Securitate — July 2, 2019 at 1:16 pm

Kaspersky contribuie la eliminarea unor vulnerabilități critice dintr-un controler pentru locuințe inteligente

by

fibaro-smart-home-1Cercetătorii Kaspersky care au investigat dispozitivul de control al unui ecosistem inteligent pentru locuință au identificat mai multe vulnerabilități critice. Acestea includ bug-uri în infrastructura cloud și posibilitatea de executare a codului de la distanță, care ar permite unei terțe părți să obțină acces de “super-utilizator” la controler și să manipuleze infrastructura casei inteligente după bunul plac. Constatările au fost comunicate vânzătorului, Fibaro, care s-a ocupat imediat de ele și a actualizat protocoalele de securitate.

Au trecut mai mulți ani de la primele cercetări asupra securității Internetului obiectelor (IoT), dar pe măsură ce peisajul IoT continuă să evolueze, importanța unor astfel de cercetări rămâne: odată cu noi produse și soluții, se vor ivi noi amenințări, punând în pericol siguranța utilizatorilor. Un angajat Kaspersky i-a provocat pe cercetătorii companiei să examineze sistemul inteligent din casa lui. El le-a acordat cercetătorilor acces la controlerul sistemului. A fost ales controlerul pentru că supraveghează toate operațiunile dintr-o casă inteligentă și o eventuală compromitere i-ar permite unui atacator cibernetic să ajungă în tot sistemul casei și să facă ce vrea – de la spionaj și furt, la sabotaj fizic.

Etapa inițială de colectare de informații a condus experții la mai mulți potențiali vectori de atac: prin protocolul de comunicații wireless Z-Wave, folosit la scară largă în automatizarea locuințelor; prin interfața web a panoului de administrare și prin intermediul infrastructurii cloud. Aceasta din urmă s-a dovedit cea mai eficientă pentru atac: examinarea metodelor utilizate pentru procesarea cererilor din dispozitiv a dezvăluit vulnerabilități în procesul de autorizare și posibilitatea de executare a codului de la distanță.
Împreună, acești factori le-ar permite unor terți să obțină acces la backup-urile încărcate în cloud din toate centrele Fibaro și să încarce backup-urile infectate, iar apoi să le descarce pe un anumit controler – deși nu au drepturi în sistem.

Experții Kaspersky au implementat un atac de test asupra controlerului. Pentru aceasta, au pregătit un backup, cu un script dezvoltat separat, protejat cu o parolă. Apoi au trimis un e-mail și un SMS către proprietarul dispozitivului prin intermediul cloud-ului, cerându-i să actualizeze firmware-ul controlerului. După cum i s-a solicitat, „victima” a fost de acord și a descărcat backup-ul infectat. Acest lucru le-a permis cercetătorilor să obțină drepturi de administrator asupra controlerului și să manipuleze ecosistemul conectat. Pentru a demonstra succesul intruziunii în sistem, cercetătorii au schimbat melodia ceasului deșteptător – a doua zi, angajatul Kaspersky s-a trezit pe o muzică tare, cu tobe și un bas puternic.

„Spre deosebire de noi, ar fi puțin probabil ca un atacator adevărat, cu acces la centrul sistemului din locuință, să se limiteze la o glumă cu alarma ceasului”, explică Pavel Cheremushkin, security researcher la Kaspersky ICS CERT. „Unul dintre principalele roluri ale dispozitivului pe care l-am studiat este integrarea tuturor „lucrurilor inteligente”, astfel încât proprietarul casei să le poată gestiona într-un singur punct. Un detaliu important este că evaluarea noastră vizează un sistem real – anterior, cele mai multe cercetări au fost efectuate în condiții de laborator. Cercetarea a arătat că, în pofida unei conștientizări crescânde privind securitatea IoT, există încă probleme care trebuie abordate. Chiar mai important, dispozitivele pe care le-am studiat sunt produse în masă și implementate în rețelele caselor inteligente. Mulțumim Fibaro pentru atitudinea responsabilă față de aceste chestiuni, deoarece știm că dau importanță securității cibernetice și au făcut casa colegului nostru mult mai sigură decât era înainte de cercetare.”

„Infrastructura IoT necesită un sistem complicat care lucrează pe mai multe niveluri, implică o mulțime de lucrări de implementare și de arhitectură. Apreciem cercetarea și eforturile depuse de Kaspersky. Ne-au ajutat să lucrăm la securitatea produselor și a serviciilor noastre. Împreună am eliminat potențialele vulnerabilități. Le recomandăm utilizatorilor FIBARO să instaleze actualizările și să verifice întotdeauna dacă e-mail-urile sunt în concordanță cu anunțurile de pe site-ul FIBARO. Actualizările îmbunătățesc funcționalitatea sistemului și împiedică hackerii să fure date private”, a spus Krzysztof Banasiak, CPO FIBARO.

Pentru a păstra dispozitivele în siguranță, recomandăm utilizatorilor:
• Când decideți ce parte din viață vreți să vă devină mai inteligentă, luați în considerare riscurile de securitate.
• Înainte de a cumpăra un dispozitiv IoT, căutați pe Internet știri despre orice vulnerabilitate.
• Pe lângă bug-urile standard din produsele noi, dispozitivele recent lansate pot prezenta probleme de securitate care nu au fost încă descoperite de cercetători. În acest sens, cea mai bună alegere este să cumpărați produse care au trecut deja prin mai multe actualizări de software, nu pe cele mai recente de pe piață.
• Asigurați-vă că aveți toate dispozitivele la zi cu cele mai recente actualizări de securitate și firmware.
• Începeți să utilizați soluții care protejează conturile online ale utilizatorilor și rețelele Wi-Fi de acasă, asigurându-se că rețeaua privată rămâne privată. De exemplu, Kaspersky Security Cloud notifică utilizatorul dacă un intrus încearcă să se conecteze la ea, protejează dispozitivele din locuință și alertează automat în legătură cu amenințările la adresa securității, oferind recomandări atunci când este necesară luarea de măsuri.

Pe Securelist. puteți citi raportul complet.