Έχουν περάσει χρόνια από τότε που ερευνήθηκε για πρώτη φορά η ασφάλεια του Internet of Things (IoT), και όσο το IoT τοπίο συνεχίζει να επεκτείνεται και να εξελίσσεται, μία τέτοια έρευνα παραμένει σημαντική.
Νέα προϊόντα και λύσεις, νέες διαστάσεις απειλών αναδύονται, διακινδυνεύοντας την ασφάλεια των χρηστών. Ένας εργαζόμενος στην Kaspersky προκάλεσε τους ερευνητές της να εξετάσουν το «έξυπνο» οικιακό του σύστημα. Παραχώρησε στους ερευνητές πρόσβαση στη συσκευή ελέγχου του «έξυπνου» σπιτιού του. Επιλέχθηκε η συσκευή ελέγχου επειδή συνδέει και επιβλέπει τις συνολικές λειτουργίες του «έξυπνου» σπιτιού και μια επιτυχημένη παραβίαση θα επέτρεπε σε έναν ψηφιακό επιτιθέμενο να εισβάλει σε ένα ολόκληρο οικιακό οικοσύστημα αποσκοπώντας στο οτιδήποτε, από κατασκοπεία και κλοπή μέχρι φυσική δολιοφθορά.
Διαπίστωσαν ότι η υποδομή του cloud αποδείχθηκε ως η πιο αποτελεσματική για επίθεση: μία εξέταση των μεθόδων που χρησιμοποιήθηκαν για την επεξεργασία αιτημάτων από τη συσκευή, αποκάλυψε ευπάθεια στη διαδικασία εξουσιοδότησης και στην πιθανότητα εκτέλεσης απομακρυσμένου κώδικα.
Πιο συγκεκριμένα, οι ερευνητές της Kaspersky, εξετάζοντας τη συσκευή ελέγχου για ένα ενεργό «έξυπνο» οικιακό οικοσύστημα, εντόπισαν αρκετές σημαντικές ευπάθειες. Σε αυτές περιλαμβάνονται bugs στην υποδομή του cloud και πιθανή απομακρυσμένη εκτέλεση κώδικα που θα επέτρεπε σε ένα τρίτο πρόσωπο να αποκτήσει πρόσβαση «super user» στη συσκευή ελέγχου και να χειριστεί την υποδομή του «έξυπνου» σπιτιού κατά τον τρόπο που επιθυμεί. H Kaspersky κοινοποίησε τα ευρήματα στον προμηθευτή, τη Fibaro, η οποία τα διευθέτησε άμεσα και αναβάθμισε τα πρωτόκολλα ασφάλειας.
Για να ολοκληρώσουν το πείραμα, οι ερευνητές της Kaspersky εφάρμοσαν μία δοκιμαστική επίθεση στη συσκευή ελέγχου. Γι’ αυτό, προετοίμασαν ένα συγκεκριμένο backup με ένα ξεχωριστά αναπτυγμένο σενάριο, προστατευμένο με έναν κωδικό. Έπειτα έστειλαν ένα email και ένα SMS στον ιδιοκτήτη της συσκευής μέσω του cloud, παρακινώντας τον να αναβαθμίσει το firmware της συσκευής ελέγχου. Όπως ζητήθηκε, το «θύμα» συμφώνησε και «κατέβασε» το «μολυσμένο» backup.
Αυτό έδωσε τη δυνατότητα στους ερευνητές να αποκτήσουν δικαιώματα super user στη συσκευή ελέγχου του «έξυπνου» σπιτιού, επιτρέποντας τους να χειριστούν προς όφελός τους το συνδεδεμένο οικοσύστημα. Για να κάνουν εμφανή την επιτυχημένη εισβολή στο σύστημα, οι ερευνητές άλλαξαν τον ήχο στο ξυπνητήρι – την επόμενη ημέρα, ο εργαζόμενος της Kaspersky ξύπνησε από μία δυνατή drum & bass μουσική.
«Σε αντίθεση με εμάς, ένας πραγματικός επιτιθέμενος με πρόσβαση στο home center θα ήταν απίθανο να περιοριστεί σε μία απλή φάρσα με ένα ξυπνητήρι. Μία από τις βασικές λειτουργίες της συσκευής που μελετήσαμε είναι η ενσωμάτωση όλων των «έξυπνων πραγμάτων», έτσι ώστε ο ιδιοκτήτης του σπιτιού να μπορεί να τα διαχειρίζεται από ένα μοναδικό home center. Μία σημαντική λεπτομέρεια είναι πως η αξιολόγηση μας επικεντρώθηκε σε ένα ενεργά χρησιμοποιημένο σύστημα – προηγουμένως, το μεγαλύτερο κομμάτι της έρευνας πραγματοποιήθηκε σε συνθήκες εργαστηρίου.
Ακόμη πιο σημαντικό, οι συσκευές που μελετήσαμε έχουν παραχθεί μαζικά και αναπτύσσονται σε λειτουργικά «έξυπνα» οικιακά δίκτυα. Ευχαριστούμε τη Fibaro για την υπεύθυνη της στάση απέναντι στα ζητήματα που προέκυψαν, όπως ξέρουμε εστιάζουν στην ψηφιακή ασφάλεια, και για το γεγονός ότι κατέστησαν το σπίτι του συναδέλφου μας ακόμη πιο ασφαλές από ό,τι ήταν πριν την έρευνα», δήλωσε ο Pavel Cheremushkin, ερευνητής ασφάλειας στο Kaspersky ICS CERT.
«Η IoT υποδομή απαιτεί ένα πολύπλοκο σύστημα το οποίο θα δουλεύει άπταιστα σε πολλά επίπεδα. Περιλαμβάνει αρκετή εφαρμοστική και αρχιτεκτονική δουλειά. Εκτιμούμε την έρευνα και την προσπάθεια της Kaspersky. Μας βοήθησε να δουλέψουμε στην ασφάλεια των προϊόντων και των υπηρεσιών μας. Μαζί αντιμετωπίσαμε πιθανές αδυναμίες.
Συνιστούμε θερμά στους χρήστες της FIBARO να εγκαθιστούν τις αναβαθμίσεις και να ελέγχουν πάντα αν τα emails είναι σε συμφωνία με τις ανακοινώσεις στην ιστοσελίδα της FIBARO. Οι αναβαθμίσεις αυξάνουν τη λειτουργικότητα του συστήματος, ενώ επίσης καθιστούν δυσκολότερη την προσπάθεια των hackers να αποσπάσουν προσωπικά δεδομένα», δήλωσε ο CPO της Fibaro, Krzysztof Banasiak.
[signoff]
