(Nie)inteligentny Internet Rzeczy: zaczynają się problemy z bezpieczeństwem… na początek żarówek

29 lipca, 2016

Tak zwany Internet Rzeczy (ang. Internet of Things) całkowicie zmienia współczesne egzystowanie człowieka. Podłączone do sieci urządzenia zorientowane na rynek klientów indywidualnych mają przynieść oszczędności w postaci lepszego wykorzystania energii elektrycznej oraz ułatwić pewne czynności, jak na przykład zdalne wyłączanie światła, włączanie / wyłączanie ogrzewania — wtedy, kiedy akurat potrzebuje tego lokator. A wszystko po to, aby maluczcy realizując zadania dla wielkich korporacji mogli całkowicie poświęcać się pracy i trwać w złudnym poczuciu wyższego komfortu życia. 

Chociaż tego typu “ułatwiacze życia” na pewno nie przyjmą się zbyt szybko na polskiej ziemi, to już teraz próbują nam wmówić, że inteligentne przedmioty podłączone do sieci Internet są wszystkim potrzebne. W całej tym biznesie zapomina się o kwestii najważniejszej. Czy dla osobistych wygód warto rezygnować z bezpieczeństwa? Zresztą, podobnie jest w branży motoryzacyjnej, która zapomina o bezpieczeństwie swoich klientów: inteligentne systemy wspomagające kontrolę nad pojazdem wcale nie są bardziej bezpieczne niż systemy nadzorujące oświetlenie domowe. 

Wszystko daje to hakerom i przestępcom ogromne pole do popisu. (Nie)inteligentne przedmioty internetu niosą ze sobą pewne zagrożenia, o których już dawno wspominali eksperci i praktycy bezpieczeństwa. A teraz dobitnie pokazał to Deral Heiland, który jako główny konsultant bezpieczeństwa w firmie Rapid7 wspomina o problemie z bezpieczeństwem systemu LIGHTY niemieckiej firmy Osram i wylicza błędy, które mogą zostać wykorzystane do ataku na lokalną sieć. 

Description Status Platform CVE
Cleartext WPA2 PSK Fixed Home CVE-2016-5051
Lack of SSL Pinning Unfixed Home CVE-2016-5052
Pre-Authentication Command Execution Fixed Home CVE-2016-5053
ZigBee Network Command Replay Unfixed Home CVE-2016-5054
Web Management Console Persistent XSS Fixed Pro CVE-2016-5055
Weak Default WPA2 PSKs Fixed Pro CVE-2016-5056
Lack of SSL Pinning Unfixed Pro CVE-2016-5057
ZigBee Network Command Replay Unfixed Pro CVE-2016-5058
Cached Screenshot Information Leak Fixed Pro CVE-2016-5059

Luka w oprogramowaniu sterującym na urządzeniach LIGHTIFY Home i Pro może zostać wykorzystana przez atakującego do wykonania kodu na kilka sposobów. Badacz z firmy Rapid7 dodaje, że prowadzić to może do ataków MiTM oraz ataków opartych na przeglądarce (wstrzykiwanie kodu), przez którą obsługiwany jest interfejs zarządzający. W końcowym efekcie eksfiltracja poufnych informacji o konfiguracji sieciowej, kradzież zcache’owanych danych i wykonanie poleceń bez uwierzytelnienia nie będzie stanowiło większego problemu.

Niestety, ale to nie wszystko. Podatność zlokalizowano także w mobilnej aplikacji LIGHTIFY Home, która otwartym tekstem przechowuje informacje o dzielonym kluczu WPA2-PSK pomiędzy żarówkami z mikro-kontrolerem bezprzewodowej komunikacji a urządzeniem LIGHTIFY Home oraz Pro rozgłaszającym sieć Wi-Fi. W kontekście uprawnień uwierzytelnionego użytkownika możliwa jest jeszcze jedna groźna operacja — zmiana SSID i wstrzyknięcie kodu, a także pobranie pliku wraz z jego wykonaniem w konfiguracji bezprzewodowej w zakładce interfejsu graficznego Wireless Client Mode.

WirelessCM
W wyniki ataku XSS możliwe jest wstrzyknięcie złośliwego skryptu i wykonanie go w kontekście uwierzytelnionego użytkownika.

To nie pierwszy raz, kiedy tzw. koncepcja inteligentnych domów została pogrzebana po pierwszym audycie bezpieczeństwa. Opublikowany proof of concept przez Derala Heilanda tylko dolewa oliwy do ognia. 

Niech nie będzie zatem dla nikogo zaskoczeniem, że producenci podobnych rozwiązań zamiast skupiać się na wymyślaniu kolejnych funkcjonalności mogliby poświęcać więcej uwagi bezpieczeństwu swoich systemów i ochronie poufnych danych, które im powierzamy.

Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
0 komentarzy
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]