Specjaliści z Kaspersky obrali sobie za cel polskiego dostawcę rozwiązań z zakresu smart home, poznańskie Fibaro. Efekt trochę słaby. Dla Polaków oczywiście, bo okazało się, że przejęcie kontroli przez Rosjan nad domem atakowanego użytkownika, nie stanowi większego problemu.
Kojarzycie taki film, w którym Pierce Brosnan grał milionera, będącego właścicielem firmy oferującej czartery samolotów czy jakoś tak? W każdym razie w firmie zaczęły się pojawiać problemy z siecią. Lekarstwem na nie miał okazać się młody specjalista. Geniusz komputerowy. IT Guy. Przy okazji milioner poprosił go, by również zajął się technologiami w jego domu. Inteligentnym domu. I tutaj z tą historią Was zostawię, zachęcając do obejrzenia filmu Kontrola Absolutna z 2016 roku.
A teraz przenieśmy się do roku bieżącego, czyli 2019. W rolę specjalisty od komputerów wcielili się Rosjanie z firmy Kaspersky, a milionera odegrał również jeden z jej pracowników, udostępniając swoje, pewnie nieco mniejsze mieszkanie wyposażone w rozwiązania Fibaro. I jak się okazało, podobnie jak w 2016, tak i teraz, wcale nie potrzeba super mocy, by przejąć sterowanie nad domem.
Jak doszło do włamania do inteligentnego domu?
Jeden z pracowników Kaspersky udzielił badaczom z firmy dostęp do kontrolera swojego mieszkania. Urządzenie to łączy wszystkie inne inteligentne urządzenia i nadzoruje wykonywane operacje. Zatem złamanie jego zabezpieczeń oznaczałoby dla cyberprzestępcy możliwość ingerencji w cały ekosystem w celu przeprowadzenia różnych działań, od szpiegostwa oraz kradzieży po fizyczny sabotaż.
Wstępny etap badania obejmujący zbieranie danych naprowadził ekspertów na kilka potencjalnych wektorów ataków: za pośrednictwem bezprzewodowego protokołu komunikacyjnego Z-Wave powszechnie wykorzystywanego w automatyce domowej; za pośrednictwem interfejsu online panelu administracyjnego oraz za pośrednictwem infrastruktury chmury. Ten ostatni okazał się najbardziej skuteczny, jeśli chodzi o przeprowadzanie ataków: analiza metod przetwarzania żądań pochodzących z urządzenia ujawniła słaby punkt w procesie autoryzacji oraz możliwość zdalnego wykonania kodu.
W połączeniu, luki te mogłyby pozwolić osobie z zewnątrz uzyskać dostęp do wszystkich kopii zapasowych przesyłanych do chmury ze wszystkich centrów domowych FIBARO w wersji lite oraz przesłać zainfekowane kopie zapasowe do chmury, a następnie pobrać je do konkretnego kontrolera – mimo braku posiadania przywilejów w systemie. Brzmi niezrozumiale? No to teraz wyjaśnienie poniżej.
W ramach eksperymentu przeprowadzono atak testowy na kontroler. W tym celu przygotowano określoną kopię zapasową zabezpieczoną za pomocą hasła. Następnie wysłano za pośrednictwem chmury wiadomość e-mail oraz SMS do właściciela urządzenia, zalecając mu aktualizację oprogramowania układowego kontrolera. “Ofiara” wyraziła zgodę i pobrała zainfekowaną kopię zapasową. To pozwoliło badaczom uzyskać przywileje administratora kontrolera inteligentnego domu, a tym samym manipulować ekosystemem połączonych urządzeń. Jako dowód skutecznego włamania się do systemu, badacze zmienili dźwięk budzika – następnego dnia osobę, do której mieszkania się włamano, obudziła głośna muzyka drum’n’bass.
A jeśli chcecie rozkminić to, co tutaj się zadziało od strony technicznej, to łapcie ten link: https://securelist.com/fibaro-smart-home/91416/
Ciemna strona Smart Home
To są te czarne scenariusze, o których coraz częściej zaczyna się mówić. Po etapie zachwytu nad możliwościami, jakie oferuje Internet of Things, powoli przychodzi czas na zastanowienie się nad zagrożeniami płynącymi ze stosunkowo nowej technologii. Dlatego cieszą takie akcje jak ta przeprowadzona przez Kaspersky, bo dzięki niej firma zwróciła uwagę na lukę w zabezpieczeniach Fibaro, ale przede wszystkim zaczyna uświadamiać użytkowników. W czasach, kiedy coraz więcej urządzeń w domu mamy podłączonych do sieci, a niebawem kiedy będzie ich jeszcze więcej, począwszy od gniazdek elektrycznych, na lodówkach, pralkach czy żaluzjach kończąc, cyberbezpieczeństwo musi być priorytetem. Przysłowiowa głowa rodziny nie powinna już tylko potrafić zadbać o niezbędne finanse czy spłodzić syna i posadzić drzewo, ale także zapewnić bezpieczeństwo domowej sieci. A więc albo samemu stać się administratorem wszystkich urządzeń albo zlecić to specjalistom, którzy sami co jakiś czas będą symulowali ataki. I to wcale nie jest żart. Bo im więcej inteligentnych urządzeń w domu, tym więcej zagrożeń. To, co z definicji ma ułatwiać nam życie, w skrajnych przypadkach może stać się koszmarem. A muzyka drum’n’bass zamiast budzika, okaże się najmniejszym problemem. Trzeba zdawać sobie sprawę z faktu, że dzisiaj wyrządzenie krzywdy fizycznej, może być mniejszym złem, niż wyrafinowane i trudne do zatrzymania w krótkim czasie socjotechniki. Dlatego należy się zabezpieczać. I żeby była jasność – nie zniechęcam do smart home czy w ogóle IoT. Wręcz przeciwnie. Namawiam, tylko na miłość boską – dbajcie o bezpieczeństwo. Jak w seksie. Uprawiajcie go na potęgę! Ale z głową 😉
