niań po sterowane aplikacjami strzelby. Jest dość prawdopodobne, że urządzenie, które chcesz kupić, zostało już zbadane przez badaczy bezpieczeństwa i można sprawdzić, czy wykryte problemy zostały już naprawione.
2. Kupowanie produktów, które zostaÅ‚y niedawno wprowadzone na rynek nie zawsze jest najlepszym pomysÅ‚em. Oprócz standardowych bÅ‚Ä™dów, jakie można znaleźć w nowych produktach, urzÄ…dzenia te mogÄ… zawierać luki w zabezpieczeniach, które nie zostaÅ‚y jeszcze wykryte przez badaczy bezpieczeÅ„stwa. NajlepszÄ… radÄ…, jakiej można udzielić w tym zakresie, jest zalecenie kupowania produktów, dla których opublikowano już kilka aktualizacji oprogramowania. 
3. Wybierając, którą sferę swojego życia chcesz uczynić nieco bardziej "smart", uwzględnij zagrożenia bezpieczeństwa. Jeśli przechowujesz w swoim domu wiele przedmiotów posiadających dużą wartość materialną, prawdopodobnie dobrym pomysłem będzie postawienie na profesjonalny system bezpieczeństwa, który może zastąpić lub uzupełnić dotychczasowy, sterowany za pomocą aplikacji system alarmowy zabezpieczający twój dom; możesz również skonfigurować obecny system w taki sposób, aby wszelkie potencjalne luki w zabezpieczeniach nie wpływały na jego działanie. Podczas wyboru urządzenia, które będzie gromadziło informacje dotyczące Twojego życia osobistego oraz życia Twojej rodziny, takiego jak elektroniczna niania, lepszym rozwiązaniem może być najprostszy model na rynku wykorzystujący fale radiowe (RF), taki, który potrafi transmitować jedynie sygnał audio, bez możliwości łączenia się z Internetem, Jeśli nie ma takiej opcji, wtedy należy przestrzegać naszej pierwszej rady - wybierz mądrze.

Jeśli chodzi o producentów urządzeń Internetu Rzeczy, mamy tylko jedną, ale istotną sugestię: podczas tworzenia nowych produktów i udoskonalania starych powinni współpracować ze specjalistami ds. bezpieczeństwa. Prowadzone są inicjatywy, takie jak Builditsecure.ly czy OWASP Internet of Things project, które mogą rzeczywiście pomóc stworzyć rewelacyjne urządzenie połączone z siecią, które nie zawiera poważnych problemów dotyczących bezpieczeństwa. W Kaspersky Lab również będziemy kontynuowali nasze badania, aby dowiedzieć się więcej na temat urządzeń połączonych z internetem oraz znaleźć sposoby ochrony użytkowników przed zagrożeniami, jakie stanowią takie urządzenia.

ŹródÅ‚o: Kaspersky Lab