Strokovnjaki Kaspersky Laba razkrivajo varnostna tveganja pri napravah v pametnih domovih

09.11.2015
Objavil: Dare Gliha

Raziskovalci Kaspersky Laba so pri naključnem naboru izdelkov iz sveta interneta stvari (ang. Internet-of-Things oz. IoT) odkrili resna tveganja za povezane domove (ang. connected home). Med tveganimi izdelki so kavni avtomat, ki lahko razkrije geslo brezžičnega omrežja lastnika doma, naprava za nadzor dojenčkov, katere upravljanje lahko preide v roke zlonamernih tretjih oseb, in sistem za varovanje doma z upravljanjem prek pametnega telefona, ki ga lahko onemogoči že magnet.

Leta 2014 se je David Jacoby, varnostni strokovnjak pri Kaspersky Labu, odločil preveriti dovzetnost svojih naprav za kibernetske napade. Skoraj pri vseh je ugotovil ranljivosti. Na podlagi njegovih opažanj je v letu 2015 ekipa strokovnjakov za boj proti zlonamerni programski opremi pri Kaspersky Labu ponovila eksperiment. Za razliko od Davida, katerega raziskava je bila osredotočena predvsem na v omrežje povezane strežnike, usmerjevalnike in pametne televizorje, so se strokovnjaki osredotočili na različne na trgu dostopne povezane naprave za pametne domove.

V eksperimentu so bile preizkušene naslednje naprave: ključ USB za ogled pretočnih videov ter prek pametnega telefona upravljani nadzorna IP kamera, kavni avtomat in sistem za varovanje doma. Preizkus je razkril, da je večina omenjenih naprav vsebovala ranljivosti.

Kamera za nadzor dojenčka je v eksperimentu hekerju z uporabo omrežja lastnika doma omogočila povezavo s kamero, ogled videa in zagon zvoka na sami kameri. Druge kamere istega proizvajalca so hekerjem omogočile zbiranje gesel lastnika, prav tako pa je eksperiment pokazal, da je heker lahko na istem omrežju pridobil korensko geslo s kamere in na njej zlonamerno spremenil nastavitve strojne programske opreme.

V primeru kavnega avtomata, upravljanega prek mobilne aplikacije, napadalec ni potreboval dostopa do omrežja svoje žrtve. Kavni avtomat je med eksperimentom pošiljal dovolj nešifriranih informacij, da je napadalec lahko odkril geslo celotnega brezžičnega omrežja lastnika naprave.

Pri sistemu za varovanje doma, upravljanem prek pametnega telefona, so raziskovalci Kaspersky Laba ugotovili le manjše nepravilnosti programske opreme. Sistem se je tako lahko zoperstavil kibernetskemu napadu. Kljub temu pa je bila ranljivost najdena na enem od tipal v sistemu.

Kontaktno tipalo, katerega namen je sprožitev alarma ob odprtju vrat ali okna, deluje tako, da zazna magnetno polje, ki ga oddaja magnet, nameščen na vratih ali oknu. Če se okno ali vrata odpre, magnetno polje izgine, kar povzroči, da tipalo varnostnemu sistemu pošlje alarmno sporočilo. Torej, če se ohrani magnetno polje, se alarm ne sproži.

Med preizkušanjem sistema za varovanje doma so lahko strokovnjaki Kaspersky Laba s preprostim magnetom nadomestili magnetno polje, ki ga je ustvarjal magnet na oknu. To pomeni, da so lahko odprli in zaprli okno, ne da bi pri tem sprožili alarm. Velik problem te ranljivosti je, da je ni mogoče odpraviti s posodobitvijo programske opreme. Težava namreč izhaja iz zasnove samega varnostnega sistema. Še bolj zaskrbljujoče pa je dejstvo, da je tip naprav, ki za delovanje uporabljajo tipala z magnetnim poljem, pogosto uporabljen v na trgu dostopnih sistemih za varovanje doma.

»Naš eksperiment je pokazal, da ponudniki pri zasnovi naprav na področju interneta stvari upoštevajo kibernetsko varnost. Kljub temu ima skoraj vsaka povezana in prek aplikacije upravljana naprava vsaj eno varnostno pomanjkljivost. Kriminalci lahko hkrati izrabijo številne pomanjkljivosti, zato je za ponudnike teh naprav nujna odprava vseh napak, tudi tistih, ki niso kritične. Te ranljivosti bi morali odpraviti, preden je izdelek dostopen na trgu, saj so težave enkrat, ko je naprava prodana tisočim lastnikom domov, težje rešljive,« je povedal Victor Alyushin, varnostni raziskovalec pri Kaspersky Labu.

Da bi uporabnikom pomagali zaščititi njihova življenja in življenja njihovih družinskih članov pred tveganji, ki jih prinašajo naprave s področja interneta stvari v pametnih domovih, strokovnjaki Kaspersky Laba svetujejo upoštevanje naslednjih preprostih napotkov:

• Pred nakupov naprave s področja interneta stvari naj se uporabniki na spletu pozanimajo o morebitnih pomanjkljivostih naprave. Internet stvari je priljubljena tema, veliko raziskovalcev pa si prizadeva najti varnostne težave v izdelkih te vrste, vse od naprav za nadzor dojenčkov do orožja, nadzorovanega prek mobilnih aplikacij. Velika verjetnost je, da so določeno napravo že preučili varnostni raziskovalci, zato lahko uporabniki tudi preverijo, ali so bile najdene napake odpravljene.

• Nakup najnovejših izdelkov ni vedno najboljša izbira. Skupaj z napakami, ki pogosto spremljajo nove izdelke, lahko najnovejše naprave vsebujejo varnostne težave, ki jih varnostni raziskovalci še niso odkrili. Najboljši nasvet je zato nakup izdelkov, za katere je bilo pripravljenih že nekaj posodobitev programske opreme.

• Pri izbiri dela življenja, ki ga uporabniki tako rekoč želijo narediti pametnejšega, je dobro preučiti varnostna tveganja. Če doma hranijo veliko predmetov z materialno vrednostjo, je dobro izbrati profesionalni alarmni sistem, ki lahko nadomesti ali dopolni obstoječi sistem za varovanje doma z upravljanjem prek mobilne aplikacije. Prav tako lahko uporabniki nastavijo obstoječ sistem tako, da morebitne pomanjkljivosti ne bodo ogrozile njegovega delovanja. Če naprava zbira informacije iz zasebnega življenja lastnika in njegovih družinskih članov, kot na primer naprava za nadzor dojenčkov, je pametno uporabiti najpreprostejši model na trgu z radijsko frekvenco. Ta lahko prenaša le zvočni signal brez internetne povezave. Če to ni mogoče, naj uporabniki skrbno izberejo primerno napravo.