piątek, 22 listopada, 2024

Nasze serwisy:

Więcej

    Kaspersky pomaga wyeliminować krytyczne luki

    Zobacz również

    Badacze z firmy Kaspersky analizujący urządzenie sterujące aktywnym ekosystemem inteligentnego domu zidentyfikowali kilka krytycznych luk w zabezpieczeniach.
    Obejmowały one błędy w infrastrukturze chmury oraz możliwość zdalnego wykonania kodu, dzięki czemu osoba z zewnątrz mogłaby uzyskać dostęp na poziomie administratora do kontrolera oraz w dowolny sposób manipulować infrastrukturą inteligentnego domu. O wynikach badania poinformowano producenta, firmę FIBARO,

    - Reklama -

    który natychmiast zareagował, aktualizując protokoły bezpieczeństwa.

    Krajobraz Internetu Rzeczy nieustannie rozszerza się i ewoluuje – wraz z nowymi produktami i rozwiązaniami pojawiają się nowe rodzaje zagrożeń, podważając bezpieczeństwo użytkowników. Jeden z pracowników firmy Kaspersky rzucił wyzwanie swoim kolegom badaczom polegające na ocenie inteligentnego systemu w jego własnym domu. W tym celu udzielił badaczom dostęp do kontrolera swojego mieszkania. Urządzenie to łączy urządzenia i nadzoruje operacje, a złamanie jego zabezpieczeń oznaczałoby dla cyberprzestępcy możliwość ingerencji w cały ekosystem w celu przeprowadzenia różnych działań, od szpiegostwa oraz kradzieży po fizyczny sabotaż.

    Wstępny etap badania obejmujący zbieranie danych naprowadził ekspertów na kilka potencjalnych wektorów ataków: za pośrednictwem bezprzewodowego protokołu komunikacyjnego Z-Wave powszechnie wykorzystywanego w automatyce domowej; za pośrednictwem interfejsu online panelu administracyjnego; oraz za pośrednictwem infrastruktury chmury. Ten ostatni okazał się najbardziej skuteczny, jeśli chodzi o przeprowadzanie ataków: analiza metod przetwarzania żądań pochodzących z urządzenia ujawniła słaby punkt w procesie autoryzacji oraz możliwość zdalnego wykonania kodu.

    W połączeniu, luki te mogłyby pozwolić osobie z zewnątrz uzyskać dostęp do wszystkich kopii zapasowych przesyłanych do chmury ze wszystkich centrów domowych FIBARO w wersji lite oraz przesłać zainfekowane kopie zapasowe do chmury, a następnie pobrać je do konkretnego kontrolera – mimo braku posiadania przywilejów w systemie.

    W ramach eksperymentu eksperci z firmy Kaspersky przeprowadzili atak testowy na kontroler. W tym celu przygotowali określoną kopię zapasową zabezpieczoną za pomocą hasła. Następnie wysłali za pośrednictwem chmury wiadomość e-mail oraz SMS do właściciela urządzenia, zalecając mu aktualizację oprogramowania układowego kontrolera. „Ofiara” wyraziła zgodę i pobrała zainfekowaną kopię zapasową. To pozwoliło badaczom uzyskać przywileje administratora kontrolera inteligentnego domu, a tym samym manipulować ekosystemem połączonych urządzeń. Jako dowód skutecznego włamania się do systemu badacze zmienili dźwięk budzika – następnego dnia pracownika firmy Kaspersky obudziła głośna muzyka drum’n’bass.

    – W przeciwieństwie do nas prawdziwy cyberprzestępca, który uzyskałby dostęp do centrum domowego, z pewnością nie poprzestałby na żarcie z budzikiem. Jednym z głównych zadań badanego przez nas urządzenia jest integrowanie wszystkich „inteligentnych rzeczy”, aby właściciel domu mógł zarządzać nimi z jednego centrum domowego. Istotnym szczegółem jest to, że przedmiotem naszej oceny był system działający w realnych warunkach – wcześniej większość badań przeprowadzano w warunkach laboratoryjnych. Badanie wykazało, że mimo rosnącej świadomości w zakresie bezpieczeństwa Internetu Rzeczy nadal istnieją kwestie, na które należy zwrócić uwagę. Co ważniejsze, badane przez nas urządzenia są produkowane na skalę masową i stosowane w aktywnych sieciach inteligentnych domów. Dziękujemy znanej na całym świecie firmie FIBARO za jej odpowiedzialne podejście do sprawy – wiemy, że kładzie nacisk na cyberbezpieczeństwo – oraz za uczynienie domu naszego kolegi znacznie bezpieczniejszym, niż był przed badaniem — powiedział Paweł Czeremuszkin, badacz ds. cyberbezpieczeństwa, Kaspersky ICS CERT.

    Infrastruktura IoT wymaga skomplikowanego systemu, który działa płynnie na wielu poziomach. Wiąże się z ogromną pracą w zakresie implementacji i architektury. Doceniamy badanie i starania firmy Kaspersky. Pomagają nam pracować nad bezpieczeństwem naszych produktów i usług. Wspólnie zdołaliśmy wyeliminować potencjalne słabe punkty. Użytkownikom naszych produktów zalecamy instalowanie aktualizacji oraz sprawdzanie, czy otrzymywane e-maile pokrywają się z komunikatami zamieszczanymi na stronie internetowej FIBARO. Aktualizacje udoskonalają funkcjonalność systemu oraz utrudniają hakerom kradzież prywatnych danych — powiedział Krzysztof Banasiak, dyrektor ds. produktów, FIBARO.

    Porady bezpieczeństwa
    Eksperci z Kaspersky Lab przygotowali kilka porad pozwalających użytkownikom zabezpieczyć ich urządzenia:

    • Zastanawiając się nad tym, jaki obszar swojego życia uczynić nieco bardziej „inteligentnym”, weź pod uwagę zagrożenia dla bezpieczeństwa.
    • Zanim kupisz urządzenie Internetu Rzeczy, poszukaj informacji na temat luk w zabezpieczeniach.
    • Oprócz standardowych błędów, jakie możesz napotkać w nowych produktach, wprowadzone niedawno na rynek urządzenia mogą posiadać luki w zabezpieczeniach, które nie zostały jeszcze wykryte przez badaczy bezpieczeństwa. Z tego względu lepiej kupować produkty, dla których udostępniono już kilka aktualizacji oprogramowania, niż takie, które dopiero pojawiły się na rynku.
    • Dopilnuj, aby wszystkie Twoje urządzenia były aktualne, stosując wszystkie najnowsze aktualizacje bezpieczeństwa oraz oprogramowania układowego (tzw. firmware).
    • Zacznij korzystać ze skutecznego rozwiązania bezpieczeństwa, które chroni konto online użytkownika oraz domowe sieci Wi-Fi, gwarantując, że prywatna sieć pozostanie prywatną.
    ŹródłoKaspersky Lab
    guest
    0 komentarzy
    najnowszy
    najstarszy oceniany
    Inline Feedbacks
    View all comments
    - Reklama -

    Najnowsze

    OPPO Find X8 Pro debiutuje w Europie, a wraz z nim ColorOS 15

    OPPO oficjalnie zaprezentowało najnowsze modele z flagowej serii Find – OPPO Find X8 oraz OPPO Find X8 Pro. Model...