„Kaspersky“ ekspertai, tirdami išmaniųjų namų ekosistemos valdymo įrenginius, nustatė keletą kritinių pažeidžiamumų. Tai „debesies“ infrastruktūros klaidos ir galimas nuotolinio kodo įdiegimas, kuris trečiajai šaliai suteiktų prieigą prie valdiklio ir taip leistų manipuliuoti išmaniojo namo infrastruktūra. Šia informacija buvo pasidalinta su „Fibaro“ tiekėju, kuris nedelsiant sureagavo ir atnaujino savo saugumo protokolus, rašoma pranešime spaudai.
Praėjo metai nuo to laiko, kai buvo tiriamas daiktų interneto saugumas, ir kadangi daiktų interneto kraštovaizdis ir toliau plėtojasi bei vystosi, išlieka ir tokių tyrimų svarba: naujų produktų ir sprendimų dėka atsiranda nauji grėsmės vektoriai. Vienas „Kaspersky“ darbuotojas pasikvietė bendrovės ekspertus, kad šie ištirtų jo namuose įdiegtas išmaniąsias sistemas. Jis tyrėjams suteikė prieigą prie savo namo valdiklio. Valdiklį šiam tyrimui jie pasirinko todėl, kad jis sujungia ir prižiūri visas išmaniojo namo operacijas, o sėkmingas pažeidimas leistų kibernetiniams nusikaltėliams įsilaužti į visą namų ekosistemą. Taip būtų galima šnipinėti namo gyventojus ar įvykdyti vagystę.
Pirminis tyrimo etapas ekspertams atskleidė keletą galimų atakos vektorių: per „Z-Wave“ bevielio ryšio protokolą, kuris plačiai naudojamas tokio tipo namuose; per administravimo skydelio internetinę sąsają; ir per „debesies“ infrastruktūrą. Pastarasis variantas pasirodė esąs veiksmingiausias išpuolio atveju: ištirti užklausų apdorojimo metodai atskleidė leidimo proceso pažeidžiamumą ir potencialią galimybę atlikti nuotolinį kodo įdiegimą.
Taip trečioji šalis galėtų gauti prieigą prie visų atsarginių kopijų, kurios iš „Fibaro“ namų centro buvo įkeltos į „debesies“ sąsają, o tada į „debesį“ įkelti užkrėstas atsargines kopijas ir atsiųsti jas į konkretų valdiklį – nepaisant to, kad šiems veiksmas sistemoje jie neturi jokių teisių.
Norėdami užbaigti eksperimentą, „Kaspersky“ tyrėjai atliko bandomąjį įsilaužimą. Tam jie parengė konkrečią atsarginę kopiją su atskirai sukurtu dokumento originalu, kuris buvo apsaugotas slaptažodžiu. Tada įrenginio savininkui per „debesį“ jie išsiuntė elektroninį laišką ir SMS žinutę, kuriose ragino atnaujinti valdiklio programinę įrangą. „Auka“ sutiko su raginimu ir atsisiuntė užkrėstą atsarginę kopiją. Taip ekspertai įgijo išmaniojo namo valdytojo teises, kurios leidžia manipuliuoti prijungta ekosistema. Norėdami parodyti, kad jų įsilaužimas į sistemą buvo sėkmingas, tyrėjai pakeitė žadintuvo garsą – kitą dieną „Kaspersky“ darbuotoją pažadino garsi šokių muzika.
„Skirtingai nuo mūsų, tikrasis užpuolikas, turintis prieigą prie namų centro, greičiausiai neapsiribotų tik žadintuvu. Vienas pagrindinių mūsų tirto prietaiso uždavinių, tai visų išmaniųjų daiktų integravimas, kad namo savininkas galėtų juos valdyti iš vieno namų centro. Svarbu pabrėžti, kad atliktas tyrimas buvo orientuotas į aktyviai įdiegtą sistemą – anksčiau daugelis tyrimų buvo atliekami laboratorinėmis sąlygomis. Tyrimas parodė, kad, nepaisant didėjančio informuotumo apie daiktų interneto saugumą, vis dar reikia išspręsti keletą problemų. O svarbiausia, kad mūsų tiriami prietaisai yra gaminami masiškai ir diegiami veikiančiuose išmaniųjų namų sistemose. Dėkojame „Fibaro“ už jų atsakingą požiūrį, mes žinome, kad jiems itin svarbus kibernetinis saugumas. O ir mūsų kolegos namai tapo daug saugesni, nei buvo prieš šį tyrimą“, – sakė Pavel Cheremushkin, „Kaspersky ICS CERT“ saugumo ekspertas.
„Daiktų interneto infrastruktūrai reikia sudėtingos sistemos, kuri sugebėtų veikti daugeliu sluoksnių. Tai reikalauja daug įgyvendinamojo ir architektūrinio darbo. Mes vertiname „Kaspersky“ tyrimus ir pastangas. Jie padėjo pagerinti mūsų produktų ir paslaugų saugumą. Kartu pašalinome galimus pažeidžiamumus. „FIBARO“ vartotojams rekomenduojame įdiegti atnaujinimus ir siūlome visada patikrinti ar elektroniniai laiškai atitinka „FIBARO“ tinklalapio pranešimus. Atnaujinimai didina sistemos funkcionalumą, o taip pat sumažina asmeninių duomenų pasisavinimo tikimybę“, – sakė Krzysztof Banasiak, „FIBARO“ produkto vadovas.
Kad prietaisai būtų saugūs, vartotojams patariame:
- Prieš priimdami sprendimą, kurią savo gyvenimo dalį ketinate šiek tiek patobulinti, visada apsvarstykite saugumo riziką.
- Prieš įsigydami išmanųjį įrenginį, pirmiausia paieškokite informacijos apie galimus pažeidžiamumus.
- Be standartinių klaidų, kurias gausite įsigydami naujus produktus, neseniai išleisti įrenginiai gali turėti ir saugumo problemų, kurių saugumo ekspertai dar neaptiko. Todėl būtų geriausia pirkti produktus, kurie jau turi keletą programinės įrangos atnaujinimų, o ne tik ką rinkoje pasirodžiusias prekes.
- Įsitikinkite, kad visi jūsų prietaisai turi naujausius saugumo ir programinės įrangos atnaujinimus.