Protingas namas, o jame – įsilaužimas
| | |

Protingas namas, o jame – įsilaužimas

PaskelbėPuiki.lt 🕑  Skaitymo laikas:  6  minutės

Vaizdo stebėjimo kamerų įsilaužimas per jungiklį ir kitos įdomios išmaniųjų namų funkcijos.

Išmaniųjų namų technologijos sukurtos tam, kad gyvenimas būtų lengvesnis ir patogesnis. Tačiau nauji patogumai taip pat sukelia naujų problemų. Apie pavojai, susiję su visko automatizavimu, Jau rašėme ne kartą. Jungdami buitinę techniką prie interneto tampate priklausomi nuo ryšio kokybės ir serverio veikimas, o pažeidžiama įranga gali būti nulaužta ir perimta nusikaltėlių.

Kaip parodė naujausi tyrimai, vis dar yra daugybė būdų, kaip perimti išmaniuosius namus. Spraga gali būti, pavyzdžiui, debesų serverio, per kurį savininkas valdo namą nuotoliniu būdu, pažeidžiamumas arba net toks iš pažiūros nekenksmingas įrenginys kaip išmanusis šviesos jungiklis..

Fibaro: debesų grėsmė

Išmanusis namas, pagamintas Fibaro, kaip išsiaiškino „Kaspersky Lab“ specialistai», leido bet kam atsisiųsti ir įkelti atsargines valdiklio programinės įrangos kopijas į debesies serverį. Tai pats svarbiausias prietaisas namuose, kuris valdo visa kita – termostatus, kavos aparatus, apsaugos sistemas.

Jo atsarginėje kopijoje yra daug įdomių detalių apie namą ir jo savininką. Pavyzdžiui, savininko namų ir išmaniojo telefono vieta, el. pašto adresas, kuriuo Fibaro sistemoje užregistruota savininko paskyra, prijungtų įrenginių sąrašas ir slaptažodžiai prie jų prieiti – visa tai yra aiškiu tekstu, be šifravimo..

Ten pat buvo saugomas ir namo nuotolinio valdymo administratoriaus pulto slaptažodis. Jis, skirtingai nei kiti raktai, yra apsaugotas – konvertuojamas į maišos. Tačiau jei užpuolikas atsisiųs visas atsargines kopijas, saugomas „Fibaro“ debesyje, jis galės atspėti paprasčiausius ir dažniausiai pasitaikančius slaptažodžius, tokius kaip slaptažodis1 – maišos jiems bus vienodos..

Įsiskverbęs į administratoriaus skydelį, užpuolikas greičiausiai pasinaudos viena iš pažeidžiamumų, leidžiančių nuotoliniu būdu vykdyti kodą ir pasiekti sistemą. supervartotojo teisės. Jų šeimininko niekas neriboja ir namuose gali daryti ką tik širdis geidžia. Juokinga, kad namo savininkas neturi supervartotojo teisių – gamintojas nusprendė, kad taip saugiau (ir daugeliu atžvilgių tai tiesa).

Fibaro: kenkėjiškas atnaujinimas

Kitas mūsų ekspertų aptiktas atakos scenarijus visai nereikalauja slaptažodžio. Kaip jau minėjome, atsargines kopijas galima ne tik parsisiųsti iš Fibaro serverio be jokio leidimo, bet ir įkelti į jį. Debesis taip pat leidžia išsiųsti SMS ar laišką namo savininkui.

Tai reiškia, kad užpuolikas tiesiog turi sukurti kenkėjišką atsarginės kopijos kopiją, įkelti ją į serverį ir įtikinti auką įdiegti „naujinimą“. Tai galima padaryti imituojant pranešimą iš Fibaro. Net jei užpuolikas neatspės reikiamo laiško formato, didelė tikimybė, kad nieko neįtarianti auka vis tiek atsisiųs kenkėjišką atsarginę kopiją – laiškas atkeliauja iš adreso ******@fibaro.com, o tai įkvepia pasitikėjimo. . Dėl to užpuolikas, kaip ir pirmuoju atveju, gaus supervartotojo teises.

Mūsų ekspertai apie spragas papasakojo „Fibaro“ kūrėjams, o šie jas greitai ištaisė, todėl aprašyti atakų scenarijai nebeveikia. Tikėkimės, kad kiti išmaniųjų įrenginių gamintojai nesiims tuo pačiu grėbliu ir į šias klaidas atsižvelgs kurdami savo sistemas.

„Nest“: išmaniojo fotoaparato įjungimo / išjungimo jungiklis

Kitas tyrimas, kurį atliko amerikiečių mokslininkai iš Williamo ir Marijos koledžo, susiję su saugumu dvi išmaniųjų namų platformos iš karto: „Nest“, kurią gamina „Nest Labs“, priklausanti „Google“, ir „Hue“, kurią gamina „Philips“. Abi platformos pasirodė pažeidžiamos, kiekviena savaip.

„Nest Labs“ kūrėjai ypatingą dėmesį skyrė apsaugos sistemų apsaugai: trečiųjų šalių programos ir įrenginiai negali keisti vaizdo stebėjimo kamerų ir kitų už namų saugumą atsakingų komponentų nustatymų, neturi teisės jų įjungti ar išjungti. Tiksliau, jie negali to padaryti tiesiogiai.

Tačiau sistema pateikia parametrus, kurie yra bendri apsaugos sistemoms ir daug mažiau saugiems įrenginiams. Šių parametrų reikšmės įrašomos į vieną saugyklą. Visi įrenginiai, kuriems jie reikalingi, turi prieigą prie jo. Ir dažnai koks nors jungiklis ar termostatas gali ne tik nuskaityti jį dominančias reikšmes, bet ir jas pakeisti.

Viena vertus, tai padeda automatizuoti įprastas operacijas ir jas supaprastinti. Pavyzdžiui, jums nereikia duoti komandų kiekvienam įrenginiui atskirai, kai ryte išvykstate į darbą. Pakanka pritaikyti tą patį jungiklį, naudojant, tarkime, geografinę vietą, kad būtų nustatyta, kad išėjote iš namų zonos – tada ji perduos šią informaciją į saugyklą ir priskirs reikšmę toli parametrui, atsakingam už buvimą ar nebuvimą. savininko – „už namo“».

Šią reikšmę nuskaitys ne tik pats jungiklis (ir išjungs šviesą), bet ir kiti įrenginiai. Ir kiekvienas atliks užprogramuotą veiksmą: oro kondicionierius sulėtės, stereo aparatas išsijungs, o stebėjimo kamera pradės įrašinėti. Tačiau, kaip įprasta, yra ir kita medalio pusė: jei įtikinsite išmanųjį namą, kad šeimininkas grįžo, galite išjungti kameras ir susilpninti būsto apsaugą..

Keletas įrenginių, suderinamų su „Nest“ platforma, turi leidimą valdyti namų / toli režimus. Tyrėjai nusprendė išbandyti TP-Link gaminamo jungiklio Kasa saugumą. Be jau minėtos galimybės skaityti ir keisti parametrą „out of home“, pasirinkimui įtakos turėjo ir šio įrenginio nuotolinio valdymo programos populiarumas – ne juokai, daugiau nei milijonas įdiegimų iš „Google Play“! Ekspertai nepraleido akimirkos: atidžiau ištyrus paaiškėjo, kad programa leidžia užpuolikui perimti ryšį su serveriu ir siųsti jam komandas..

Problema buvo aptikta autorizavimo procedūroje, o tiksliau, kaip programos kūrėjai rūpinosi jos saugumu. Kad duomenys apie savininko paskyrą nepatektų į netinkamas rankas, programa ir serveris pirmiausia sukuria šifruotą kanalą, kuriuo jie bus perduodami. Norėdami tai padaryti, programa siunčia užklausą serveriui ir ją parodo SSL sertifikatas — dokumentas, patvirtinantis, kad serveriu galima pasitikėti.

Programa patikrina sertifikato autentiškumą ir, jei jis tikras, serveriui slapta pasako žetoną – informaciją, pagal kurią jus identifikuoja. Būtent šiame patikrinime ir įsivėlė klaida: „Kasa“ programa, kaip paaiškėjo, pasitikėjo bet kokiu sertifikatu.

Tyrėjai galimą įsilaužimo scenarijų apibūdino taip::

  1. Nusikaltėlis suseka jam patinkančio namo savininką ir laukia, kol jis prisijungs prie viešojo Wi-Fi, pavyzdžiui, kavinėje ar metro..
  2. Kasa programa bando prisijungti prie serverio.
  3. Prisijungęs prie to paties tinklo, užpuolikas perima ryšį ir programai parodo savo SSL sertifikatą.
  4. Programa suklaidina nusikaltėlį dėl serverio ir suteikia jam autentifikavimui reikalingą prieigos raktą.
  5. Nusikaltėlis, savo ruožtu, parodo šį žetoną tikram serveriui ir sumaišo jį su programa.
  6. Įsilaužėlis tiesiai iš kavinės praneša jungikliui, kad savininkas grįžo.
  7. Parametras, atsakingas už savininko buvimą, gauna reikšmę „namuose“».
  8. Tikslas pasiektas – kamera nuskaito parametrą ir sustabdo įrašymą, po kurio nusikaltėlis ar jo bendrininkai gali nepastebėti patekti į namus.

Nemaloniausia tai, kad, anot tyrėjų, tokiam išpuoliui atlikti nereikia ypatingos kvalifikacijos. Kasa kūrėjai, kaip ir Fibaro sistemos kūrėjai, parodė sąžiningumą ir, tyrėjams susisiekus su jais, ištaisė klaidą.

Lizdas: patikrinkite, ar nėra erkės?

Teoriškai „Nest“ sistema turėtų būti apsaugota nuo tokių atakų, tikrinant trečiųjų šalių įrenginius ir programas, kaip pateikia jos kūrėjai. Svetainė kūrėjams paskelbė platų reikalavimų sąrašą produktui, kuris sąveikauja su platforma. Be kita ko, pagal šiuos reikalavimus programėlė ar įrenginys turi turėti tinkamai veikiančią ir saugią autorizacijos sistemą, kuri neleistų niekam tikėti..

Tačiau praktiškai galima apeiti trečiųjų šalių įrenginių ir programų patikrinimą. Taigi, „Nest“ kūrėjai vertina tik tuos, kurie turi daugiau nei 50 vartotojų. Tai reiškia, kad prie jo, apeinant kontrolę, galės prisijungti unikali užpuolikų sukurta programa, skirta atakuoti konkretų išmanųjį namą. Pažangūs įsilaužėliai turės tik įtikinti auką atsisiųsti savo programą ir suteikti jam reikiamas teises.

Be to, net populiarios programos, kurios neatitinka „Nest“ reikalavimų, turi galimybę išlaikyti šį testą. Ryškus to pavyzdys yra ta pati Kasa programa, kuri leido užpuolikui prisijungti prie serverio jo vardu.

Be to, buvo nustatyta, kad daugelis „Nest“ įrenginių programų klaidingai nurodo leidimus, kurių reikia joms veikti. Taigi termostato valdymo programos aprašyme gali būti nurodyta, kad pakeisti parametrą „namie / toli“ reikia tik norint valdyti patį termostatą. Tuo tarpu iš tikrųjų šis parametras yra bendras visai sistemai, o kiti įrenginiai taip pat reaguos į jo pasikeitimą. Tai yra, aprašymas klaidina vartotoją.

Atspalvis: leidžia trečiųjų šalių programoms prisijungti

Teisių, kurias gauna trečiųjų šalių programos, problema aktuali ir antrajam minėto tyrimo dalyviui – apšvietimo sistemų valdymo platformai „Philips Hue“. Pasak jos kūrėjų, norint prisijungti prie išmaniojo namo, kiekviena programa prašo savininko leidimo.

Šis leidimas gali būti suteiktas paspaudus fizinį valdymo bloko mygtuką, per kurį Hue įrenginiai bendrauja tarpusavyje. Programėlė ir valdymo blokas turi būti tame pačiame vietiniame tinkle – tokiu būdu kaimynai ir praeiviai negalės prisijungti prie jūsų namų atspėję momentą ir išsiuntę užklausą. Apskritai tai yra puiki idėja saugumo požiūriu. Tačiau jis nebuvo įgyvendintas labai sėkmingai.

Kaip išsiaiškino mokslininkai, brangų mygtuką gali „paspausti“ ne tik vartotojas, bet ir… bet kuri prie Hue jau prijungta programa. Faktas yra tas, kad sistemos „smegenys“ nustato, ar mygtukas veikė pagal vieno iš valdymo bloko parametrų vertę. Šią reikšmę programos gali pakeisti. Taigi viena platformoje leidžiama nesąžininga programa gali nekontroliuojamai suteikti leidimą kitiems. Ir dar daugiau: naudodami tą patį parametrą, taip pat galite išjungti anksčiau prijungtus komponentus.

Atrodytų, kadangi Hue platforma valdo tik apšvietimą, ši klaida nėra tokia pavojinga kaip jau minėtos Nest platformos pažeidžiamumas. Tačiau „Hue“ įrenginiai taip pat gali prisijungti prie „Nest“, kuris, kaip jau žinote, ne tik turi prieigą prie durų spynų ir kamerų, bet ir leidžia trečiųjų šalių programėlėms kai kuriais atvejais juos išjungti..

Kaip apsaugoti savo išmaniuosius namus

Pasirodo, saugumo spragų galima rasti beveik bet kuriame namų automatikos įrenginyje. Kaip tai baisu? Mirksinčios šviesos ir nevaldomas šildymas yra nepatogu, bet ne per daug pavojinga, o užpuolikai nėra ypač suinteresuoti tai daryti. Galimas išmaniosios priekinių durų spynos ar apsaugos kameros įsilaužimas atrodo nemaloniau. Tačiau daug realiau, kad šiems tikslams vagys naudoja įprastą laužtuvą, o ne išnaudojimus.

Bet kokiu atveju, jūs turite susigundyti pažangos pranašumais, ar būti atsargiems ir nesivelti į išmaniuosius namus. Bet jei nuspręsite, kad jums reikia išmaniojo namo, bus naudinga sumažinti įsilaužimo riziką. Štai kaip tai padaryti:

  • Prieš pirkdami sužinokite, ką jie rašo apie konkretaus produkto saugumą. Atkreipkite dėmesį į tai, kaip gamintojas reaguoja į rastus pažeidžiamumus. Jei įmonė atsakingai žiūri į mokslininkų atrastas problemas ir greitai jas pašalina, tai geras ženklas.
  • Apsisprendę prie konkretaus įrenginio ar programos, nepamirškite sekti naujienų apie jo atnaujinimus ir rastas spragas. Ir nedelsdami įdiekite visus kūrėjų išleistus naujinimus.
  • Apsaugokite įrenginius ir valdymo pultus ilgas unikalus slaptažodis. Tada užpuolikas negalės tiesiog pasiimti „rakto“ nuo jūsų namo.
  • Teisingai nustatyti savo namų belaidį tinklą.
  • Atsisiųskite programas iš oficialių šaltinių ir neduokite joms per daug leidimai.
  • Prisijungdami prie viešojo Wi-Fi, atminkite, kad kiti gali perimti informaciją, kurią jūs ir jūsų programos siunčiate į tinklą, įskaitant slaptažodžius ir prieigos raktus. Norėdami to išvengti, naudokite saugus ryšys – VPN.

Įvertinkite straipsnį
0 / 12

Your page rank:

Post Views: 66
LinkedInMessengerPinterestPrintRedditTelegramTumblrWhatsApp
Avatar photo

Straipsnis parengtas publikavimui Puiki.lt rdakcijos. Straipsniuose gali būti panaudota indormacija iš vieno ar kelių informacinių šaltinių, ar straipsnis parengtas naudojantis šaltinio medžiaga. Tai gali būti staipsnis, kuris yra išverstas iš užsienio kalbos. Straipsnio vertimo iš užsienio kalbos / kalbų teisės priklauso: © 2000 - 2024 Puiki.lt - Visos teisės saugomos. All rights reserved. Straipsniuose naudojamos nuotraukos iš įvairių komercinių ir nekomercinių šaltinių: Getty Images, Freepik, iStock, Pexels, Shutterstock, Unsplash. Straipsniuose gali būti naudojamos asmeninės straipsnio autoriaus nuotraukos ir iliustracijos. Prie mokslinių ar akademinių straipsnių, pateikiame visą sąrašą nuorodų į šaltinius ir kitą bibliografinę informaciją. Citatų autoriai nurodomi, po citatomis. Straipsniuose gali būti vertimo klaidų ar netikslumų.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *