Jak analityk bezpieczeństwa zhackował swój salon

28-08-2014, 15:32

W ciągu niecałych 20 minut znalazłem i potwierdziłem niezwykle poważne luki w zabezpieczeniach urządzenia, które wyglądało na bezpieczne, a nawet nawiązywało do bezpieczeństwa swoją nazwą - napisał David Jacoby z Kaspersky Lab w podsumowaniu eksperymentu, który przeprowadził, sprawdzając domowy sprzęt multimedialny pod kątem cyberzagrożeń. Wadliwie zabezpieczonych urządzeń znalazł zresztą więcej.

Salon z nowoczesnym sprzętem multimedialnym, fot. shutterstock.com
Salon z nowoczesnym sprzętem multimedialnym, fot. shutterstock.com

Słabe hasła i manipulowanie plikami

Najpoważniejsze luki w zabezpieczeniach zostały zidentyfikowane w urządzeniach magazynujących podłączonych do sieci (NAS). Kilka z nich pozwala atakującemu na zdalne wykonanie poleceń systemowych z najwyższymi przywilejami administracyjnymi. Testowany sprzęt miał także słabe hasła domyślne, a wiele plików konfiguracyjnych posiadało niewłaściwe uprawnienia i zawierało hasła zapisane czystym tekstem (bez żadnego szyfrowania). Na przykład domyślne hasło administratora w jednym z dwóch przebadanych urządzeń składało się z zaledwie jednej cyfry. Z kolei drugie urządzenie udostępniało cały plik konfiguracyjny z hasłami wszystkim użytkownikom w sieci.

Wykorzystując inną lukę, badacz zdołał bez trudu umieścił plik w obszarze pamięci urządzenia niedostępnym do zapisu dla standardowych użytkowników. Gdyby ten plik okazał się szkodliwy, NAS mógłby stać się źródłem infekcji innych podłączonych do niego urządzeń, np. komputerów domowych lub biurowych. Odpowiednio spreparowany plik mógłby nawet przyłączyć domowy NAS do botnetu, wspomagając tym samym rozsyłanie spamu lub przeprowadzanie ataków DDoS. Co więcej, luka umożliwiła umieszczenie obiektu w specjalnym obszarze systemu plików urządzenia, zatem jedynym sposobem usunięcia go było wykorzystanie tej samej podatności. Nie jest to proste zadanie nawet dla specjalisty, nie mówiąc już o osobie, która po prostu użytkuje sprzęt multimedialny w swoim domu.

Atak za pośrednictwem smart TV

Analizując poziom bezpieczeństwa własnego telewizora, David Jacoby odkrył, że w komunikacji między odbiornikiem a serwerami jego producenta nie jest wykorzystywane żadne szyfrowanie. To potencjalnie otwiera furtkę atakom typu man-in-the-middle, w wyniku których użytkownik, próbując kupić treści za pośrednictwem smart TV, mógłby – na przykład – przesłać pieniądze do oszustów. W ramach eksperymentu badacz zdołał podmienić ikonę interfejsu telewizora na zdjęcie. Widgety i miniaturki są zwykle pobierane z serwerów producenta telewizora, dlatego brak połączenia szyfrowanego może spowodować, że informacje zostaną zmodyfikowane przez osobę trzecią.

Badacz odkrył również, że smart TV potrafi wykonać kod Javy, co w połączeniu z możliwością przechwytywania ruchu pomiędzy telewizorem a internetem może przyczynić się do szkodliwych ataków wykorzystujących exploity, czyli szkodliwe programy infekujące za pośrednictwem luk w zabezpieczeniach.

Ukryte funkcje szpiegujące routera

Router DSL wykorzystywany w celu zapewniania dostępu do internetu bezprzewodowego wszystkim urządzeniom domowym zawierał kilka niebezpiecznych funkcji ukrytych przed swoim właścicielem. Według badacza niektóre z tych „tajnych” funkcji mogłyby potencjalnie zapewnić dostawcy usług internetowych zdalny dostęp do dowolnego urządzenia w sieci prywatnej.

Co ważniejsze, wyniki badania pokazały, że niektóre sekcje interfejsu sieciowego routera (takie jak Web CamerasTelephony Expert Configure, Access Control, WAN-Sensing oraz Update) standardowo nie mogą być przeglądane i modyfikowane przez właściciela sprzętu. Dostęp do nich można uzyskać jedynie poprzez wykorzystanie luki w zabezpieczeniach, która pozwala na przechodzenie pomiędzy różnymi sekcjami interfejsu (w rzeczywistości są to strony WWW, z których każda posiada własny adres alfanumeryczny) poprzez złamanie liczb na końcu adresu za pomocą ataku siłowego (brute force).

Pierwotnie funkcje te zostały wprowadzone dla wygody właściciela urządzenia i pracowników pomocy technicznej. Na przykład funkcja szybkiego dostępu sprawia, że dostawca usług internetowych może łatwo rozwiązać potencjalne problemy techniczne dotyczące urządzenia. Jednak wygoda może zmienić się w niebezpieczeństwo, jeśli dostęp do urządzenia uzyska niepowołana osoba.

Jak pozostać bezpiecznym w świecie urządzeń połączonych z internetem

Producenci urządzeń objętych badaniem zostali już poinformowani o istnieniu podatności. David Jacoby zdecydował się nie ujawniać szczegółów wykrytych luk do momentu opublikowania stosownych łat bezpieczeństwa.

- Jakie wyniki dałoby podobne badanie, gdyby zostało przeprowadzone na znacznie szerszą skalę niż mój salon? To tylko jedno z wielu pytań, na które producenci urządzeń, branża bezpieczeństwa oraz użytkownicy muszą wspólnie znaleźć odpowiedź w najbliższej przyszłości - napisał autor badania. Wydaje się, że w XXI wieku hackować można dosłownie wszystko, z żarówkami i toaletami włącznie, co producenci urządzeń nierzadko ignorują.

- Inne ważne pytanie dotyczy cyklu życia urządzeń. Jak dowiedziałem się z rozmów z producentami, niektórzy z nich nie będą rozwijali łat bezpieczeństwa dla podatnego na ataki urządzenia, gdy jego cykl życia dobiegnie końca. Cykl ten wynosi zwykle rok lub dwa lata, podczas gdy urządzenia - na przykład takie jak NAS-y - funkcjonują w domach i biurach znacznie dłużej - czytamy w raporcie z badania, który jest dostępny w serwisie SecureList w języku angielskim oraz rosyjskim.

Co w takiej sytuacji można zrobić? Oto kilka rad, które każdy może zastosować w swoim domu:

  • Utrudnij życie potencjalnym atakującym: stosuj wszystkie najnowsze aktualizacje bezpieczeństwa i instaluj uaktualnienia oprogramowania (tzw. firmware) dla wszystkich swoich urządzeń. W ten sposób zminimalizujesz ryzyko ataków wykorzystujących znane luki w zabezpieczeniach.
  • Koniecznie zmień domyślną nazwę użytkownika i hasło wszędzie tam, gdzie wymagane jest logowanie – jest to pierwsza rzecz, którą wykorzysta osoba próbująca zaatakować Twoje urządzenie.
  • Większość routerów domowych oferuje opcję konfiguracji własnej sieci dla każdego urządzenia oraz ograniczenia dostępu do urządzenia – przy pomocy kilku różnych stref zdemilitaryzowanych (DMZ), czyli oddzielnych segmentów sieci dla systemów charakteryzujących się większym ryzykiem włamania. Na przykład, jeśli posiadasz telewizor smart TV, możesz ograniczyć jego dostępność i pozwolić, aby on sam miał dostęp jedynie do określonego zasobu w Twojej sieci. Nie ma potrzeby, by wszystkie urządzenia miały dostęp do całej sieci domowej.

Czytaj także: Polacy w czołówce społeczeństw najbardziej świadomych zagrożeń w internecie


Źródło: Kaspersky Lab
Przepisy na coś słodkiego z kremem Nutella
  
znajdź w serwisie

RSS  

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy