Bezpieczeństwo w świecie Internetu Rzeczy? – komentarz eksperta

3 grudnia, 2015

 

Komentuje Chester Wisniewski, Senior Security Advisor w Sophos

SEC Consult, europejska firma zajmująca się doradztwem w sprawach bezpieczeństwa IT, przez ostatnie lata skupiała się głównie na badaniu urządzeń podłączonych do internetu. Znakomitą chester wisniewskwiększość z nich, można traktować jako luksusowe produkty przynależące do Internetu Rzeczy (IoT), a więc np. mini komputery wbudowane w urządzenia gospodarstwa domowego. SEC Consult zbadało tysiące tego typu urządzeń od ponad 70 producentów, m.in. bramki internetowe, routery, modemy, kamery IP czy telefony VoIP. Szczególną uwagę badaczy przykuł fakt, że w przypadku tego typu urządzeń wysoka cena nie zawsze szła w parze z jakością. Niejednokrotnie spotkali się oni z produktem, którego ochrona była równie wątpliwa co jakość, a cena nazbyt wygórowana i nieadekwatna do standardu.

Podczas przeprowadzonych badań pod uwagę wzięto dwa podejścia:

  • Analizę obrazów firmware dla treści o charakterze kryptograficznym (obecnie wiele urządzeń opartych jest na systemie Linux, dlatego firmware i jego kod źródłowy powinny mieć charakter publiczny).
  • Przeprowadzenie skanowania Internetu dla zbadania urządzeń, które są do niego podłączone (to nie jest hacking, tylko poszukiwanie usług jawnie dostępnych od publicznej strony sieci).

Najczęściej poszukiwanymi przez SEC Consult elementami były klucze kryptograficzne dla protokołów SSH (Secure Shell)TLS (Transport Lawyer Security). SSH zwykle używane jest w celu zabezpieczenia logowania zdalnego oraz kopiowania plików, natomiast TLS do zabezpieczenia ruchu w sieci przy pomocy HTTPS. Oba protokoły używają tzw. kryptografii klucza publicznego, w której serwer podczas instalacji lub przy pierwszym uruchomieniu generuje specjalną parę kluczy:

  • Klucz publiczny, który wykorzystywany jest w celu zablokowania transakcji do i z serwera.
  • Klucz prywatny, który służy do odblokowania danych uprzednio zamkniętych kluczem publicznym.

Posiadając oba klucze tego typu, nie trzeba dzielić się kluczem prywatnym z kimkolwiek innym, aż do momentu rozpoczęcia komunikacji. Może to uchronić przed udostępnieniem danych potencjalnemu cyber-oszustowi. Istotą systemu opierającego się na tych dwóch kluczach jest utrzymanie klucza prywatnego prywatnym, stąd też jego nazwa. Podsumowując, dostęp do niego powinien mieć tylko użytkownik serwera. Tylko w ten sposób może zapewnić on bezpieczeństwo sobie i innym użytkownikom. Należy również pamiętać o tym, że nigdy nie powinno się udostępniać swoich danych innym osobom. Jeśli klucz prywatny kiedykolwiek wpadnie w niepowołane ręce, może posłużyć do stworzenia nieprawdziwej strony. Tym samym cyber-oszust może wprowadzić w błąd innych użytkowników, podając się za właściciela strony. Ponadto możliwe jest przechwycenie komunikacji pomiędzy właścicielem klucza a innymi użytkownikami oraz późniejsze rozszyfrowanie ruchu. Nieostrożne użytkowanie klucza może przysporzyć użytkownikowi wiele problemów, porównywalnych do tych, wywołanych podrobieniem osobistego podpisu. Cyber-oszust, używając sygnetu użytkownika, może w jego imieniu podpisać fałszywy dokument, a nawet otworzyć zamknięte bądź dawno wysłane pliki, a następnie wysłać je w uszczelniony sposób, tak, że odbiorca informacji nie rozpozna różnicy. Można by przypuszczać, że każdy dostawca urządzeń z wbudowanym kluczem prywatnym potraktuje sprawę na tyle poważnie, że jeden klucz wygenerowany losowo zostanie przypisany do jednego urządzenia, ale:

SEC Consult dotarło do niepokojących danych:

  • 3,2 miliony urządzeń korzystało z jednego ze 150 różnych prywatnych kluczy TLS
  • 0,9 miliona urządzeń korzystało z jednego z 80 różnych prywatnych kluczy SSH

Można zatem przyjąć, że każdy cyber-oszust posiada już 230 cyfrowych sygnetów, które gotowy jest użyć w dogodnym dla niego momencie. Ponadto, SEC Consult podkreśla, że znakomita większość ze wszystkich analizowanych urządzeń miała być dostępna przy użyciu protokołów SSH lub TLS. W przypadku większości sieci, dostęp do administracji powinien być zarezerwowany tylko dla użytkowników sieci wewnętrznej, może to spowodować zmniejszenie liczby urządzeń, z których cyber-oszust będzie próbować nawiązać połączenie.

Co zrobić podczas tworzenia firmware dla urządzeń wbudowanych?

  1. Nie należy udostępniać, ani ponownie używać klucza prywatnego. Do plików firmware wygenerowanych dla każdego urządzenia, powinno się dostosowywać klucze, które wolno użyć tylko jeden raz. Lepiej nie polegać na losowym doborze klucza podczas pierwszego uruchomienia systemu, najprawdopodobniej są one takie same na każdym routerze.
  2. Zdalna administracja nie powinna być ustawiona jako funkcja domyślna.
  3. Nie należy zezwalać użytkownikom na instalację nowych urządzeń, dopóki nie ustawią sobie wszystkich niezbędnych haseł. Najlepiej zrezygnować ze wszystkich haseł domyślnych – każdy cyber-oszust ma ich listę.

W przypadku korzystania z urządzeń wbudowanych:

  • Należy ustawić odpowiednie hasła zanim urządzenie zostanie podłączone do Internetu.
  • Zdalną administrację powinno się uruchamiać tylko w wyjątkowych sytuacjach. W celu zmniejszenia ryzyka stwarzanego przez potencjalnie skradzione hasła, warto wziąć pod uwagę uwierzytelnianie dwuskładnikowe dla użytkowników zewnętrznych.
  • Należy sprawdzać ustawienia dostępu zdalnego. Korzystanie z narzędzia służącego do diagnostyki sieci np. nmap, zapewni pełną kontrolę i bezpieczeństwo podczas korzystania z sieci internetowej. Systematyczne skanowanie własnej sieci może uchronić system przed potencjalnymi błędami bezpieczeństwa.
  • Warto regularnie powtarzać generowanie kluczy kryptograficznych, jest to doskonały sposób na pozbycie się niskiej jakości kluczy dziedziczonych domyślnie.

źródło: Sophos

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]