Ekspres do kawy i elektroniczna niania - narzędzia w rękach cyberprzestępcy

Przeczytaj także: Nadchodzi internet rzeczy. Cyberprzestępcy zacierają ręce

W 2014 r. David Jacoby, ekspert ds. bezpieczeństwa IT z Kaspersky Lab, rozejrzał się po swoim salonie i postanowił zbadać, w jakim zakresie posiadane przez niego urządzenia są podatne na cyberataki. Okazało się, że niemal wszystkie zawierają luki. Następnie, w 2015 r., zespół ekspertów z Kaspersky Lab ds. zwalczania szkodliwego oprogramowania powtórzył eksperyment z jedną małą różnicą: o ile działania przeprowadzone przez Davida Jacoby’ego koncentrowały się głównie na serwerach podpiętych do sieci, routerach i telewizorach Smart TV, w najnowszym badaniu przyjrzano się różnym urządzeniom dostępnym na rynku inteligentnych urządzeń domowych.

Do eksperymentu wybrano następujący sprzęt: urządzenie USB do strumieniowania multimediów, sterowana przy użyciu smartfona kamera IP, kontrolowany smartfonem ekspres do kawy oraz obsługiwany w ten sam sposób system bezpieczeństwa domu. W trakcie badania wykryto, że niemal wszystkie te urządzenia zawierały luki lub inne problemy związane z bezpieczeństwem.

Zbadana w eksperymencie elektroniczna niania z możliwością podglądu obrazu pozwalała atakującemu, który korzysta z tej samej sieci co właściciel sprzętu, połączyć się z kamerą, oglądać zarejestrowane przez nią nagrania jak również włączyć rejestrowanie dźwięku. Inne kamery tego samego producenta umożliwiały przestępcom uzyskanie haseł właściciela. Eksperyment pokazał także, że atakujący znajdujący się w tej samej sieci mógł uzyskać hasło umożliwiające dostęp do kamery z przywilejami administratora i zmodyfikować oprogramowanie systemowe (tzw. firmware) urządzenia, dostosowując je do własnych, szkodliwych celów.

W przypadku sterowanych aplikacją ekspresów do kawy, przestępca nie musi nawet korzystać z tej samej sieci co ofiara. Zbadany podczas eksperymentu ekspres wysyłał wystarczająco dużo niezaszyfrowanych informacji, aby atakujący mógł odkryć hasło do sieci Wi-Fi właściciela ekspresu.

Przyglądając się sterowanemu smartfonem systemowi bezpieczeństwa domu, badacze z Kaspersky Lab stwierdzili, że oprogramowanie systemu posiada tylko nieznaczne problemy dotyczące bezpieczeństwa i potrafi oprzeć się cyberatakowi. Znaleziono jednak lukę w jednym z wykorzystywanych przez system czujników.

Działanie czujnika stykowego, który ma za zadanie uruchomić alarm w momencie otwarcia drzwi lub okna, polega na wykrywaniu pola magnetycznego emitowanego przez magnes zamocowany na drzwiach lub w oknie. Gdy drzwi lub okno zostają otwarte, pole magnetyczne znika, a czujnik wysyła do systemu komunikaty alarmowe. Jeśli jednak pole magnetyczne pozostanie, żaden alarm nie zostanie aktywowany.

Podczas eksperymentu z systemem bezpieczeństwa domu eksperci z Kaspersky Lab wykorzystali prosty magnes, aby zastąpić pole magnetyczne wytwarzane przez czujnik na oknie. Dzięki temu mogli otwierać i zamykać okno bez uruchamiania alarmu. Poważny problem dotyczący tej luki polega na tym, że nie da się go naprawić przy pomocy aktualizacji oprogramowania – problem tkwi w samym projekcie systemu bezpieczeństwa. O wiele bardziej niepokojące jest to, że urządzenia oparte na czujnikach pola magnetycznego są szeroko rozpowszechnione i wykorzystywane przez wiele dostępnych rozwiązań alarmowych.

„Nasz eksperyment wykazał – co jest pocieszające – że producenci biorą pod uwagę kwestie cyberbezpieczeństwa podczas projektowania urządzeń z kategorii Internetu Rzeczy. Mimo to, każde połączone z siecią, sterowane przy użyciu aplikacji urządzenie prawie na pewno będzie posiadało co najmniej jeden problem związany z bezpieczeństwem. Przestępcy mogą wykorzystać kilka takich luk jednocześnie, dlatego tak ważne jest, aby producenci łatali wszystkie dziury – nawet te, które nie są krytyczne. Takie luki powinny zostać usunięte, zanim produkt trafi na rynek, ponieważ znacznie trudniej jest naprawić problem, kiedy urządzenie zostało już sprzedane tysiącom klientów” – powiedział Wiktor Aljuszyn, badacz ds. bezpieczeństwa, Kaspersky Lab.