Okosotthonba néztek be az etikus hackerek

​Egy vizsgálat során biztonsági szakemberek számos kritikus sérülékenységet találtak egy okosotthont vezérlő rendszerben.
 

A dolgok internetének (IoT) biztonságát ellenőrző első vizsgálatok óta már évek teltek el, ám a kutatások fontossága mit sem változott. Az új termékekkel és megoldásokkal együtt új fenyegetettségek jelennek meg. 

A Kaspersky egyik alkalmazottja arra kérte a vállalat kutatóit, hogy vizsgálják meg a saját házába beszerelt okosrendszert, különösen az azt vezérlő készüléket. Azért éppen a vezérlőre esett a választás, mert az kapcsolja össze és felügyeli az okosotthonban végbemenő összes műveletet, és egy sikeres támadás azt jelentené, hogy a kiberbűnözők a kémkedéstől az adatlopáson át a fizikai szabotázsig mindent megtehetnek. 

A kutatás első, információgyűjtő szakaszában a szakemberek több potenciális támadási vektort találtak: az otthonok automatizálásához széles körben használt Z-Wave vezeték nélküli kommunikációs protokoll támogatásában, a kezelőpanel webes felületén és a felhőinfrastruktúrában. Ez utóbbi bizonyult a leggyengébb láncszemnek. Nem volt megfelelő a hitelesítési folyamat, és távoli kódfuttatásra lehetőséget adó sebezhetőségre is fény derült. Ezek együttesen lehetővé teszik, hogy egy harmadik fél hozzáférést szerezzen az összes Fibaro Home Center Lite vezérlőegységből felhőbe feltöltött biztonsági mentéshez. Sőt arra is mód nyílhat, hogy a támadó kompromittált mentéseket töltsön le a vezérlőre. 

A kísérlet teljessé tételéhez a Kaspersky szakemberei teszttámadást hajtottak végre. Ehhez egy külön e célra fejlesztett, jelszóval védett biztonsági mentést készítettek. Ezután e-mailt és SMS-t küldtek a ház tulajdonosának, arra kérve őt, hogy frissítse a vezérlő firmware-jét. Az "áldozat" a kérésnek megfelelően letöltötte a fertőzött biztonsági mentést. Ennek köszönhetően a kutatók rendszergazdai hozzáférést szereztek az okosotthon vezérlőjéhez, és manipulálni tudták az összes ahhoz kapcsolódó eszköz működését. Hogy bizonyítsák a sikeres behatolásukat, a kutatók megváltoztatták az ébresztő által lejátszott dallamot: másnap a Kaspersky munkatársa hangos dobpergésre ébredt.

"Velünk ellentétben egy, az otthon vezérlőközpontjához hozzáféréssel rendelkező igazi támadó valószínűleg nem elégedne meg egy kis ébresztős tréfával. A kutatás rámutatott, hogy bár egyre tudatosabban kezeljük a dolgok internetének biztonságágát, még mindig maradtak megoldandó feladatok" - mondta Pável Cseremuskin, a Kaspersky ICS CERT biztonsági kutatója.