Įsilaužimas į mūsų boso išmaniuosius namus
Protingas namas | Saugumas | Technologijos

Įsilaužimas į mūsų boso išmaniuosius namus

ByPuiki.lt 🕒 Skaitymo laikas: 5 minutės
Teksto dydis: +1, +2, normalus.

Į Fibaro išmaniojo namo valdymo sistemą galima įsilaužti, o šeimininkui bus sunku.

Ne taip seniai išmanieji namai daugiausia priklausė geekams ir kitiems pažangiausios elektronikos mėgėjams. Tačiau per pastaruosius kelerius metus jie išpopuliarėjo tarp paprastų žmonių, o baziniai prietaisų komplektai išmaniesiems namams parduodami už itin prieinamą kainą..

Vienas iš mūsų kolegų taip pat nusprendė prisijungti. Jis nusipirko daugybę įmantrių techninių prietaisų, pasidėjo juos savo namuose, sujungė ir maloniai paliko projekto specialistų malonei. Kaspersky ICS CERT. Informacijos saugumo ekspertai mėgsta naujus žaislus, todėl su džiaugsmu pradėjo juos „laužyti“ - ir, žinoma, jiems pavyko. Štai trumpa istorija apie tai, kaip saugumo tyrėjai įsilaužė į išmanųjį namą ir ką jie galėjo padaryti, kai įgavo jo įrenginių valdymą.

Pradėkime įsilaužti

Taigi, ką mes turime pradžioje: namą, kuris yra toli nuo mūsų, name įrengtas vadinamasis smart hub - centrinis įrenginys, valdantis išmanųjį namą - Fibaro Home Center Lite, kuris valdo visus kitus įrenginius..

Namas prikimštas išmaniųjų dalykų: šaldytuvas, stereo sistema ir nuotoliniu būdu valdoma vonios šildytuvas, keli dūmų ir potvynių davikliai, pora CCTV kamerų, lempos su judesio davikliais, išmanioji šildymo sistema ir įėjimo durys su išmanusis vaizdo durų skambutis. Visa tai valdoma naudojant Fibaro valdiklį.

Visi namuose esantys išmanieji įrenginiai yra prijungti prie namų Wi-Fi. Tyrėjai žino tik valdiklio modelį ir jo IP adresą.

Kaip tai veikia: atakos paviršiaus susiaurėjimas

Kaip puolamas protingas namas? Dažniausiai tai daroma taip: grupė saugumo ekspertų bando nubrėžti visus galimus įsilaužimo būdus, apibrėždama vadinamuosius. atakos paviršius. Tada jie iš eilės išbando geriausiai veikiančias atakos parinktis, kol randa tą, kuri iš tikrųjų veikia. Tai jie naudos, kad prasiskverbtų į tinklą..

Skaitykite Instrukcijos pradedantiesiems: 10 patarimų, kaip būti paaukštintam Instagram

Yra puolimo krypčių, kurios yra sunkesnės nei kitos. Paprastai, nustačius atakos paviršių, jie išmetami. Idėja ta, kad realiame gyvenime užpuolikai vargu ar jais naudos dėl jų sudėtingumo ar darbo intensyvumo. Todėl saugumo specialistai jiems negailės laiko ir pastangų. Kai kurie atakos vektoriai turi apribojimų – pavyzdžiui, jie reikalauja, kad užpuolikas būtų arti taikinio. Tokie variantai dažniausiai taip pat siunčiami į krepšelį..

Dėl šios priežasties ICS CERT ekspertai nusprendė nepulti Z-Wave protokolo, per kurį valdiklis bendrauja su įrenginiais – norint tai padaryti, reikia būti arti atakos taikinio. Jie taip pat nenaudojo kodų interpretatoriaus, nes „Fibaro“ valdiklis turėjo pataisytą sistemos versiją.

Pagaliau jiems pavyko rasti SQL injekcijos pažeidžiamumas (nepaisant to, kad Fibaro daug nuveikė siekdamas atsikratyti tokių pažeidžiamumų) ir pora klaidų PHP kode, leidžiančių nuotoliniu būdu vykdyti kodą (techninę informaciją rasite ataskaita apie Securelist).

Jei užpuolikas išnaudos šias spragas, jis gaus root prieigą prie išmaniojo valdiklio, o tai reiškia visišką jo kontrolę. Verta paminėti, kad net įrenginio savininkas tokių teisių neturi, todėl atakos atveju jis negalės įsikišti ir atšaukti užpuoliko veiksmų. Bet pirmiausia užpuolikai turi turėti galimybę kažkaip siųsti komandas valdikliui.

Išmaniojo namo vidus

Svarbi išmaniųjų namų su Fibaro savybė: jį galima valdyti nuotoliniu būdu iš bet kurios pasaulio vietos. Tai reiškia, kad spragų galima ieškoti ne tik įrenginyje, bet ir jo debesyje bei duomenų perdavimo protokoluose. Kaip paaiškėjo, Fibaro debesyje buvo rimtas pažeidžiamumas. Naudodamas jį užpuolikas galėjo pasiekti visas atsargines kopijas, įkeltas į debesį iš visų pasaulio Fibaro valdiklių..

Taigi informacijos saugumo specialistai gavo atsarginę kontrolieriaus, esančio tame name, kopiją. Atsarginėje kopijoje jie rado daug įdomių dalykų, įskaitant duomenų bazės failą su daug asmeninės informacijos – namo vieta, geografinės vietos duomenys iš savininko išmaniojo telefono, el. pašto adresas, kuriuo registravosi „Fibaro“, informacija apie išmaniuosius įrenginius (abu Fibaro ir kitų gamintojų ) ir net išmaniojo centro slaptažodį.

Tačiau slaptažodis buvo išsaugotas taip, kaip turėtų – naudojant maišos Ir druskos. Jo negalima taip lengvai iššifruoti, todėl mūsų tyrėjų grupei jis nebuvo naudingas. Verta paminėti, kad atskirų išmaniųjų namų įrenginių, kuriems valdyti reikia autentifikavimo, slaptažodžiai buvo saugomi toje pačioje duomenų bazėje be jokio šifravimo..

Skaitykite 4. Wordfence – geriausias WordPress saugos papildinys

Ekspertai sukūrė specialią atsarginės kopijos versiją su naudingu kroviniu PHP scenarijaus pavidalu, kuris vykdo komandas, kurios gaunamos nuotoliniu būdu. Tada jie panaudojo standartinę „Fibaro“ debesies funkciją – galimybę nusiųsti savininkui elektroninį laišką arba SMS. Pranešime jie rašė, kad jo išmaniuosiuose namuose kažkas ne taip ir jam reikia įdiegti naujinimą, kad būtų atkurtas normalus veikimas.

Žinoma, kibernetinio saugumo klausimus išmanantis ir atakos tikintis žmogus greitai suprato, kad ši žinia – spąstai. Tačiau paprastas nieko neįtariantis vartotojas greičiausiai to pamėgs. Taigi išmaniojo namo savininkas nusprendė žaisti kartu su tyrėjais ir įdiegė atnaujinimą. Po to užpuolikai gavo prieigą prie valdiklio, visų jo valdomų įrenginių ir, svarbiausia, namų tinklo..

Kas atsitiks, jei į išmanųjį namą bus įsilaužta?

Grupė ekspertų tiesiogine prasme įsiveržė į išmanųjį namą ir perėmė visus prie namų tinklo prijungtus prietaisus ir įrenginius. Mūsų atveju tai reiškė, kad jie galėjo keisti temperatūrą patalpoje, įjungti pirtį ar garsiai muziką per stereo sistemą (mūsų ekspertai padarė kažką panašaus – žadintuvo melodiją pakeitė būgno ir boso takeliu), spausdinti bet ką. tinklo spausdintuve ir daug daugiau ta pačia dvasia.

Įvertinkite straipsnį
0 / 12 Įvertinimas 0

Jūsų įvertinimas:

Post Views: 365

LinkedInMessengerPinterestPrintRedditTelegramTumblrWhatsApp
Avatar photo
Puiki.lt

Straipsnis publikavimui parengtas Puiki.lt bendradarbių - laisvai samdomų: autorių, straipsnių rašytojų, redaktorių ir tekstų vertėjų. Straipsniuose gali būti panaudota indormacija iš vieno ar kelių informacinių šaltinių, ar straipsnis parengtas naudojantis šaltinio medžiaga. Tai gali būti staipsnis, kurio pilnas ar dalinis tekstas yra išverstas iš užsienio kalbos. Straipsnio vertimo iš užsienio kalbos / kalbų teisės priklauso: © 2000 - 2024 Puiki.lt - Visos teisės saugomos. All rights reserved. Straipsniuose naudojamos nuotraukos iš įvairių komercinių ir nekomercinių šaltinių: Getty Images, Freepik, iStock, Pexels, Shutterstock, Unsplash. Straipsniuose gali būti naudojamos asmeninės straipsnio autoriaus nuotraukos ir iliustracijos. Prie mokslinių ar akademinių straipsnių, pateikiame visą sąrašą nuorodų į šaltinius ir kitą bibliografinę informaciją. Citatų autoriai nurodomi, po citatomis. Straipsniuose gali būti vertimo klaidų ar netikslumų. Pastebėjus vertimo klaidas ar reikšmingus netikslumus, rašykite atsiųsdami nuorodą į publikaciją. Manote galintys pataisyti straipsnio tekstą daug geriau bet neatlygintinai - atsiųskite ir mes būsime jums labai dėkingi.

Parašykite komentarą

El. pašto adresas nebus skelbiamas. Būtini laukeliai pažymėti *