Hardware

Hakeri vrebaju: otkriveno niz ranjivih tačaka u popularnim umreženim kućnim uređajima

Popularni povezani kućni uređaji za zabavu predstavljaju pravu sajber-pretnju sigurnosti zbog ranjivih tačaka u svom softveru i nedostatku osnovnih sigurnosnih mera kao što su jake podrazumevane administratorske lozinke i enkripcija internet-konekcije.

Analitičar Sigurnosti kompanije Kaspersky Lab, Dejvid Džakobi (David Jacoby) sproveo je istraživački eksperiment u sopstvenoj dnevnoj sobi kako bi saznao koliko je siguran njegov dom u smislu sajber-sigurnosti. On je ispitao kućne uređaje za zabavu kao što su skladišta povezana sa mrežom (network-attached storages, NAS), smart televizori, ruter, blu-ray plejer itd., kako bi otkrio da li su ovi uređaji podložni sajber-napadima. I ispostavilo se da jesu.

Ispitani uređaji bili su: dva NAS modela od različitih proizvođača, jedan smart TV, satelitski prijemnik i povezani štampač. Dejvid je uspeo da pronađe čak 14 ranjivih tačaka u NAS uređajima, jednu u smart TV-u, i nekoliko potencijalno skrivenih funkcija daljinskog upravljanja u ruteru.

U skladu sa svojom odgovornom politikom o obelodanjivanju, Kaspersky Lab ne otkriva imena proizvođača čiji su proizvodi bili predmet istraživanja sve dok se ne objavi sigurnosna zakrpa koja će popraviti ove ranjive tačke. Svi proizvođači su obavešteni o postojanju ranjivih tačaka. Eksperti kompanije Kaspersky Lab usko sarađuju sa proizvođačima u cilju eliminisanja bilo kakve ranjive tačke koju budu otkrili.

 „Potrebno je da kako pojedinci, tako i kompanije, razumeju sigurnosne rizike koji okružuju povezane uređaje. Takođe, moramo imati na umu da naše informacije nisu bezbedne samo zbog toga što imamo jaku lozinku, i da postoji niz stvari koje nismo u mogućnosti da kontrolišemo. Bilo mi je potrebno manje od 20 minuta da pronađem i potvrdim izuzetno ozbiljne ranjive tačke u uređaju koji deluje bezbedno i čak aludira na sigurnost u svoje ime. Kako li bi se završilo slično istraživanje koje bi bilo sprovedeno na mnogo većem nivou od moje dnevne sobe? Ovo je samo jedno od mnogih pitanja kojima bi proizvođači uređaja, zajednica za sigurnost i korisnici takvih uređaja trebalo da počnu da se bave u najskorijoj budućnosti. Drugo važno pitanje je životni ciklus uređaja. Kako sam saznao iz razgovora sa proizvođačima, neki od njih neće popraviti sigurnost ranjivog uređaja kada se njegov životni ciklus završi. On obično traje godinu–dve, iako je stvaran životni vek uređaja, ne primer NAS uređaja, mnogo duži“, rekao je Dejvid Džakobi, autor istraživanja.

Daljinsko izvršavanje koda i slabe lozinke: Najozbiljnije ranjive tačke pronađene su u NAS uređajima. Nekolicina njih omogućila bi napadaču da daljinski izvrši sistemske komande sa najvećim administrativnim dozvolama. Testirani uređaji takođe su imali slabu podrazumevanu lozinku, niz konfiguracionih fajlova sa pogrešnim dozvolama a takođe i lozinke koje su sadržale samo običan tekst. Konkretno, podrazumevana administratorska lozinka jednog od uređaja sastojala se od samo jedne cifre. Drugi uređaj je čak delio kompletan konfiguracioni fajl sa enkriptovanom lozinkom sa svima na mreži.

Koristeći odvojenu ranjivu tačku, istraživač je bio u mogućnosti da otpremi fajl u deo memorije za skladište koja nije dostupna običnom korisniku. Ako bi ovaj fajl bio zloćudan, ugroženi uređaj postao bi izvor infekcije za druge uređaje povezane sa tim NAS uređajem, na primer sa kućnim kompjuterom, i čak bi služio kao DdoS bot u botnetu. Štaviše, pošto je ranjiva tačka omogućavala fajlu da bude otpremljen u poseban deo sistema datoteka uređaja, jedini način da se on obriše bio je upotrebom te iste ranjive tačke. Očigledno, ovo nije trivijalan zadatak čak ni za tehničkog eksperta, a kamoli za prosečnog vlasnika kućne opreme za razonodu.

 „Man-in-the-Middle“ napad putem smart televizora: Dok je istraživao nivo sigurnosti svog smart televizora, istraživač kompanije Kaspersky otkrio je da nikakva enkripcija nije korišćena u komunikaciji između TV-a i servera proizvođača. To potencijalno otvara put za „Man-in-the-Middle“ napade koji bi mogli da završe transferom novca prevarantima dok korisnik pokušava da kupi sadržaj putem TV-a. Kao dokaz koncepta, istraživač je bio u mogućnosti da zameni ikonicu grafičkog interfejsa smart televizora fotografijom. Vidžeti i sličice se uobičajeno preuzimaju sa servera proizvođača televizora a usled nedostatka šifrovane konekcije, informacije može da modifikuje treća strana. Istraživač je takođe otkrio da je smart TV u mogućnosti da izvrši Java kod koji, u kombinaciji sa mogućnošću presretanja saobraćaja između TV-a i interneta, može da ima za posledicu zloćudne napade eksploatisanja.

Skrivene špijunske funkcije rutera. DSL ruter koji obezbeđuje bežični internet pristup svim ostalim kućnim uređajima imao je nekoliko opasnih karakteristika nepoznatih vlasniku. Kako tvrdi istraživač, neke od ovih skrivenih funkcija mogle bi da pruže internet provajderu daljinski pristup bilo kojem uređaju u privatnoj mreži. Što je još važnije, prema rezultatima istraživanja, sekcije veb interfejsa rutera „veb kamera“, „stručna konfiguracija telefonije“, „kontrola pristupa“ „WAN-sensing“ i „ažuriranje“ su „nevidljivi“ za korisnika uređaja i on ne može da ih podešava. Moguće im je pristupiti jedino preko eksploatacije prilično generičke ranjive tačke omogućavajući im da putuju između sekcija interfejsa (što su su suštini veb stranice, svaka sa svojom alfanumeričkom adresom) prisiljavanjem brojeva na kraju adrese.

Ove funkcije su prvobitno napravljene kako bi korisniku uređaja bilo zgodnije: daljinski pristup omogućava internet provajderu da brzo i lako rešava moguće tehničke probleme na uređaju, ali bi pogodnost mogla da postane rizik ukoliko bi kontrola pala u pogrešne ruke.

Kako da ostanete sigurni u svetu povezanih uređaja

  • Otežajte hakerima: svi vaši uređaji trebalo bi da budu ažurirani sa najnovijim ažuriranjima sigurnosti i firmvera. Ovo će eksploataciju poznatih ranjivih tačaka svesti na minimum.
  • Uverite se da su podrazumevano korisničko ime i lozinka promenjeni – ovo je prva stvar koju će napadač pokušati kada pokuša da ugrozi vaš uređaj.
  • Većina kućnih rutera i  prekidača imaju opciju za podešavanje sopstvene mreže za svaki uređaj, uz pomoć nekoliko različitih DMZ segmenata (odvojeni mrežni segment za rizične sisteme) ili VLAN mehanizama (mehanizam za postizanje logičke separacije između različitih logičkih mreža na istoj fizičkoj mreži). Na primer, ukoliko imate TV, možda bi bilo dobro da ograničite pristup tom TV-u i dozvolite mu da pristupi posebnom izvoru u okviru vaše mreže. Nema realne potrebe da vaš štampač bude povezan sa vašim televizorom.

Leave a Reply