Így hackeltem meg az okostévémet

Sokszor nem is gondolunk arra, hogy az otthonainkban használt, internetkapcsolattal rendelkező készülékek milyen veszélyeket rejtenek. Pedig kockázatok akadnak bőven.
 

A Hacktivity konferencián David Jacoby, a Kaspersky Lab globális kutató és elemző csoportjának vezető biztonsági szakértője tartott előadást arról, hogy a saját otthonában elvégzett biztonsági vizsgálatok során milyen tapasztalatokat szerzett. Egyebek mellett sikeresen hackelte meg az okostévéjét, routerét, nyomtatóját, a hálózati tárolóeszközét stb. A konferencián egyebek mellett arról kérdeztük a szakembert, hogy miként lehet védekezni e fenyegetettségek ellen, hogyan lehet csökkenteni a kockázatokat, és kinek, milyen szerepe van a védekezésben.
 
Biztonságportál: Mi volt a célja az otthonában helyet kapó eszközök biztonsági vizsgálatával?

David Jacoby: Az előadásom is inkább arról szólt, hogy miért csináltam, amit csináltam, és nem arról, hogy hogyan hackeltem. Természetesen rá szoktam világítani a sebezhetőségekre, de ami az igazán lényeges, hogy ezek az eszközök milyen egyszerűen törhetők fel. A probléma nemcsak a szoftverekből fakad, hanem a gyártók hozzáállásából is.
 
Természetesen mindig léteznek szoftveres sebezhetőségek. Hallhatjuk, hogy vannak problémák az okostévékkel, a Blu-ray lejátszókkal, de ennél fontosabb, hogy mit tehetünk ezekkel a sebezhetőségekkel.
 
Biztonságportál: Melyek azok a fenyegetettségek, amelyek a legnagyobb veszélyt jelentik az eszközeinkre nézve?

D. J.: Minden olyan eszköz, amely rendelkezik webes felülettel sebezhető. Ezeken a készülékeken van egy bejelentkezési ablak, ahol kérik a nevünket, jelszavunkat a konfiguráláshoz. E felületek nagyon sérülékenyek, mivel az alkalmazások kódjában sokszor semmiféle biztonsági megfontolások nincsenek. Néhány eszköz olyan rosszul van beállítva (gyárilag), hogy távolról, mindenféle felhasználónév és jelszó ismerete nélkül le lehet tölteni róluk teljes konfigurációs állományokat, amik pedig tartalmazhatják az érvényes bejelentkezési adatokat.
 
Az összes eszköz, amely kapcsolódik az otthoni hálózathoz, nagyon hasonló hálózati beállításokkal működik. A legtöbb felhasználó nem végez speciális módosításokat az okostévéjén, a notebookján, az adattároló eszközein, a Blu-ray lejátszóján vagy éppen a PlayStationön. A DHCP automatikusan megold mindent. Ez pedig probléma, mivel például egy adattároló (biztonsági mentésekre használt) berendezésnek sok esetben nem kellene elérnie az internetet. Tehát minden eszköz közel azonos beállítással működik, holott különféle funkcionalitású készülékekről beszülünk.
 
Biztonságportál: Említette a gyártók felelősségét. Mire kellene figyelniük ezeknek a cégeknek akkor, amikor a termékeiket védelmi megoldásokkal ruházzák fel?

D. J.: Amikor feltártam a sérülékenységeket, akkor felvettem a kapcsolatot az érintett gyártókkal, és elmondtam nekik, hogy a termékeik sebezhetők. Az egyikük egész egyszerűen annyit mondott, hogy „ezt mi nem hisszük”. Aztán elküldtem egy dokumentumot az adott vállalatnak, és leírtam, hogy ha erre és erre a linkre kattintanak, akkor előidézhetik a problémát, de igazából nem értették meg, és inkább továbbra is azt mondták, hogy nincs biztonsági hiba. Aztán szerveztem egy Skype-os találkozót, és megosztottam a gépem képernyőjét, hogy végre lássák, hogy a probléma valóban létezik.
 
Egy másik gyártó ugyan elismerte az általam felfedezett hiba létezését, de egyszerűen csak annyit mondott, hogy ez az eszköz már régi, holott hat hónappal korábban vásároltam. Feltettem a kérdést, hogy ha egy fogyasztói terméknél hat hónap már soknak számít, akkor milyen gyakran vegyek tévét?
 
Ha veszünk egy autót, egy kerékpárt, akkor azt gondoljuk, hogy a drágább biztosan jobb. Azonban, ha megvesszük a világ legdrágább tévéjét, akkor sem fogunk nagyobb biztonságot kapni. A fogyasztói termékek esetében az ár nem tükrözi a biztonságot.
 
A gyártóknak azzal kellene kezdeniük, hogy olyan embereket vesznek fel, akik nemcsak fejleszteni tudnak, hanem olyanokat, akik biztonságos kódokat képesek készíteni, és akik megfelelően tudják konfigurálni az eszközöket.
 
Biztonságportál: Mit tehetnek a felhasználók ebben a helyzetben? Mit javasol a kockázatok csökkentése érdekében?

D. J.: Pontosan ezt kérdezte tőlem a főnököm is, aki azt mondta: „David, három hónapot töltöttél el azzal, hogy feltörj mindent, ami az otthonodban megtalálható. De mi a megoldás? Mit tehetünk? Fejlesszünk terméket, vagy hogyan orvosolhatjuk a problémákat?” Én csak annyit mondtam, hogy nincs ötletem. Egész egyszerűen azért, mert nem lehet kontrollt kialakítani ezen eszközök felett. Nem tudok frissíteni, patch-elni, nem tudok velük mit kezdeni. Ha egyszer a gyártók nem adnak ki javításokat, akkor mégis mit tehetnénk? Amit talán tehetünk, hogy biztonsági szakemberekként, gyártókként kiadunk olyan ismeretterjesztő anyagokat, amelyek segítenek megfelelően konfigurálni a készülékeket. Ez valóban segíthet.
 
Megtehetnénk, hogy az egyes eszközöket elszeparáljuk. A nagyobb cégek szegmentálják a hálózataikat, és hasonlóval mi is előállhatnánk. Például a tévének szüksége lehet internetelérésre, hogy a Netflix vagy egyéb streaming szolgáltatások működjenek rajta, de valójában semmi szükség nincs arra, hogy a laptopunkhoz is hozzáférjen a tévé. Azonban ennek megvalósítása túl bonyolult lenne a legtöbb esetben.
 
További tipp, hogy változtassuk meg az alapértelmezett jelszavakat. Ha pedig mégis elérhetővé válik hibajavítás, akkor azt töltsük le és frissítsünk. Emellett figyeljünk a hálózati beállításokra.
 
Biztonságportál: A biztonsági piac tekintetében megfigyelhetőek-e olyan trendek, melyek szerint az otthoni készülékeinken is megjelenhetnek biztonsági szoftverek, víruskeresők?

D. J.: Teljesen biztos vagyok benne, hogy ez így fog történni. Egyelőre azonban csak annyi látszik mindebből, hogy egyre többen beszélnek a problémáról. Ahhoz, hogy védelem legyen kialakítható nagyobb kontrollra lesz szükség. Emellett azt is figyelembe kell venni, hogy ezek az eszközök nem rendelkeznek nagy teljesítménnyel, ezért például, ha a PC-ken használt antivírusokat telepítenénk rájuk, akkor nagyon lelassulnának. A biztonsági piac szereplőinek okos ötletekkel kell majd előállniuk.