Hackertámadás fenyeget legalább 160 magyar okosotthont

Okosotthon rendszerekkel sokáig csak a tudományos-fantasztikus filmekben találkozhattunk, de legyen bármennyire is meglepő, lassan a mindennapjaink természetes részévé válnak. A technológia már kereskedelmi forgalomban van, ráadásul egyre népszerűbb és olcsóbb. Csakhogy sokan nincsenek tisztában a bennük rejlő kockázatokkal és a gyártók sem lobogtatják a sérülékenységvizsgálatok bizalomra okot adó eredményeit.

Bár a felhasználók többsége megelégszik a Google és a Bing keresési képességeivel, léteznek olyan (szakembereknek szánt) keresőszolgáltatások is, amik hálózati eszközöket, számítógépeket és szervereket képesek megtalálni az interneten. A használható keresési paraméterek ugyan mélyebb szakmai ismereteket igényelnek, de segítségükkel akár a gyengén védett eszközök is beazonosíthatóak.

Ilyen hálózati keresőkkel kutattuk fel azokat a magyar okosotthonokat is, amik kényelmi szolgáltatásként webes kezelőfelületet is biztosítanak tulajdonosaik számára. Ezzel persze még nem is lenne probléma, ha kellően védett rendszerekről lenne szó, viszont a gyakorlatban azt tapasztaltuk, hogy a magyar okosotthonok túlnyomó többségén elavult, nem-frissített, tehát számos sebből vérző vezérlőszoftver fut, a régi verziók nem védettek a jogosulatlan hozzáférés ellen és titkosítás nélkül kommunikálnak a publikus interneten. – Érdemes hozzátenni, hogy a hasonló problémákkal kűzdő routerek száma Magyarországon 10 ezres nagyságrendű.

Megjegyzés: Vizsgálataink során nem hajtottunk végre jogosulatlan, törvénybe ütköző tevékenységet. Az itt bemutatott okosotthon rendszereken semmilyen behatolástesztet (penetrációs teszt) nem végeztünk.

A Loxone Smart Home rendszer mobil appja

A Fibaro Home Center webes kezelőfelülete

Az alkalmazott megoldásokkal ezen sorok írásakor mindjárt 5 probléma is beazonosítható:

1. A vezérlőszoftverek elavultak, több ismert sebezhetőségben szenvednek, amiket a támadók kihasználhatnak
2. Az elavult szoftververziókból számos biztonsági funkció hiányzik (kétfaktoros hitelesítés, elrontott próbálkozások utáni IP-letiltás), amik csak későbbi verziókban kerültek megépítésre – ha egyáltalán bekerültek
3. A felhasználók nem kapják meg automatikusan az új, javított szoftververziókat, a felhasználók pedig nem végzik el manuálisan a frissítést
4. Nincs gyártó által üzemeltetett és védett, központi szerverről elérhető kezelőfelület – a felületek a kitelepített okosotthon rendszerekről érhetőek el egyenként
5. A vezérlőszoftverek nyílt (nem-titkosított), lehallgatható és manipulálható csatornán kommunikálnak a felhasználókkal

2015-ös verzió (felül) – Friss verzió (alul)

A beazonosított szoftververziók között a 2015-ös és 2016-os verziók mellett számottevő mennyiségben voltak 2017 végén (pl.: Loxone Smart Home 9.1.1 2017.11.14) kiadott verziók is – valószínűleg karácsonyi ajándékok voltak. Mivel a gyártók nem adnak ki verziószám-változást nem-igénylő javítófoltokat, ez azt jelenti, hogy a verzió kiadása óta felfedezett sérülékenységekben jó eséllyel az adott verzió is érintett.

A felületen és a motorházban is rengeteg a változás

Viszont bármennyire tűnik a 2017-es karácsony közelmúltnak, azóta a termékek már jó néhány javításon és verziókiadáson estek át, tehát a felhasználóknál futó rendszerek szoftverei messze nem naprakészek frissítések szempontjából. Egyértelmű, hogy a felhasználók nem szívesen piszkálják a rendszereket, így ha a gyártó nem cselekszik, ezek a lakások és házak közvetlen veszélynek lesznek kitéve a távoli, akár más földrészen élő támadók által – ahogyan jelenleg is ki vannak téve:

• Kapcsolgathajták a világítást
• Szabályozhatják a fűtést
• Nyithatják a garázskaput
• Kikapcsolhatják a riasztót
• Kizárhatják a felhasználókat a rendszerből
• Mindent beállíthatnak, amire a rendszer képes

A titkosítatlan kommunikációból számos részlet kiderül

További probléma, hogy ezek a publikus hálózati interfésszel rendelkező rendszerek jellemzően titkosítatlan HTTP-csatornán kommunikálnak a webböngészővel és a mobilalkalmazással, így egy rosszindulatú támadó lehetőséget szerezhet úgynevezett man-in-the-middle közbeékelődéses támadásra, amely során nemcsak lehallgathatja a felhasználó és az okosotthon között folyó hálózati kommunikációt, de akár manipulálhatja is azt.

Városok szerinti eloszlás számokban

Városok szerinti eloszlás térképen

Számosságot tekintve a Makay.net 160 darab olyan okosotthont azonosított Magyarországon, aminek távoli menedzsmentfelülete publikusan kint lóg az interneten és csak arra vár, hogy „feltörjék”. Persze ennél magasabb is lehet a szám, viszont ezek az otthonok tényleges veszélynek vannak kitéve azáltal, hogy a hálózati keresők is feltüntetik őket találatként.

Hogyan tehetők biztonságossá az okosotthon rendszerek?

Mindenképpen le kell szögeznünk, hogy mi elsősorban informatikai oldalról vizsgáljuk a kérdést, azon belül is felhasználói és gyártói nézőpontból.

Felhasználók: Tekintettel arra, hogy a tapasztalataink szerint a rendszereket nem frissítik automatikusan, hasznos lehet felvenni a kapcsolatot a gyártóval, hogy valamilyen garanciát vállaljanak a frissítések 3 hónapon belüli telepítésére, vagy figyelmeztetéseket kérni az új szoftververziókra és azok manuális telepítésére vonatkozóan. Ha pedig olyan rendszert használunk, aminek webes/appos kiszolgálója magából az okosotthonból érhető el, ajánlott legalább egy webalkalmazás-tűzfal beszerzése.

Gyártók: Az okosotthon rendszerek gyártóinak felhőalapú, erős védelmi technológiákkal körülbástyázott, kétfaktoros hitelesítést is megkövetelő konfigurációs interfészeket kellene biztosítaniuk a felhasználók számára, hogy a felhasználóknál üzemelő kiszolgálóról ne lehessen megmondani, pontosan milyen célt szolgál, így azt sem, hogyan lehet megtámadni. Továbbá a frissítések kezelését sem bíznánk a felhasználókra, hiszen a felhasználókra biztonsági, a gyártók számára pedig üzleti kockázatot (is) jelentenek a javítatlan sérülékenységek.