Tak zwany Internet Rzeczy (ang. Internet of Things) całkowicie zmienia współczesne egzystowanie człowieka. Podłączone do sieci urządzenia zorientowane na rynek klientów indywidualnych mają przynieść oszczędności w postaci lepszego wykorzystania energii elektrycznej oraz ułatwić pewne czynności, jak na przykład zdalne wyłączanie światła, włączanie / wyłączanie ogrzewania — wtedy, kiedy akurat potrzebuje tego lokator. A wszystko po to, aby maluczcy realizując zadania dla wielkich korporacji mogli całkowicie poświęcać się pracy i trwać w złudnym poczuciu wyższego komfortu życia.
Chociaż tego typu “ułatwiacze życia” na pewno nie przyjmą się zbyt szybko na polskiej ziemi, to już teraz próbują nam wmówić, że inteligentne przedmioty podłączone do sieci Internet są wszystkim potrzebne. W całej tym biznesie zapomina się o kwestii najważniejszej. Czy dla osobistych wygód warto rezygnować z bezpieczeństwa? Zresztą, podobnie jest w branży motoryzacyjnej, która zapomina o bezpieczeństwie swoich klientów: inteligentne systemy wspomagające kontrolę nad pojazdem wcale nie są bardziej bezpieczne niż systemy nadzorujące oświetlenie domowe.
Wszystko daje to hakerom i przestępcom ogromne pole do popisu. (Nie)inteligentne przedmioty internetu niosą ze sobą pewne zagrożenia, o których już dawno wspominali eksperci i praktycy bezpieczeństwa. A teraz dobitnie pokazał to Deral Heiland, który jako główny konsultant bezpieczeństwa w firmie Rapid7 wspomina o problemie z bezpieczeństwem systemu LIGHTY niemieckiej firmy Osram i wylicza błędy, które mogą zostać wykorzystane do ataku na lokalną sieć.
| Description | Status | Platform | CVE |
|---|---|---|---|
| Cleartext WPA2 PSK | Fixed | Home | CVE-2016-5051 |
| Lack of SSL Pinning | Unfixed | Home | CVE-2016-5052 |
| Pre-Authentication Command Execution | Fixed | Home | CVE-2016-5053 |
| ZigBee Network Command Replay | Unfixed | Home | CVE-2016-5054 |
| Web Management Console Persistent XSS | Fixed | Pro | CVE-2016-5055 |
| Weak Default WPA2 PSKs | Fixed | Pro | CVE-2016-5056 |
| Lack of SSL Pinning | Unfixed | Pro | CVE-2016-5057 |
| ZigBee Network Command Replay | Unfixed | Pro | CVE-2016-5058 |
| Cached Screenshot Information Leak | Fixed | Pro | CVE-2016-5059 |
Luka w oprogramowaniu sterującym na urządzeniach LIGHTIFY Home i Pro może zostać wykorzystana przez atakującego do wykonania kodu na kilka sposobów. Badacz z firmy Rapid7 dodaje, że prowadzić to może do ataków MiTM oraz ataków opartych na przeglądarce (wstrzykiwanie kodu), przez którą obsługiwany jest interfejs zarządzający. W końcowym efekcie eksfiltracja poufnych informacji o konfiguracji sieciowej, kradzież zcache’owanych danych i wykonanie poleceń bez uwierzytelnienia nie będzie stanowiło większego problemu.
Niestety, ale to nie wszystko. Podatność zlokalizowano także w mobilnej aplikacji LIGHTIFY Home, która otwartym tekstem przechowuje informacje o dzielonym kluczu WPA2-PSK pomiędzy żarówkami z mikro-kontrolerem bezprzewodowej komunikacji a urządzeniem LIGHTIFY Home oraz Pro rozgłaszającym sieć Wi-Fi. W kontekście uprawnień uwierzytelnionego użytkownika możliwa jest jeszcze jedna groźna operacja — zmiana SSID i wstrzyknięcie kodu, a także pobranie pliku wraz z jego wykonaniem w konfiguracji bezprzewodowej w zakładce interfejsu graficznego Wireless Client Mode.
To nie pierwszy raz, kiedy tzw. koncepcja inteligentnych domów została pogrzebana po pierwszym audycie bezpieczeństwa. Opublikowany proof of concept przez Derala Heilanda tylko dolewa oliwy do ognia.
Niech nie będzie zatem dla nikogo zaskoczeniem, że producenci podobnych rozwiązań zamiast skupiać się na wymyślaniu kolejnych funkcjonalności mogliby poświęcać więcej uwagi bezpieczeństwu swoich systemów i ochronie poufnych danych, które im powierzamy.
