Zaloguj się do usług
bezpieczeństwa
4 września 2020
[Raport CERT OPL] Internet Rzeczy, czyli trochę o inteligentnych domach

Jak tam, już po urlopach? Wróciliście do domów? A może jesteście wielbicielami i/lub early adopterami nowych technologii i Wasze domy są mniej lub bardziej inteligentne? No to poczytajcie, co Piotr Minicki ma Wam do powiedzenia o stojących przed Wami zagrożeniach... To oczywiście tekst z Raportu CERT Orange Polska 2019 i nie jedyny, który warto przeczytać! Cały raport znajdziecie tutaj.


Internet Rzeczy, czyli trochę o inteligentnych domach

Urządzenia, które znają nasze nawyki, zdalnie sterowane systemy alarmowe, elektroniczne zamki do drzwi, ekspresy do kawy, które same nam ją zaparzają, lodówki, które zamawiają brakujące artykuły spożywcze oraz lodówki, do których mamy aktualny podgląd poprzez smartfona, co znajduje się w lodówce jak np. jesteśmy w sklepie, monitoring w domu – kamery, telewizory, z którymi komunikujemy się mową czy gestami, regulatory temperatury na grzejnikach C.O, piece C.O, smart gniazda sieci elektrycznej to już nie science fiction ani zabawki dla bogatych ludzi. Te wszystkie urządzenia i wiele innych po podłączeniu do sieci mają z założenia ułatwiać nam życie i czynić je wygodniejszym – czy aby na pewno?

Udogodnienia inteligentnego domu to również problemy i zagrożenia. Podłączanie urządzeń domowych do internetu sprawia, że ich działanie staje się zależne od jakości łącza, jego prędkości działania  np. serwera. Z drugiej strony, wykorzystując dobra techniki podłączone do sieci, mogą posłużyć  cyberprzestępcy, którzy poszukują możliwości przejęcia kontroli nad naszym sprzętem. Mogą się dowiedzieć, gdzie jesteś, kiedy wrócisz do domu i wejść do niego bez wyłamywania drzwi. To wszystko jest możliwe, szczególnie wtedy, gdy systemy te nie są właściwie zabezpieczone. Ważna jest w tym przypadku świadomość zagrożeń, a ich uniknięcie nie będzie trudne. Na początek wystarczy zdrowy rozsądek i sprawdzanie, jakie aplikacje instalujemy do sterowania tymi urządzeniami.

Jakie  słabe punkty naszego inteligentnego domu mogą wykorzystać cyberprzestępcy?

System nadzoru i obserwacji chroni domy poprzez automatyczne zamykanie drzwi wejściowych i okien czy monitorowanie otoczenia za pomocą kamer. Dzięki podłączeniu do internetu wszystkie te urządzenia mogą być zdalnie sterowane przez właścicieli… jak i przez i cyberprzestępców. Jeśli nie są w pełni chronione, bardzo łatwo jest przejąć nad nimi kontrolę.

Inteligentne telewizory są wyposażone w mikrofony i wbudowane kamery, które mają funkcję rozpoznawania głosu, co umożliwia automatyczną obsługę ustawień. Jednak połączenie do sieci stwarza ryzyko wycieku prywatnych filmów czy zdjęć.

Eksperci Trend Micro informowali  w 2019 roku, o wykryciu w inteligentnych telewizorach aplikacji zainfekowanych złośliwym oprogramowaniem typu backdoor, wykorzystującym starą lukę w zabezpieczeniach Androida. Większość dostępnych obecnie na rynku telewizorów smart nie pracuje na aktualnych, załatanych wersjach systemów operacyjnych. Atakujący mogą z powodzeniem wykorzystywać znane od dawna podatności do przeprowadzania ataków.

Urządzenia tego typu najczęściej wyposażone są w łatwe do oprogramowania systemy takie jak np. Android, jednak producenci nie za bardzo interesują się, aby odpowiednio zabezpieczyć je przed niepowołanym dostępem. Twórcy oprogramowania nie wykonują żadnych aktualizacji, które aktualizowałyby nowo odkryte luki w bezpieczeństwie. Elementy inteligentnego domu mogą się stać łatwym celem dla cyberprzestępców, którzy chcą wykraść dane czy żądają okupu np. blokując ogrzewanie domu zimą. Cyberprzestępcy korzystają z tego, że wiele urządzeń jest połączonych z siecią i zwiększa się ryzyko ujawnienia prywatnych informacji. Wobec tego właściciele inteligentnego domu powinni unikać pobierania aplikacji ze stron prowadzonych przez podejrzane firmy, nie mogą zapominać też o instalacji odpowiedniego oprogramowania zabezpieczającego.

Jak pokazały testy przeprowadzone przez firmę Kaspersky Lab, nadal istnieje wiele sposobów umożliwiających przejęcie kontroli. Jednym z nich była luka w serwerze chmurowym, poprzez który właściciel steruje domem.

„Jak ujawniła firma Kaspersky, „inteligentny dom Fibaro umożliwiał dowolnej osobie przesłanie i pobranie danych kopii zapasowej inteligentnego huba z i na serwer chmurowy. Inteligentny hub stanowi najważniejsze urządzenie w inteligentnym domu, ponieważ steruje np. termostatami, automatami do kawy, systemami zabezpieczającymi itp. Dane znajdujące się w kopii zapasowej huba zawierają wiele ciekawych informacji o domu i jego właścicielu, w tym lokalizację nieruchomości oraz smartfona, adres e-mail, na które zarejestrowane jest konto hosta, w systemie Fibaro, jak również listę połączonych urządzeń wraz z ich hasłami (wszystkie w postaci niezaszyfrowanego tekstu). Przechowywane tam było również hasło do panelu administratora wykorzystywane do zdalnego sterowania domem. W przeciwieństwie do pozostałych haseł, znajdujących się w kopii zapasowej, było ono zabezpieczone, a dokładniej zahaszowane. Jeśli jednak atakujący chciał pobrać wszystkie kopie zapasowe przechowywane w chmurze Fibaro, mógł odgadnąć najprostsze i najczęściej pojawiające się hasła — np. „password1” — dla których hasz były takie same. Po przedostaniu się do panelu administratora przestępca mógł wykorzystać jedną z luk w celu zdalnego wykonania kodu i zdobycia uprawnień superużytkownika w systemie, który ma nieograniczone uprawnienia. Jak na ironię, prawdziwy właściciel domu ma ich o wiele mniej.

Z kolei testy przeprowadzone przez badaczy na uniwersytecie College of William ujawniły luki bezpieczeństwa dwóch platform dla inteligentnego domu: Nest (od firmy Nest Labs, której właścicielem jest firma Google) oraz Hue (produkowanej przez firmę Philips).

„Specjaliści z firmy Nest Labs zwrócili szczególną uwagę na zabezpieczenie systemów ochronnych aplikacje i urządzenia firm zewnętrznych nie mogą zmieniać ustawień kamer zabezpieczających oraz innych komponentów odpowiedzialnych za bezpieczeństwo domu, jak również włączać je i wyłączać. Jednak system ten używa pewnych atrybutów, które powszechnie występują w systemach zabezpieczających i urządzeniach, a które są znacznie mniej chronione. Wartości takich atrybutów są przechowywane w jednym magazynie, do którego mają dostęp wszystkie urządzenia, jakie ich potrzebują do działania. Co więcej, niektóre mniejsze, jak przełączniki światła czy termostaty, w wielu przypadkach potrafią nie tylko odczytywać potrzebne im wartości, ale także je zmieniać. Z jednej strony pomaga to automatyzować i upraszczać rutynowe operacje. Na przykład gdy wychodzisz rano do pracy, nie musisz wydawać poleceń dla każdego urządzenia oddzielnie. Aplikacja kontrolująca przełącznik może użyć na przykład geolokalizacji w celu określenia, że właściciel wyszedł już z domu, a następnie przesłać tę informację do magazynu i przypisać atrybutowi wartość away, który określa nieobecność. Wartość tę odczytuje nie tylko sam przełącznik (który następnie wyłącza światło), lecz również pozostałe urządzenia. Każde z nich wykonuje zaprogramowane działanie: klimatyzacja działa mniej intensywnie, odtwarzacze muzyczne wyłączają się, a kamery monitoringu rozpoczynają nagrywanie. Jeśli jednak system uzna, że właściciel powrócił do domu, kamery zostają wyłączone, co zmniejsza ogólne bezpieczeństwo. Dostępnych jest kilka urządzeń kompatybilnych z Nest, które mają prawo zarządzać trbami home/away. Badacze zdecydowali się sprawdzić bezpieczeństwo przełącznika Kasa autorstwa firmy TP-Link. Oprócz wspomnianej możliwości odczytu i zmiany ustawień trybu home/away, na ich wybór złożyła się także popularność aplikacji Kasa Smart służącej do zdalnego sterowania urządzeniem (ponad milion pobrań w sklepie Google Play). Po dokładniejszej analizie okazało się, że program umożliwia atakującemu przechwycenie połączenia z serwerem i wysyłanie do niego poleceń. Błąd został wykryty w procedurze autoryzacji, a dokładniej w toku myślenia programistów aplikacji na temat jej zabezpieczeń – aby dane właścicieli konta nie wpadły w niepowołane ręce, aplikacja i serwer najpierw nawiązują połączenie szyfrowane. W tym celu aplikacja wysyła do serwera żądanie, które wyświetla jej certyfikat SSL potwierdzający, że serwer jest zaufany. Aplikacja sprawdza autentyczność certyfikatu, a jeśli jest oryginalny, potajemnie przekazuje serwerowi token (dane wykorzystywane do identyfikacji użytkownika). Jednak podczas procedury sprawdzania wkradał się błąd, w wyniku którego aplikacja Kasa miała akceptować wszystkie certyfikaty”.

Problem z uprawnieniami nadawanymi aplikacjom zewnętrznym dotyczy również inteligentnego systemu oświetleniowego Philips Hue. Zaprojektowano go tak, aby każdy program wymagał od właściciela zgody na nawiązanie połączenia z inteligentnym domem. Uprawnienie to może zostać nadane poprzez wciśnięcie przycisku na panelu sterującym, poprzez który działają urządzenia Hue. Aplikacja oraz panel sterujący muszą znajdować się w tej samej sieci lokalnej. Oznacza to, że osoby przebywające w pobliżu nie mogą połączyć się z Twoim inteligentnym domem, w celu wysłania żądania. To dobry pomysł, jednak jego wdrożenie nie poszło zgodnie z założeniem. Jak odkryli badacze, przycisk ten może zostać wciśnięty nie tylko przez użytkownika, lecz również przez każdy program, który jest już połączony z urządzeniem Hue. „Mózg” systemu określa, czy przycisk został aktywowany zgodnie z wartością jednego z ustawień jednostki sterującej. Wartość ta może być jednak modyfikowana przez aplikacje. Program, którego działanie wzbudza wątpliwości i który ma dostęp do platformy, może dowolnie nadawać dostęp innym. Co więcej - używając tych samych ustawień, może on również odmówić dostępu do legalnych urządzeń połączonych przez właściciela. Może się wydawać, że ponieważ platforma Hue jest wykorzystywana tylko do sterowania oświetleniem, błąd ten jest znacznie mniej niebezpieczny niż luka w platformie Nest. Jednak urządzenia Hue również mogą łączyć się z systemem Nest, który nie tylko ma dostęp do zamków w drzwiach i kamer, ale w niektórych przypadkach umożliwia aplikacjom innych producentów ich wyłączenie.”

Jak zabezpieczyć inteligentny dom?

Luki w zabezpieczeniach są znajdowane niemal w każdym inteligentnym urządzeniu domowym. Cyberprzestępcy mogą zaatakować nawet zamek lub kamerę bezpieczeństwa – a to już poważna sprawa. Decyzja, czy wzbogacić swój dom o technologiczne nowinki na pewno jest trafna. Jeśli jednak postanowimy mieć ten wymarzony, inteligentny dom, należy zminimalizować ryzyko możliwych włamań dokonywanych przez cyberprzestępców.

Oto kilka rad:

  • Czytajmy opinie o instalowanych przez nas urządzeniach zanim je kupimy m.in. o lukach już wykrytych. Zwróćmy uwagę, jak producent reaguje na wykrycie luk w jego urządzeniach. Jeśli są one szybko ujawnione i łatane aktualizacjami to dobry znak;
  • Regularnie sprawdzajmy aktualizacje. Instalujmy wszelkie udostępnianie przez producenta;
  • Chrońmy te urządzenia poprzez użycie silnego i unikatowego hasła;
  • Poprawnie skonfigurujmy domową sieć Wi-Fi lub skorzystajmy z wykfalifikowanych specjalistów. Aktualizujmy poprawki dla routera sieci udostępniane przez producentów. Szczególnie te dotyczące zabezpieczeń;
  • Programy pobierajmy tylko z oficjalnych stron i nie udzielajmy im niepotrzebnych uprawnień. Łącząc się ze swoim inteligentnym domem za pośrednictwem publicznej sieci Wi-Fi w galeriach handlowych czy kawiarniach pamiętajmy, że w pobliżu również mogą pić kawę cyberprzestępcy i w łatwy sposób przechwycą wysyłane informacje, w tym również twoje hasła i tokeny autoryzacyjne. Aby tego uniknąć, skorzystajmy z bezpiecznego połączenia przy użyciu np. technologii VPN.

Świadomie korzystajmy z możliwości technologicznych, pamiętając jednak o ewentualnych zagrożeniach.


Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl