Kiszervezett informatikai biztonság A Microsoft 38 terabájtnyi szenzitív adatot szivárogtatott ki egy rosszul konfigurált Azure tárolóval CVSS: Common Vulnerability Scoring System Sérülékenységvizsgálat, penetrációs teszt és red teaming jellemzői Session Hijacking sérülékenység javítása, megelőzése Kövessen Minket LinkedInen is!

Hackertámadás fenyeget legalább 160 magyar okosotthont

Okosotthon rendszerekkel sokáig csak a tudományos-fantasztikus filmekben találkozhattunk, de legyen bármennyire is meglepő, lassan a mindennapjaink természetes részévé válnak. A technológia már kereskedelmi forgalomban van, ráadásul egyre népszerűbb és olcsóbb. Csakhogy sokan nincsenek tisztában a bennük rejlő kockázatokkal és a gyártók sem lobogtatják a sérülékenységvizsgálatok bizalomra okot adó eredményeit.

Bár a felhasználók többsége megelégszik a Google és a Bing keresési képességeivel, léteznek olyan (szakembereknek szánt) keresőszolgáltatások is, amik hálózati eszközöket, számítógépeket és szervereket képesek megtalálni az interneten. A használható keresési paraméterek ugyan mélyebb szakmai ismereteket igényelnek, de segítségükkel akár a gyengén védett eszközök is beazonosíthatóak.

Ilyen hálózati keresőkkel kutattuk fel azokat a magyar okosotthonokat is, amik kényelmi szolgáltatásként webes kezelőfelületet is biztosítanak tulajdonosaik számára. Ezzel persze még nem is lenne probléma, ha kellően védett rendszerekről lenne szó, viszont a gyakorlatban azt tapasztaltuk, hogy a magyar okosotthonok túlnyomó többségén elavult, nem-frissített, tehát számos sebből vérző vezérlőszoftver fut, a régi verziók nem védettek a jogosulatlan hozzáférés ellen és titkosítás nélkül kommunikálnak a publikus interneten. – Érdemes hozzátenni, hogy a hasonló problémákkal kűzdő routerek száma Magyarországon 10 ezres nagyságrendű.

Megjegyzés: Vizsgálataink során nem hajtottunk végre jogosulatlan, törvénybe ütköző tevékenységet. Az itt bemutatott okosotthon rendszereken semmilyen behatolástesztet (penetrációs teszt) nem végeztünk.

Loxone Smart Home mobile app

Fibaro System Home Center

Az alkalmazott megoldásokkal ezen sorok írásakor mindjárt 5 probléma is beazonosítható:

  1. A vezérlőszoftverek elavultak, több ismert sebezhetőségben szenvednek, amiket a támadók kihasználhatnak
  2. Az elavult szoftververziókból számos biztonsági funkció hiányzik (kétfaktoros hitelesítés, elrontott próbálkozások utáni IP-letiltás), amik csak későbbi verziókban kerültek megépítésre – ha egyáltalán bekerültek
  3. A felhasználók nem kapják meg automatikusan az új, javított szoftververziókat, a felhasználók pedig nem végzik el manuálisan a frissítést
  4. Nincs gyártó által üzemeltetett és védett, központi szerverről elérhető kezelőfelület – a felületek a kitelepített okosotthon rendszerekről érhetőek el egyenként
  5. A vezérlőszoftverek nyílt (nem-titkosított), lehallgatható és manipulálható csatornán kommunikálnak a felhasználókkal

Loxone Smart Home System

A beazonosított szoftververziók között a 2015-ös és 2016-os verziók mellett számottevő mennyiségben voltak 2017 végén (pl.: Loxone Smart Home 9.1.1 2017.11.14) kiadott verziók is – valószínűleg karácsonyi ajándékok voltak. Mivel a gyártók nem adnak ki verziószám-változást nem-igénylő javítófoltokat, ez azt jelenti, hogy a verzió kiadása óta felfedezett sérülékenységekben jó eséllyel az adott verzió is érintett.

Loxone Web versions

Viszont bármennyire tűnik a 2017-es karácsony közelmúltnak, azóta a termékek már jó néhány javításon és verziókiadáson estek át, tehát a felhasználóknál futó rendszerek szoftverei messze nem naprakészek frissítések szempontjából. Egyértelmű, hogy a felhasználók nem szívesen piszkálják a rendszereket, így ha a gyártó nem cselekszik, ezek a lakások és házak közvetlen veszélynek lesznek kitéve a távoli, akár más földrészen élő támadók által – ahogyan jelenleg is ki vannak téve:

Loxone clear text network communication

További probléma, hogy ezek a publikus hálózati interfésszel rendelkező rendszerek jellemzően titkosítatlan HTTP-csatornán kommunikálnak a webböngészővel és a mobilalkalmazással, így egy rosszindulatú támadó lehetőséget szerezhet úgynevezett man-in-the-middle közbeékelődéses támadásra, amely során nemcsak lehallgathatja a felhasználó és az okosotthon között folyó hálózati kommunikációt, de akár manipulálhatja is azt.

Magyar smart home eszközök

Magyar smart home eszközök

Számosságot tekintve a Makay.net 160 darab olyan okosotthont azonosított Magyarországon, aminek távoli menedzsmentfelülete publikusan kint lóg az interneten és csak arra vár, hogy „feltörjék”. Persze ennél magasabb is lehet a szám, viszont ezek az otthonok tényleges veszélynek vannak kitéve azáltal, hogy a hálózati keresők is feltüntetik őket találatként.

Hogyan tehetők biztonságossá az okosotthon rendszerek?

Mindenképpen le kell szögeznünk, hogy mi elsősorban informatikai oldalról vizsgáljuk a kérdést, azon belül is felhasználói és gyártói nézőpontból.

Felhasználók: Tekintettel arra, hogy a tapasztalataink szerint a rendszereket nem frissítik automatikusan, hasznos lehet felvenni a kapcsolatot a gyártóval, hogy valamilyen garanciát vállaljanak a frissítések 3 hónapon belüli telepítésére, vagy figyelmeztetéseket kérni az új szoftververziókra és azok manuális telepítésére vonatkozóan. Ha pedig olyan rendszert használunk, aminek webes/appos kiszolgálója magából az okosotthonból érhető el, ajánlott legalább egy webalkalmazás-tűzfal beszerzése.

Gyártók: Az okosotthon rendszerek gyártóinak felhőalapú, erős védelmi technológiákkal körülbástyázott, kétfaktoros hitelesítést is megkövetelő konfigurációs interfészeket kellene biztosítaniuk a felhasználók számára, hogy a felhasználóknál üzemelő kiszolgálóról ne lehessen megmondani, pontosan milyen célt szolgál, így azt sem, hogyan lehet megtámadni. Továbbá a frissítések kezelését sem bíznánk a felhasználókra, hiszen a felhasználókra biztonsági, a gyártók számára pedig üzleti kockázatot (is) jelentenek a javítatlan sérülékenységek.


A cikk másodközlése kizárólag kattintható forrásmegjelöléssel engedélyezett!

További cikkek
Megosztás