Pametne kuće

Tehnologije pametnog doma su dizajnirane da olakšaju život i olakšaju život. Međutim, nove pogodnosti takođe znače nove probleme. U opasnosti automatizaciju sve i svašta su česta tema razgovora i blogging ovde. Za početak, povezivanje kućnih aparata na internet čini vas zavisnim od kvaliteta veze i rada servera . U isto vreme, sajber kriminalci mogu da koriste ta mesta za ulazak da bi preuzeli kontrolu nad ugroženom opremom i da je koriste u svoju korist.
Kao što su nedavne studije pokazale, brojna sredstva još uvijek postoje kako bi preuzela kontrolu nad pametnom kućom. Jedna takva problematična tačka, na primer, može biti ranjivost na cloud serveru preko koga vlasnik kontroliše kuću na daljinu, ili čak nešto naizgled bezopasno kao što je pametni prekidač svetla.

Fibaro: Cloud prijetnja

Kao što je pokazao Kaspersky , pametna kuća Fibaro je dozvolila da bilo ko može da učita i preuzme rezervne podatke pametnog čvorišta na i sa cloud servera. Pametno čvorište je najvažniji uređaj u pametnom domu jer kontrolira sve ostale: termostate, aparate za kavu, sigurnosne sisteme i tako dalje.

Podaci o rezervnoj kopiji huba sadrže mnogo zanimljivih detalja o domu i njegovom vlasniku, uključujući lokaciju kuće i pametnog telefona vlasnika, adresu e-pošte na koju je host nalog registrovan u sistemu Fibaro, i listu povezanih uređaja i lozinke za njih (sve u običnom tekstu bez šifriranja).

Tamo je pohranjena i lozinka za admin panel koji se koristi za daljinsko upravljanje kućom. Za razliku od drugih lozinki koje su pohranjene u rezervnoj kopiji, on je bar bio zaštićen, ili preciznije, heširan . Međutim, ako bi napadač mogao preuzeti sve rezervne kopije pohranjene u Fibaro oblaku, bilo bi moguće pogoditi najjednostavnije i najčešće pojavljivane lozinke – kao što je “password1” – heš za njih će biti isti.
Nakon što je ušao u admin panel, haker će verovatno iskoristiti jednu od ranjivosti za izvršavanje koda na daljinu i dobiti prava superkorisnika u sistemu. Superkorisnici mogu da rade šta god žele u kući. Ironično, stvarni vlasnik kuće nema prava superkorisnika – proizvođač je odlučio da će biti sigurnije na taj način (i to je u mnogim aspektima istina).

Fibaro: Zlonamjerno ažuriranje

Još jedan scenarij napada koji su otkrili istraživači Kaspersky-a nisu zahtijevali nikakvo pucanje lozinke. Kao što smo već napomenuli, rezervne kopije nisu se mogle preuzeti samo sa Fibaro servera bez ikakve autorizacije, već i učitati. Štaviše, oblak je omogućio slanje tekstova ili e-mailova vlasniku kuće.

Drugim rečima, sve što su napadači morali da urade je da stvore zlonamernu rezervnu kopiju, da je učitaju na server, i ubede žrtvu da instalira „update“. To se može uraditi imitacijom poruke od Fibaroa (phishing). Čak i ako je haker dobio neke detalje pogrešno, postojala je dobra šansa da će žrtva koja ne sumnja da će i dalje preuzeti zlonamjernu rezervnu kopiju (dajući hakeru, kao u prvom slučaju, prava superkorisnika). Uostalom, poruka je stigla sa adrese ******@fibaro.com koja izgleda sasvim dobro.

Prijavili smo ranjivosti Fibaru, koji ih je odmah popravio, tako da ti scenariji napada više ne funkcionišu. Nadajmo se da drugi proizvođači pametnih uređaja izbegavaju da stupe na ovaj virtuelni rake i uzmu u obzir ove greške u razvoju svojih sistema.
Gnijezdo: pametni prekidač kamere

Druga studija američkih istraživača, na koledžu William & Mary, pogledala je sigurnost dvije platforme pametnih kuća: Nest (iz Nest Labsa, u vlasništvu Googlea) i Hue (u produkciji Philipsa). Obe platforme su bile ranjive, svaka na svoj način.

Programeri Nest Labsa posebnu su pažnju posvetili zaštiti sigurnosnih sistema: aplikacije i uređaji trećih strana ne mogu mijenjati postavke sigurnosnih kamera i drugih komponenti odgovornih za kućnu sigurnost, niti ih uključiti ili isključiti. Ili radije, oni to ne mogu učiniti direktno .

Međutim, sistem koristi neke atribute koji su zajednički za sigurnosne sisteme i uređaje koji su daleko manje zaštićeni. Vrijednosti takvih atributa pohranjuju se u jednom prostoru za pohranu koji je dostupan svim uređajima kojima su potrebni za rad. Štaviše, neki manji uređaji, kao što su prekidači za svetlo i termostati, u mnogim slučajevima nisu u stanju samo da pročitaju vrednosti koje zahtevaju, već i da ih promene.

S jedne strane, to pomaže automatizirati i pojednostaviti rutinske operacije. Na primjer, nema potrebe davati naredbe svakom uređaju posebno kada odete na posao ujutro. Aplikaciju koju kontrolira prekidač može koristiti, recimo, geolokacije kako bi se utvrdilo da su napustili kuće zonu, a zatim prenose ovu informaciju skladištenje i dodijeliti dalje vrijednost atribut koji određuje da li je vlasnik prisutan ili odsutan.

Ovu vrijednost ne čita samo sam prekidač (koji zatim isključuje svjetlo, kako je planirano), već i drugi uređaji. Svaki od njih izvodi programiranu radnju: klima uređaj se usporava, stereo sistem se isključuje i kamera za snimanje počinje snimati. Međutim, ako sistem može dovesti do toga da se vlasnik vratio, kamere se mogu isključiti, a kućna sigurnost narušiti.

Postoji nekoliko uređaja kompatibilnih s Nestom koji imaju dozvolu za upravljanje kućnim / udaljenimnačinima rada. Istraživači su odlučili testirati sigurnost Kasa switch-a koji je napravio TP-Link. Pored gore navedene mogućnosti čitanja i prebacivanja postavki za kućni / udaljeni , na njihov izbor uticala je popularnost aplikacije Kasa Smart za daljinsko upravljanje uređajem (više od milion preuzimanja na Google Play-u). Prilikom pažljivijeg pregleda, pokazalo se da program omogućava napadaču da otme vezu sa serverom i da mu pošalje komande.

Problem je otkriven u postupku autorizacije, točnije u pristupu programera aplikacija njegovoj sigurnosti. Da bi se spriječilo da detalji o računu vlasnika padnu u pogrešne ruke, aplikacija i poslužitelj prvo uspostavljaju šifriranu vezu. Da bi to uradila, aplikacija šalje serveru zahtev koji pokazuje SSL certifikat kojim se potvrđuje da se server može pouzdati.

Aplikacija provjerava autentičnost certifikata i, ako je originalna, tajno prosljeđuje poslužitelju token (podaci koji se koriste za identifikaciju vlasnika). Ali greška se uvukla u ovu provjeru, i pokazalo se da Kasa aplikacija vjeruje svakom certifikatu.

Istraživači su opisali mogući scenarij haka:

  1. Sajber-kriminal prati vlasnika ciljne kuće i čeka da se on poveže na javni Wi-Fi, recimo, u kafiću.
  2. Aplikacija Kasa pokušava da se poveže sa serverom.
  3. Nakon ulaska u istu mrežu, napadač presreće vezu i pokaže vlastitoj SSL certifikat za aplikaciju.
  4. Aplikacija, pogrešno shvatajući sajber kriminal za server, šalje token potreban za provjeru autentičnosti.
  5. Sajber-kriminalac pokazuje ovaj token pravom serveru, koji misli da se bavi aplikacijom.
  6. Haker obaveštava prekidača, direktno iz kafića, da se vlasnik vratio.
  7. Atribut se menja od kuće do kuće .
  8. Time se postiže cilj – kamera čita vrijednost i zaustavlja snimanje, nakon čega cyber-kriminalac ili saučesnik ne može ući u kuću.

Najviše zabrinjavaju svi, prema istraživačima, da takav napad nije zahtijevao posebne vještine. Dobra vijest je, međutim, da su Kasa programeri, poput kreatora Fibaro sistema, ispravno ispravili grešku nakon što su saznali od istraživačkog tima.

Gnijezdo: Provjeravam mnoge, ne nekolicinu

U teoriji, Nest sistem bi trebao biti zaštićen od takvih napada ugrađenog skeniranja za uređaje i aplikacije drugih proizvođača. Web stranica za programere pruža opsežan popis zahtjeva za proizvode koji su u interakciji s platformom. Ovi zahtjevi navode, između ostalog, da aplikacija ili uređaj moraju imati ispravno funkcioniran i siguran sistem autorizacije koji sprečava bilo koga da se pretvara da ste vi.

Ali u praksi, verifikacija aplikacija i uređaja trećih strana se može zaobići. Nest sistem proverava samo one sa više od 50 korisnika, što znači da se jedinstveni program kreiran od strane hakera za napad na određenu pametnu kuću mogao povezati s njim, zaobilazeći sigurnosne kontrole. Sve što cyberthieves moraju da urade je da ubede žrtvu da preuzme određenu aplikaciju i dodeli joj neophodna prava.

Osim toga, čak i popularne aplikacije koje ne zadovoljavaju Nestove zahtjeve imaju šansu za zaobilaženje skeniranja. Ovo je slučaj sa gore navedenim Kasa Smart, koji je omogućio napadačima da se povežu sa serverom u njegovo ime.

Pored toga, ispostavilo se da mnoge aplikacije za Nest uređaje daju netačne informacije o pravima pristupa potrebnim za njihovo funkcionisanje. Na primer, opis aplikacije za kontrolu termostata može da kaže da je pristup atributu home / away potreban isključivo u svrhu kontrole termostata, kada je taj atribut uobičajen za ceo sistem i drugi uređaji će takođe reagovati ako se promeni. Drugim riječima, opis je pogrešan.

Hue: Aplikacije treće strane su dobrodošle

Problem prava koja se dodeljuju aplikacijama trećih strana takođe je relevantan za Philips Hue pametni sistem osvetljenja. Razvijen je tako da svaki program traži dozvolu od vlasnika za povezivanje sa pametnom kućom.

Ova dozvola se može odobriti pritiskom na fizičko dugme na kontrolnoj jedinici preko koje Hue uređaji međusobno djeluju. Da bi to radilo, aplikacija i kontrolna jedinica moraju biti locirane u istoj lokalnoj mreži, što znači da se susjedi i prolaznici ne mogu povezati s vašom pametnom kućom pogađanjem pravog trenutka i slanjem zahtjeva. Generalno govoreći, to je odlična ideja iz perspektive sigurnosti. Međutim, implementacija je bila spuštena.

Kako su istraživači otkrili, svetlo dugme može biti „pritisnuto“ ne samo od strane korisnika, već i bilo kojim programom koji je već povezan sa Hue. To je zato što “mozak” sistema određuje da li je dugme aktivirano u skladu sa vrednošću jedne od postavki kontrolne jedinice. Ova vrijednost se može mijenjati pomoću aplikacija. To znači da jedan nepristojan program sa pristupom platformi može slobodno odobriti pristup drugima. I ne samo to, koristeći isto podešavanje, on takođe može uskratiti pristup legitimnim uređajima koje je vlasnik povezao.

Može se činiti da se sa Hue platformom koja se koristi samo za kontrolu rasvjete, ova greška nije toliko opasna kao ranjivost na platformi Nest. Međutim, Hue uređaji se mogu povezati i sa Nestom, koji, kao što znate, ne samo da ima pristup bravama na vratima i kamerama, već u nekim slučajevima dozvoljava da ih aplikacije drugih proizvođača isključe.

Kako zaštititi svoju pametnu kuću

Ispostavilo se da se sigurnosne rupe nalaze u gotovo svakom uređaju za kućnu automatizaciju. Treba li da se uplašiš? Treperavo svetlo ili grejanje van kontrole je nezgodno, ali nije previše opasno i nije od posebnog interesa za internet kriminalce. Međutim, hakirana pametna brava ili sigurnosna kamera bi bila neugodnija. Ipak, imajte na umu da je verovatno da će ih prevazići velika većina lopova koja bi koristila polugu, a ne eksploatiše.

U svakom slučaju, odluka o tome da li će vaš dom biti futuriz pripada vama. Ako odlučite da vam je potreban pametan dom, mudro je smanjiti rizik od hakiranja. Evo kako to učiniti:

  • Pročitajte recenzije i istraživanja o sigurnosti uređaja prije kupnje. Obratite pažnju na to kako proizvođač reaguje na otkrivene ranjivosti. Ako se brzo riješe problemi koje su prijavili istraživači, to je dobar znak.
  • Odlučivši se za određenu aplikaciju ili uređaj, obavezno ostanite u petlji o ažuriranjima i otkrivanju ranjivosti. Instalirajte sve ispravke koje su programeri objavili na vrijeme.
  • Zaštitite uređaje i kontrolne ploče jakom jedinstvenom lozinkom . Na taj način napadač neće biti u stanju da jednostavno „brzi“ „ključ“ u vaš dom.
  • Pravilno konfigurišite svoju kućnu Wi-Fi mrežu .
  • Preuzmite programe samo iz zvaničnih izvora i nemojte im davati nepotrebne dozvole .
  • Prilikom povezivanja sa pametnom kućom putem javnog Wi-Fi-ja, imajte na umu da treće strane mogu presresti informacije koje su poslali vi i vaše aplikacije na mreži, uključujući lozinke i tokene za autorizaciju. Da biste to izbegli, koristite VPN bezbednu vezu .

Izvor: Igor Kuksov, 16. juli 2019

 

 

 

 

Dežurstvo od 09 do 16h u prostoriji servisa

Fismod - Beograd

Koristimo "mali" godišni odmor od 29.07. do 03.08.2021