21 sierpnia 2014

Cyberatak na salon: czy nowoczesny sprzęt multimedialny jest bezpieczny?

David Jacoby, analityk bezpieczeństwa z Kaspersky Lab, przeprowadził eksperyment badawczy we własnym salonie, aby sprawdzić, jak bezpieczny jest jego dom pod kątem cyberzagrożeń. Test miał wykazać, czy sprzęty multimedialne, takie jak urządzenia sieciowe do przechowywania danych (NAS), telewizory smart TV, routery, odtwarzacze Blu-ray itp., są podatne na cyberataki. Okazało się, że są.




Wnioski z badania nie napawają optymizmem - popularne domowe urządzenia multimedialne z dostępem do internetu stanowią realne zagrożenie dla cyberbezpieczeństwa ze względu na luki w zabezpieczeniach ich oprogramowania oraz brak podstawowych środków bezpieczeństwa, takich jak mocne domyślne hasła administratora oraz szyfrowanie połączenia.

Zbadane urządzenia obejmowały dwa modele NAS-ów różnych producentów, jeden smart TV, odbiornik satelitarny, router oraz podłączoną do sieci drukarkę. Podczas swojego badania David Jacoby wykrył 14 luk w zabezpieczeniach urządzeń magazynujących podłączonych do sieci domowej, jedną lukę w telewizorze oraz kilka potencjalnie ukrytych funkcji kontroli w routerze.

Zgodnie ze swoją polityką odpowiedzialności w zakresie ujawniania danych, Kaspersky Lab nie podaje nazw producentów, których produkty zostały objęte badaniem, do momentu opublikowania łaty bezpieczeństwa usuwającej dane luki. Wszyscy producenci zostali poinformowani o istnieniu wykrytych podatności. Specjaliści z Kaspersky Lab ściśle współpracują z nimi w celu wyeliminowania wszelkich zidentyfikowanych błędów w zabezpieczeniach.

"Użytkownicy powinni mieć świadomość zagrożeń związanych z urządzeniami podłączonymi do internetu i sieci domowej. Trzeba również pamiętać, że bezpieczeństwo naszych informacji to nie tylko silne hasło - nad wieloma rzeczami nie mamy kontroli. W ciągu niecałych 20 minut znalazłem i potwierdziłem niezwykle poważne luki w zabezpieczeniach urządzenia, które wyglądało na bezpieczne, a nawet nawiązywało do bezpieczeństwa swoją nazwą. Jakie wyniki dałoby podobne badanie, gdyby zostało przeprowadzone na znacznie szerszą skalę niż mój salon? To tylko jedno z wielu pytań, na które producenci urządzeń, branża bezpieczeństwa oraz użytkownicy muszą wspólnie znaleźć odpowiedź w najbliższej przyszłości. Inne ważne pytanie dotyczy cyklu życia urządzeń. Jak dowiedziałem się z rozmów z producentami, niektórzy z nich nie będą rozwijali łat bezpieczeństwa dla podatnego na ataki urządzenia, gdy jego cykl życia dobiegnie końca. Cykl ten wynosi zwykle rok lub dwa lata, podczas gdy urządzenia - na przykład takie jak NAS-y - funkcjonują w domach i biurach znacznie dłużej" - powiedział David Jacoby, starszy badacz ds. bezpieczeństwa z Kaspersky Lab i autor badania.

Nielegalne pliki i słabe hasła

Najpoważniejsze luki w zabezpieczeniach zostały zidentyfikowane w urządzeniach magazynujących podłączonych do sieci (NAS). Kilka z nich pozwala atakującemu na zdalne wykonanie poleceń systemowych z najwyższymi przywilejami administracyjnymi. Testowane urządzenia miały również słabe hasła domyślne, wiele plików konfiguracyjnych posiadało niewłaściwe uprawnienia i zawierało hasła zapisane czystym tekstem (bez żadnego szyfrowania). Na przykład, domyślne hasło administratora dla jednego z urządzeń składało się zaledwie z jednej cyfry. Inne urządzenie udostępniało cały plik konfiguracyjny z hasłami wszystkim użytkownikom w sieci.

Wykorzystując inną lukę, badacz zdołał bez trudu umieścić plik w obszarze pamięci urządzenia niedostępnym do zapisu dla standardowych użytkowników. Gdyby plik ten okazał się szkodliwy, zainfekowany NAS stałby się źródłem infekcji innych podłączonych do niego urządzeń - np. komputerów domowych lub biurowych. Odpowiednio spreparowany plik mógłby nawet przyłączyć domowy NAS do sieci zainfekowanych urządzeń (tzw. botnetu), która służy do rozsyłania spamu lub przeprowadzania ataków DDoS. Co więcej, luka umożliwiła umieszczenie obiektu w specjalnym obszarze systemu plików urządzenia, zatem jedynym sposobem usunięcia go było wykorzystanie tej samej podatności. Naturalnie, nie jest to proste zadanie, nawet dla specjalisty technicznego, nie mówiąc o osobie, która po prostu użytkuje sprzęt multimedialny w swoim domu.

Atak za pośrednictwem smart TV

Analizując poziom bezpieczeństwa własnego telewizora, badacz z Kaspersky Lab odkrył, że w komunikacji między odbiornikiem a serwerami jego producenta nie jest wykorzystywane żadne szyfrowanie. To potencjalnie otwiera furtkę atakom typu man-in-the-middle, w wyniku których użytkownik próbujący kupić treści za pośrednictwem smart TV mógłby - na przykład - przesłać pieniądze do oszustów. W ramach eksperymentu badacz zdołał podmienić ikonę interfejsu telewizora na zdjęcie. Widgety i miniaturki są zwykle pobierane z serwerów producenta telewizora, dlatego brak połączenia szyfrowanego może spowodować, że informacje zostaną zmodyfikowane przez osobę trzecią. Badacz odkrył również, że smart TV potrafi wykonać kod Javy, co w połączeniu z możliwością przechwytywania ruchu pomiędzy telewizorem a internetem może przyczynić się do szkodliwych ataków wykorzystujących exploity (szkodliwe programy infekujące za pośrednictwem luk bezpieczeństwa).

Ukryte funkcje szpiegujące routera

Router DSL wykorzystywany w celu zapewniania dostępu do internetu bezprzewodowego wszystkim urządzeniom domowym zawierał kilka niebezpiecznych funkcji ukrytych przed swoim właścicielem. Według badacza niektóre z tych "tajnych" funkcji mogłyby potencjalnie zapewnić dostawcy usług internetowych zdalny dostęp do dowolnego urządzenia w sieci prywatnej. Co ważniejsze, wyniki badania pokazały, że niektóre sekcje interfejsu sieciowego routera (takie jak "Web Cameras", "Telephony Expert Configure", "Access Control", "WAN-Sensing" oraz "Update") są "niewidoczne" i standardowo nie mogą być przeglądane i modyfikowane przez właściciela sprzętu. Dostęp do nich można uzyskać jedynie poprzez wykorzystanie luki w zabezpieczeniach, która umożliwia przechodzenie pomiędzy różnymi sekcjami interfejsu (w rzeczywistości są to strony WWW, z których każda posiada własny adres alfanumeryczny) poprzez złamanie liczb na końcu adresu za pomocą ataku siłowego (brute force).

Pierwotnie, funkcje te zostały wprowadzone dla wygody właściciela urządzenia i pracowników pomocy technicznej: na przykład, funkcja szybkiego dostępu sprawia, że dostawca usług internetowych może szybko i łatwo rozwiązać potencjalne problemy techniczne dotyczące urządzenia. Jednak wygoda może zmienić się w niebezpieczeństwo, jeśli dostęp do urządzenia uzyska niepowołana osoba.

Jak pozostać bezpiecznym w świecie urządzeń połączonych z internetem

  • Utrudnij życie potencjalnym atakującym: stosuj wszystkie najnowsze aktualizacje bezpieczeństwa i instaluj uaktualnienia oprogramowania (tzw. firmware) dla wszystkich swoich urządzeń. W ten sposób zminimalizujesz ryzyko ataków wykorzystujących znane luki w zabezpieczeniach.
  • Koniecznie zmień domyślną nazwę użytkownika i hasło wszędzie tam, gdzie wymagane jest logowanie - jest to pierwsza rzecz, którą wykorzysta osoba próbująca zaatakować Twoje urządzenie.
  • Większość routerów domowych oferuje opcję konfiguracji własnej sieci dla każdego urządzenia oraz ograniczenia dostępu do urządzenia - przy pomocy kilku różnych stref zdemilitaryzowanych (DMZ), czyli oddzielnych segmentów sieci dla systemów charakteryzujących się większym ryzykiem włamania. Na przykład, jeśli posiadasz telewizor smart TV, możesz ograniczyć jego dostępność i pozwolić, aby on sam miał dostęp jedynie do określonego zasobu w Twojej sieci. Nie ma potrzeby, by wszystkie urządzenia miały dostęp do całej sieci domowej.
Pełny raport z badania bezpieczeństwa sprzętów multimedialnych jest dostępny w języku angielskim na stronie https://securelist.com/analysis/publications/66207/iot-how-i-hacked-my-home/.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky Lab jako źródła.

Wszystkie informacje prasowe Kaspersky Lab Polska są dostępne na stronie http://www.kaspersky.pl/news.