Jak narůstá počet tzv. chytrých zařízení, přibývá i útoků na ně. Proto se jim někdy místo Internet of Things (internet věcí), přezdívá Internet of Targets (Internet cílů) a na bezpečnost těchto zařízení se také více zaměřují tzv. penetrační testeři. Testeři společnosti ESET, kterých je asi deset a většina z nich sídlí v Bratoslavě, odhalili velké množství vážných bezpečnostních zranitelností ve třech různých ovládacích centrech pro chytré domácnosti. Svá zjištění nahlásili výrobcům, kteří již vydali příslušné opravy.
Chytrou domácnost, tedy síť zařízení propojených přes Wi-Fi, uživatel zpravidla kontroluje prostřednictvím nějakého hubu či centrální řídící jednotky. Ty se tak mohou stát zajímavým cílem útoku. Proto se analytici zaměřili na jejich testování. Jmenovitě odhalili zranitelnosti u jednotek Fibaro Home Center Lite, HomeMatic Central Control Unit (CCU2) a eLAN-RF-003.
Některé nedostatky byly natolik vážné, že je útočník mohl zneužít k provedení útoku man-in-the-middle, odposlechu oběti, vytvoření backdooru nebo k získání oprávnění administrátora zařízení. V nejhorším možném případě by útočník dokázal získat kontrolu nad centrální jednotkou a k ní připojeným zařízením.
Analytici z ESETu všechna zjištění ohlásili výrobcům. Většina odhalených zranitelností již byla opravena, některé ale zůstávají bez příslušné opravy přinejmenším v případě starších generací testovaných zařízení. I proto experti doporučují uživatelům dotčených zařízení stáhnout si nejnovější aktualizace, aby snížili případné riziko.
„Dokazuje to, že zranitelnosti IoT zařízení, jsou stále převládající problém. Výsledky výzkumu dokazují, že chybné nastavení, chybějící šifrování nebo autentizace nejsou problém jen levných či nekvalitních zařízení, ale objevují se i u velmi kvalitního hardwaru,“ říká Ondrej Kubovič, specialista na digitální bezpečnost, který na výzkumu spolupracoval.
Chyby umožnily řadu útoků
Analytický tým zkoumal různé systémy pro správu připojených zařízení v chytré, neboli IoT, domácnosti. Jedním z nich byl Fibaro Home Center Lite. Zranitelnosti této centrální jednotky umožnily útočníkovi vytvořit SSH backdoor a získat tak úplnou kontrolu nad zařízením.
Další zařízení, Homematic CCU2 od značky eQ-3, vykazovalo během testování neméně vážnou bezpečnostní chybu. Útočník například mohl provést tzv. remote code execution (RCE) útok. Jedná se spuštění kódu, včetně malware, na dálku. Tato chyba umožňuje útočníkovi získat plný přístup k jednotce a potenciálně i ke všem k ní připojeným zařízením. Chybu řeší bezpečnostní aktualizace od výrobce.
Třetí zranitelnou centrální jednotkou byla RF krabička eLAN-RF-003. Tento systém používal neadekvátní autentizaci a bylo tak možné provádět příkazy bez přihlášení. Útočník mohl přimět zařízení k prozrazení citlivých dat, jako je heslo či detaily konfigurace.
Zranitelnosti populárních chytrých systémů
Během posledního roku odhalil tým analytiků řadu dalších podobných zranitelností v těch nejpopulárnějších zařízeních. „Mezi nejvážnější patřila zranitelnost systému Amazon Echo prostřednictvím tzv. KRACKu. Bylo možné tak dešifrovat komunikaci mezi uživatelem a jeho asistentkou Alexou. Útočník tak mohl získat citlivé informace,“ popisuje jeden z nedávných objevů Kubovič. Mezi další významné úspěchy týmu ESET patří také odhalení zranitelnosti kamer D-Link. Kvůli nešifrované komunikaci mezi kamerou a webových rozhraním mohl útočník provést útok man-in-the-middle a sledovat tak záznam kamery bez vědomí jejího majitele.
„Všechny naše testy dokazují, že chytré technologie nejsou z pohledu IT bezpečnosti bezchybné. Jejich majitelé by to měli mít na zřeteli a o zabezpečení svých systémů se zajímat. Bohužel na výrobce existuje velký tlak, aby inovovali co nejrychleji. Často tak na kvalitní zabezpečení a otestování není dostatek času. Stojíme tak na začátku velké výzvy,“ uzavírá Kubovič.
Měla by mít pračka antivir?
Chytré zařízení, které je připojení do internetu, je tedy podle expertů zranitelné stejně snadno jako smartphone nebo počítač, ne-li víc. Pro chytré domácnosti totiž zatím neexistují antivirové programy. Řada lidí si je ale slabin vědoma. Nejčastěji se domnívají, že je lze zneužít ke špehování domácnosti, prodeji dat nebo odesílání spamu. Často se také bezpečností experti setkávají s tím, že tato zařízení těží pro útočníky kryptoměny, nebo mohou být zneužita k dalším útokům.
Základem péče o bezpečnost jsou pravidelné aktualizace operačního systému zařízení. Experti doporučují nastavit aktualizace automaticky, pokud to je možné. Toto pravidlo dodržuje podle průzkumu čtvrtina majitelů zařízení, další třetina pak aktualizuje pravidelně všechna svá zařízení. Desetina lidí, ale neví jak své zařízení aktualizovat.
„Mít chytrou domácnost plnou IoT zařízení, bez firewallu a nezabezpečenou, to je jako nezavírat okna, když odjedete na dovolenou. Prostě příležitost dělá zloděje. V této věci bych apeloval na výrobce, aby aktualizace a bezpečnostní prvky udělali jednodušší, případně je přesněji popsali v manuálech. Je důležité, aby lidé tuhle možnost měli a rozuměli jí,“ říká Matějíček.
Doporučení, jak využívat chytrá zařízení bezpečně:
- Vyberte si výrobce, který podporuje zařízení po co nejdelší dobu. Přednost by měly mít renomované značky, protože ty si pravděpodobně nedovolí s daty nakládat lehkomyslně a případné zranitelnosti budou bez prodlení opravovat.
- Využívejte v domácnosti dvě různé sítě. Jednu pro vaše počítače a telefony a druhou pro IoT zařízení.
- Zařízení aktualizujte pravidelně.
- Nastavte si k zařízení vlastní heslo. Heslo by mělo být silné a unikátní.
- Používejte dvoufaktorové ověření, pokud je to možné.
- Jestliže je to možné, zapněte šifrování mezi propojenými zařízeními.
- Zařízení, která nepoužíváte, odpojte.
- Kontrolujte, jaká zařízení jsou k síti připojená. S tímto vám bezpečnostní programy s funkcí monitoringu domácí sítě.
video
