Popularni povezani kućni uređaji za zabavu predstavljaju pravu sajber-prijetnju sigurnosti zbog ranjivih tačaka u svom softveru i nedostatku osnovnih sigurnosnih mjera kao što su jake podrazumijevane administratorske lozinke i enkripcija internet-konekcije.
Analitičar Sigurnosti kompanije Kaspersky Lab, Dejvid Džakobi, proveo je istraživački eksperiment u sopstvenoj dnevnoj sobi kako bi saznao koliko je bezbjedan njegov dom u smislu sajber-sigurnosti. On je ispitao kućne uređaje za zabavu kao što su skladišta povezana sa mrežom (network-attached storages, NAS), smart televizori, ruter, blu-ray plejer, kako bi otkrio da li su ovi uređaji podložni sajber-napadima. Ispostavilo se da jesu.
Ispitani uređaji bili su: dva NAS modela od različitih proizvođača, jedan smart TV, satelitski prijemnik i povezani štampač. Dejvid je uspio da pronađe čak 14 ranjivih tačaka u NAS uređajima, jednu u smart TV-u, i nekoliko potencijalno skrivenih funkcija daljinskog upravljanja u ruteru.
U skladu sa svojom odgovornom politikom o objelodanjivanju, Kaspersky Lab ne otkriva imena proizvođača čiji su proizvodi bili predmet istraživanja sve dok se ne objavi sigurnosna zakrpa koja će popraviti ove ranjive tačke.
Svi proizvođači su obaviješteni o postojanju ranjivih tačaka. Eksperti kompanije Kaspersky Lab usko sarađuju sa proizvođačima u cilju eliminisanja bilo kakve ranjive tačke koju budu otkrili.
"Potrebno je da kako pojedinci, tako i kompanije, razumiju sigurnosne rizike koji okružuju povezane uređaje. Takođe, moramo imati na umu da naše informacije nisu bezbjedne samo zbog toga što imamo jaku lozinku, i da postoji niz stvari koje nismo u mogućnosti da kontrolišemo. Bilo mi je potrebno manje od 20 minuta da pronađem i potvrdim izuzetno ozbiljne ranjive tačke u uređaju koji djeluje bezbjedno i čak aludira na sigurnost u svoje ime. Kako bi se završilo slično istraživanje koje bi bilo sprovedeno na mnogo većem nivou od moje dnevne sobe? Ovo je samo jedno od mnogih pitanja kojima bi proizvođači uređaja, zajednica za sigurnost i korisnici takvih uređaja trebalo da počnu da se bave u najskorijoj budućnosti. Drugo važno pitanje je životni ciklus uređaja. Kako sam saznao iz razgovora sa proizvođačima, neki od njih neće popraviti sigurnost ranjivog uređaja kada se njegov životni ciklus završi. On obično traje godinu-dvije, iako je stvaran životni vijek uređaja, ne primjer NAS uređaja, mnogo duži", rekao je Džakobi.
Daljinsko izvršavanje koda i slabe lozinke
Najozbiljnije ranjive tačke pronađene su u NAS uređajima. Nekolicina njih omogućila bi napadaču da daljinski izvrši sistemske komande sa najvećim administrativnim dozvolama. Testirani uređaji takođe su imali slabu podrazumijevanu lozinku, niz konfiguracionih fajlova sa pogrešnim dozvolama, a takođe i lozinke koje su sadržale samo običan tekst.
Konkretno, podrazumijevana administratorska lozinka jednog od uređaja sastojala se od samo jedne cifre. Drugi uređaj je čak dijelio kompletan konfiguracioni fajl sa enkriptovanom lozinkom sa svima na mreži.
Koristeći odvojenu ranjivu tačku, istraživač je bio u mogućnosti da otpremi fajl u dio memorije za skladište koja nije dostupna običnom korisniku. Ako bi ovaj fajl bio zloćudan, ugroženi uređaj postao bi izvor infekcije za druge uređaje povezane sa tim NAS uređajem, na primjer sa kućnim kompjuterom, i čak bi služio kao DdoS bot u botnetu. Štaviše, pošto je ranjiva tačka omogućavala fajlu da bude otpremljen u poseban dio sistema datoteka uređaja, jedini način da se on obriše bio je upotrebom te iste ranjive tačke.
Očigledno, ovo nije trivijalan zadatak čak ni za tehničkog eksperta, a kamoli za prosječnog vlasnika kućne opreme za razonodu.
"Man-in-the-Middle" napad putem smart televizora
Dok je istraživao nivo sigurnosti svog smart televizora, istraživač kompanije Kaspersky otkrio je da nikakva enkripcija nije korišćena u komunikaciji između TV-a i servera proizvođača. To potencijalno otvara put za "Man-in-the-Middle" napade, koji bi mogli da završe transferom novca prevarantima dok korisnik pokušava da kupi sadržaj putem TV-a.
Kao dokaz koncepta, istraživač je bio u mogućnosti da zamijeni ikonicu grafičkog interfejsa smart televizora fotografijom. Vidžeti i sličice se uobičajeno preuzimaju sa servera proizvođača televizora a usljed nedostatka šifrovane konekcije informacije može da modifikuje treća strana. Istraživač je takođe otkrio da je smart TV u mogućnosti da izvrši Java kod koji, u kombinaciji sa mogućnošću presretanja saobraćaja između TV-a i interneta, može da ima za posljedicu zloćudne napade eksploatisanja.
Skrivene špijunske funkcije rutera
DSL ruter koji obezbjeđuje bežični internet pristup svim ostalim kućnim uređajima imao je nekoliko opasnih karakteristika nepoznatih vlasniku.
Kako tvrdi istraživač, neke od ovih skrivenih funkcija mogle bi da pruže internet provajderu daljinski pristup bilo kojem uređaju u privatnoj mreži. Što je još važnije, prema rezultatima istraživanja, sekcije veb interfejsa rutera "veb kamera", "stručna konfiguracija telefonije", "kontrola pristupa" "WAN-sensing" i "ažuriranje" su "nevidljivi" za korisnika uređaja i on ne može da ih podešava. Moguće im je pristupiti jedino preko eksploatacije prilično generičke ranjive tačke omogućavajući im da putuju između sekcija interfejsa (što su su suštini veb stranice, svaka sa svojom alfanumeričkom adresom) prisiljavanjem brojeva na kraju adrese.
Ove funkcije su prvobitno napravljene kako bi korisniku uređaja bilo zgodnije: daljinski pristup omogućava internet provajderu da brzo i lako rješava moguće tehničke probleme na uređaju, ali bi pogodnost mogla da postane rizik ukoliko bi kontrola pala u pogrešne ruke.
Kako da ostanete sigurni u svijetu povezanih uređaja:
- Otežajte hakerima: svi vaši uređaji trebalo bi da budu ažurirani s najnovijim ažuriranjima sigurnosti i firmvera. Ovo će eksploataciju poznatih ranjivih tačaka svesti na minimum.
- Uvjerite se da su podrazumijevano korisničko ime i lozinka promijenjeni. Ovo je prva stvar koju će napadač pokušati kada poželi da ugrozi vaš uređaj.
- Većina kućnih rutera i prekidača imaju opciju za podešavanje sopstvene mreže za svaki uređaj, uz pomoć nekoliko različitih DMZ segmenata (odvojeni mrežni segment za rizične sisteme) ili VLAN mehanizama (mehanizam za postizanje logičke separacije između različitih logičkih mreža na istoj fizičkoj mreži). Na primjer, ukoliko imate TV, možda bi bilo dobro da ograničite pristup tom TV-u i dozvolite mu da pristupi posebnom izvoru u okviru vaše mreže. Nema realne potrebe da vaš štampač bude povezan sa vašim televizorom.
Kompletan tekst istraživanja "Internet stvari: kako sam hakovao svoj dom" dostupan je na Securelist.com.
Pratite nas na našoj Facebook i Instagram stranici, kao i na X nalogu.