Túrjunk bele az okoseszközök lelki világába!

​Az internetképes eszközök biztonsági vizsgálatára számos módszer kínálkozik. Ha valaki a mélyére néz az okoseszközöknek, akkor sok meglepetés érheti.
 

Az IoT eszközök esetében komoly kihívást jelent azok sokszínűsége, és széles választéka, hiszen minden gyártó egyedi firmware-rel és architektúrával rendelkezik, miközben különböző szabványokat, megoldásokat használnak.
 
Az ESET szakemberei szerint a biztonsági tesztek iránt érdeklődök maguk is végezhetnek IoT-vizsgálatokat a saját készülékeiken. De mit is keressünk? Alapvetően bármit, ami a manipulálható.
 
Jó példa a Nitesh Dhanjani kutató által egyes okosízzók és azok vezérlői közötti kommunikációban felfedezett sebezhetőség. Ezek az eszközök vezeték nélküli protokoll (Zigbee) révén kommunikálnak egymással, és ha a támadó egy sikeres felderítő támadást hajt végre, akkor kielemezheti, megértheti a vezérlő és az izzó között zajló adatforgalmat. Ennek ismeretében pedig manipulálhatja, támadhatja a kommunikációt, és távolról átveheti az uralmat az eszköz felett. A gyártó a hibát már kijavította, de az eset azért sok tanulsággal szolgált.
 
Rengeteg további példa létezik ilyen jellegű biztonsági rendellenességekre, beleértve játékokat, IP kamerákat, okosórákat, hőfokszabályzókat is. Számos okoseszköz esetében léteznek ismert sebezhetőségek, ráadásul sok esetben hiányoznak az erős biztonsági megoldások, amelyek távol tarthatnák a támadókat. Gyakran nincs megbízható hitelesítés, nem titkosított az adatforgalom, illetve sok esetben egyáltalán nem is léteznek hibajavító frissítések.
 
Ha rendelkezünk okoseszközökkel az otthonunkban, akkor saját magunk is végezhetünk biztonsági teszteket, amelynek első lépése a lehetséges támadási felületek feltérképezése. Ezután következhet a sérülékenységek keresése, és annak kielemzése, hogy az adatok egy potenciális támadás során hogyan válhatnak hozzáférhetővé, illetve manipulálhatóvá. Az ESET szakemberei az IoT eszközök vizsgálatának elvégzéséhez az AttfyOS operációs rendszert ajánlják.
Vélemények
 
  1. 3

    A VMware 3D-gyorsítás funkciója kapcsán egy biztonsági hibát kell megszüntetni.

  2. 3

    A Wireshark legújabb biztonsági frissítésével három sebezhetőséget lehet megszüntetni.

  3. 1

    A CoinMiner trójai kriptopénz bányászatba vonja be a linuxos számítógépeket.

 
Partnerhírek
Adat szivároghat a jelkóddal lezárt iPhone-okból

Az Apple új verziójú mobil operációs rendszerében akkor is hozzá lehet férni egyes adatokhoz, ha egyébként a telefont jelkóddal lezárták.

​Az ESET új nagyvállalati portfóliója

Az ESET idén is támogatóként jelent meg Magyarország egyik legnagyobb szabású IT biztonsági rendezvényén, az ITBN 2018. konferencián.

hirdetés
Közösség
1