02.12.2015, 00:57
Wybierając kilka najnowszych produktów z kategorii Internetu Rzeczy (IoT), badacze
z Kaspersky Lab zidentyfikowali poważne zagrożenia dla domu połączonego z siecią.
Należą do nich ekspres do kawy, który ujawnia hasło do sieci Wi-Fi właściciela domu,
elektroniczna niania wideo, nad którą kontrolę może przejąć osoba trzecia
z nieuczciwymi zamiarami, oraz sterowany smartfonem system bezpieczeństwa, który
można oszukać przy użyciu zwykłego magnesu.
W 2014 r. David Jacoby, ekspert ds. bezpieczeństwa IT z Kaspersky Lab, rozejrzał się po
swoim salonie i postanowił zbadać, w jakim zakresie posiadane przez niego urządzenia są
podatne na cyberataki. Okazało się, że niemal wszystkie zawierają luki. Następnie, w 2015 r.,
zespół ekspertów z Kaspersky Lab ds. zwalczania szkodliwego oprogramowania powtórzył
eksperyment z jedną małą różnicą: o ile działania przeprowadzone przez Davida Jacoby’ego
koncentrowały się głównie na serwerach podpiętych do sieci, routerach i telewizorach Smart
TV, w najnowszym badaniu przyjrzano się różnym urządzeniom dostępnym na rynku
inteligentnych urządzeń domowych.
![[Obrazek: attachment.php?aid=787]](https://safegroup.pl/attachment.php?aid=787)
Do eksperymentu wybrano następujący sprzęt: urządzenie USB do strumieniowania
multimediów, sterowana przy użyciu smartfona kamera IP, kontrolowany smartfonem ekspres
do kawy oraz obsługiwany w ten sam sposób system bezpieczeństwa domu. W trakcie
badania wykryto, że niemal wszystkie te urządzenia zawierały luki lub inne problemy związane
z bezpieczeństwem.
Zbadana w eksperymencie elektroniczna niania z możliwością podglądu obrazu pozwalała
atakującemu, który korzysta z tej samej sieci co właściciel sprzętu, połączyć się z kamerą,
oglądać zarejestrowane przez nią nagrania jak również włączyć rejestrowanie dźwięku. Inne
kamery tego samego producenta umożliwiały przestępcom uzyskanie haseł właściciela.
Eksperyment pokazał także, że atakujący znajdujący się w tej samej sieci mógł uzyskać hasło
umożliwiające dostęp do kamery z przywilejami administratora i zmodyfikować
oprogramowanie systemowe (tzw. firmware) urządzenia, dostosowując je do własnych,
szkodliwych celów.
W przypadku sterowanych aplikacją ekspresów do kawy, przestępca nie musi nawet korzystać
z tej samej sieci co ofiara. Zbadany podczas eksperymentu ekspres wysyłał wystarczająco
dużo niezaszyfrowanych informacji, aby atakujący mógł odkryć hasło do sieci Wi-Fi właściciela
ekspresu.
Przyglądając się sterowanemu smartfonem systemowi bezpieczeństwa domu, badacze
z Kaspersky Lab stwierdzili, że oprogramowanie systemu posiada tylko nieznaczne problemy
dotyczące bezpieczeństwa i potrafi oprzeć się cyberatakowi. Znaleziono jednak lukę w jednym
z wykorzystywanych przez system czujników.
Działanie czujnika stykowego, który ma za zadanie uruchomić alarm w momencie otwarcia
drzwi lub okna, polega na wykrywaniu pola magnetycznego emitowanego przez magnes
zamocowany na drzwiach lub w oknie. Gdy drzwi lub okno zostają otwarte, pole magnetyczne
znika, a czujnik wysyła do systemu komunikaty alarmowe. Jeśli jednak pole magnetyczne
pozostanie, żaden alarm nie zostanie aktywowany.
Podczas eksperymentu z systemem bezpieczeństwa domu eksperci z Kaspersky Lab
wykorzystali prosty magnes, aby zastąpić pole magnetyczne wytwarzane przez czujnik na
oknie. Dzięki temu mogli otwierać i zamykać okno bez uruchamiania alarmu. Poważny problem
dotyczący tej luki polega na tym, że nie da się go naprawić przy pomocy aktualizacji
oprogramowania – problem tkwi w samym projekcie systemu bezpieczeństwa. O wiele
bardziej niepokojące jest to, że urządzenia oparte na czujnikach pola magnetycznego są
szeroko rozpowszechnione i wykorzystywane przez wiele dostępnych rozwiązań alarmowych.
„Nasz eksperyment wykazał – co jest pocieszające – że producenci biorą pod uwagę kwestie
cyberbezpieczeństwa podczas projektowania urządzeń z kategorii Internetu Rzeczy. Mimo to,
każde połączone z siecią, sterowane przy użyciu aplikacji urządzenie prawie na pewno będzie
posiadało co najmniej jeden problem związany z bezpieczeństwem. Przestępcy mogą
wykorzystać kilka takich luk jednocześnie, dlatego tak ważne jest, aby producenci łatali
wszystkie dziury – nawet te, które nie są krytyczne. Takie luki powinny zostać usunięte, zanim
produkt trafi na rynek, ponieważ znacznie trudniej jest naprawić problem, kiedy urządzenie
zostało już sprzedane tysiącom klientów” – powiedział Wiktor Aljuszyn, badacz ds.
bezpieczeństwa, Kaspersky Lab.
Jak korzystać z inteligentnych urządzeń bez narażania się na ataki
W kwestiach związanych z bezpieczeństwem często okazuje się, że najważniejszą metodą
ochrony jest posiadanie odpowiedniej wiedzy na temat zagrożeń oraz kierowanie się zdrowym
rozsądkiem. Nie inaczej jest w przypadku zagrożeń związanych z urządzeniami z kategorii
Internetu Rzeczy wykorzystywanych w inteligentnych domach.
Eksperci z Kaspersky Lab przygotowali kilka porad dla wszystkich, którzy chcą bezpiecznie korzystać z
najnowocześniejszych technologii w swoich domach:
1. Przed zakupem jakiegokolwiek urządzenia IoT poszukaj w internecie informacji na
temat wszelkich luk w zabezpieczeniach tego sprzętu. Internet Rzeczy stanowi
niezwykle aktualny temat i wielu badaczy podejmuje się znalezienia błędów w tego
rodzaju produktach: od elektronicznych niań po sterowane aplikacjami strzelby. Jest
dość prawdopodobne, że urządzenie, które chcesz kupić, zostało już zbadane i można
sprawdzić, czy wykryte problemy zostały naprawione.
2. Kupowanie produktów, które zostały niedawno wprowadzone na rynek nie zawsze jest
najlepszym pomysłem. Oprócz standardowych błędów, jakie można znaleźć w nowych
produktach (tzw. problemy wieku dziecięcego), urządzenia te mogą zawierać luki w
zabezpieczeniach, które nie zostały jeszcze wykryte przez badaczy bezpieczeństwa i
producenta. Najlepszą radą, jakiej można udzielić w tym zakresie, jest zalecenie
kupowania produktów, dla których opublikowano już kilka aktualizacji oprogramowania.
3. Wybierając, którą sferę swojego życia chcesz uczynić nieco bardziej „smart”,
uwzględnij potencjalne zagrożenia. Jeśli przechowujesz w swoim domu wiele
przedmiotów posiadających dużą wartość materialną, prawdopodobnie dobrym
pomysłem będzie postawienie na profesjonalny system bezpieczeństwa, który może
zastąpić lub uzupełnić dotychczasowy, sterowany za pomocą aplikacji system
alarmowy zabezpieczający Twój dom. Możesz również skonfigurować obecny system
w taki sposób, aby wszelkie potencjalne luki w zabezpieczeniach nie wpływały na jego
działanie. Podczas wyboru urządzenia, które będzie gromadziło informacje dotyczące
Twojego życia osobistego oraz życia Twojej rodziny, takiego jak elektroniczna niania,
lepszym rozwiązaniem może być najprostszy model na rynku wykorzystujący fale
radiowe – taki, który potrafi transmitować jedynie sygnał audio, bez możliwości łączenia
się z internetem, Jeżeli takie rozwiązanie nie spełnia Twoich potrzeb, kieruj się naszą
pierwszą radą – wybierz mądrze.
Pełny raport z eksperymentu Kaspersky Lab nosi tytuł „Sztuka przetrwania w świecie Internetu
Rzeczy: jak korzystać z inteligentnych urządzeń i zabezpieczyć się przed cyberprzestępcami
i jest dostępny na stronie
z Kaspersky Lab zidentyfikowali poważne zagrożenia dla domu połączonego z siecią.
Należą do nich ekspres do kawy, który ujawnia hasło do sieci Wi-Fi właściciela domu,
elektroniczna niania wideo, nad którą kontrolę może przejąć osoba trzecia
z nieuczciwymi zamiarami, oraz sterowany smartfonem system bezpieczeństwa, który
można oszukać przy użyciu zwykłego magnesu.
W 2014 r. David Jacoby, ekspert ds. bezpieczeństwa IT z Kaspersky Lab, rozejrzał się po
swoim salonie i postanowił zbadać, w jakim zakresie posiadane przez niego urządzenia są
podatne na cyberataki. Okazało się, że niemal wszystkie zawierają luki. Następnie, w 2015 r.,
zespół ekspertów z Kaspersky Lab ds. zwalczania szkodliwego oprogramowania powtórzył
eksperyment z jedną małą różnicą: o ile działania przeprowadzone przez Davida Jacoby’ego
koncentrowały się głównie na serwerach podpiętych do sieci, routerach i telewizorach Smart
TV, w najnowszym badaniu przyjrzano się różnym urządzeniom dostępnym na rynku
inteligentnych urządzeń domowych.
Do eksperymentu wybrano następujący sprzęt: urządzenie USB do strumieniowania
multimediów, sterowana przy użyciu smartfona kamera IP, kontrolowany smartfonem ekspres
do kawy oraz obsługiwany w ten sam sposób system bezpieczeństwa domu. W trakcie
badania wykryto, że niemal wszystkie te urządzenia zawierały luki lub inne problemy związane
z bezpieczeństwem.
Zbadana w eksperymencie elektroniczna niania z możliwością podglądu obrazu pozwalała
atakującemu, który korzysta z tej samej sieci co właściciel sprzętu, połączyć się z kamerą,
oglądać zarejestrowane przez nią nagrania jak również włączyć rejestrowanie dźwięku. Inne
kamery tego samego producenta umożliwiały przestępcom uzyskanie haseł właściciela.
Eksperyment pokazał także, że atakujący znajdujący się w tej samej sieci mógł uzyskać hasło
umożliwiające dostęp do kamery z przywilejami administratora i zmodyfikować
oprogramowanie systemowe (tzw. firmware) urządzenia, dostosowując je do własnych,
szkodliwych celów.
W przypadku sterowanych aplikacją ekspresów do kawy, przestępca nie musi nawet korzystać
z tej samej sieci co ofiara. Zbadany podczas eksperymentu ekspres wysyłał wystarczająco
dużo niezaszyfrowanych informacji, aby atakujący mógł odkryć hasło do sieci Wi-Fi właściciela
ekspresu.
Przyglądając się sterowanemu smartfonem systemowi bezpieczeństwa domu, badacze
z Kaspersky Lab stwierdzili, że oprogramowanie systemu posiada tylko nieznaczne problemy
dotyczące bezpieczeństwa i potrafi oprzeć się cyberatakowi. Znaleziono jednak lukę w jednym
z wykorzystywanych przez system czujników.
Działanie czujnika stykowego, który ma za zadanie uruchomić alarm w momencie otwarcia
drzwi lub okna, polega na wykrywaniu pola magnetycznego emitowanego przez magnes
zamocowany na drzwiach lub w oknie. Gdy drzwi lub okno zostają otwarte, pole magnetyczne
znika, a czujnik wysyła do systemu komunikaty alarmowe. Jeśli jednak pole magnetyczne
pozostanie, żaden alarm nie zostanie aktywowany.
Podczas eksperymentu z systemem bezpieczeństwa domu eksperci z Kaspersky Lab
wykorzystali prosty magnes, aby zastąpić pole magnetyczne wytwarzane przez czujnik na
oknie. Dzięki temu mogli otwierać i zamykać okno bez uruchamiania alarmu. Poważny problem
dotyczący tej luki polega na tym, że nie da się go naprawić przy pomocy aktualizacji
oprogramowania – problem tkwi w samym projekcie systemu bezpieczeństwa. O wiele
bardziej niepokojące jest to, że urządzenia oparte na czujnikach pola magnetycznego są
szeroko rozpowszechnione i wykorzystywane przez wiele dostępnych rozwiązań alarmowych.
„Nasz eksperyment wykazał – co jest pocieszające – że producenci biorą pod uwagę kwestie
cyberbezpieczeństwa podczas projektowania urządzeń z kategorii Internetu Rzeczy. Mimo to,
każde połączone z siecią, sterowane przy użyciu aplikacji urządzenie prawie na pewno będzie
posiadało co najmniej jeden problem związany z bezpieczeństwem. Przestępcy mogą
wykorzystać kilka takich luk jednocześnie, dlatego tak ważne jest, aby producenci łatali
wszystkie dziury – nawet te, które nie są krytyczne. Takie luki powinny zostać usunięte, zanim
produkt trafi na rynek, ponieważ znacznie trudniej jest naprawić problem, kiedy urządzenie
zostało już sprzedane tysiącom klientów” – powiedział Wiktor Aljuszyn, badacz ds.
bezpieczeństwa, Kaspersky Lab.
Jak korzystać z inteligentnych urządzeń bez narażania się na ataki
W kwestiach związanych z bezpieczeństwem często okazuje się, że najważniejszą metodą
ochrony jest posiadanie odpowiedniej wiedzy na temat zagrożeń oraz kierowanie się zdrowym
rozsądkiem. Nie inaczej jest w przypadku zagrożeń związanych z urządzeniami z kategorii
Internetu Rzeczy wykorzystywanych w inteligentnych domach.
Eksperci z Kaspersky Lab przygotowali kilka porad dla wszystkich, którzy chcą bezpiecznie korzystać z
najnowocześniejszych technologii w swoich domach:
1. Przed zakupem jakiegokolwiek urządzenia IoT poszukaj w internecie informacji na
temat wszelkich luk w zabezpieczeniach tego sprzętu. Internet Rzeczy stanowi
niezwykle aktualny temat i wielu badaczy podejmuje się znalezienia błędów w tego
rodzaju produktach: od elektronicznych niań po sterowane aplikacjami strzelby. Jest
dość prawdopodobne, że urządzenie, które chcesz kupić, zostało już zbadane i można
sprawdzić, czy wykryte problemy zostały naprawione.
2. Kupowanie produktów, które zostały niedawno wprowadzone na rynek nie zawsze jest
najlepszym pomysłem. Oprócz standardowych błędów, jakie można znaleźć w nowych
produktach (tzw. problemy wieku dziecięcego), urządzenia te mogą zawierać luki w
zabezpieczeniach, które nie zostały jeszcze wykryte przez badaczy bezpieczeństwa i
producenta. Najlepszą radą, jakiej można udzielić w tym zakresie, jest zalecenie
kupowania produktów, dla których opublikowano już kilka aktualizacji oprogramowania.
3. Wybierając, którą sferę swojego życia chcesz uczynić nieco bardziej „smart”,
uwzględnij potencjalne zagrożenia. Jeśli przechowujesz w swoim domu wiele
przedmiotów posiadających dużą wartość materialną, prawdopodobnie dobrym
pomysłem będzie postawienie na profesjonalny system bezpieczeństwa, który może
zastąpić lub uzupełnić dotychczasowy, sterowany za pomocą aplikacji system
alarmowy zabezpieczający Twój dom. Możesz również skonfigurować obecny system
w taki sposób, aby wszelkie potencjalne luki w zabezpieczeniach nie wpływały na jego
działanie. Podczas wyboru urządzenia, które będzie gromadziło informacje dotyczące
Twojego życia osobistego oraz życia Twojej rodziny, takiego jak elektroniczna niania,
lepszym rozwiązaniem może być najprostszy model na rynku wykorzystujący fale
radiowe – taki, który potrafi transmitować jedynie sygnał audio, bez możliwości łączenia
się z internetem, Jeżeli takie rozwiązanie nie spełnia Twoich potrzeb, kieruj się naszą
pierwszą radą – wybierz mądrze.
Pełny raport z eksperymentu Kaspersky Lab nosi tytuł „Sztuka przetrwania w świecie Internetu
Rzeczy: jak korzystać z inteligentnych urządzeń i zabezpieczyć się przed cyberprzestępcami
i jest dostępny na stronie
[Aby zobaczyć linki, zarejestruj się tutaj]
.Źródło: Kaspersky Lab
