"Kaspersky" palīdz novērst bīstamas viedmājokļa vadības ierīces ievainojamības

2019. gada 8. jūlijā
"Kaspersky" pētnieki, kas izmeklēja aktīvas viedmājokļa ekosistēmas vadības ierīci, ir konstatējuši vairākas bīstamas ievainojamības. To vidū ir mākoņa infrastruktūras kļūdas un iespējama attāla koda izpilde, kas ļautu trešai personai saņemt galvenā lietotāja piekļuvi vadības ierīcei un rīkoties ar viedmājokļa infrastruktūru pēc saviem ieskatiem. Par šiem atradumiem tika informēts piegādātājs "Fibaro", kas tos nekavējoties novērsa un atjaunināja drošības protokolus.

Lietu interneta drošība tiek pētīta jau daudzus gadus. Tā kā lietu interneta vide turpina paplašināties un attīstīties, joprojām ir svarīgi veikt šādus pētījumus, jo līdz ar jauniem ražojumiem un risinājumiem parādās jauni apdraudējumu aspekti, kas pakļauj briesmām lietotājus. Kāds „Kaspersky” darbinieks uzaicināja uzņēmuma ekspertus pārbaudīt savās mājās izvietoto viedsistēmu. Viņš piešķīra pētniekiem piekļuvi sava viedmājokļa vadības ierīcei. Vadības ierīce tika izvēlēta tāpēc, ka tā savieno un uzrauga visas darbības viedmājoklī un sekmīga ielaušanās tajā ļautu kiberuzbrucējam iekļūt visā mājokļa ekosistēmā jebkādā nolūkā, sākot no spiegošanas un zādzības līdz fiziskai kaitniecībai.

Pētījuma sākotnējā, informācijas vākšanas, posmā pētnieki noskaidroja vairākus varbūtējos uzbrukuma virzienus: izmantojot bezvadu sakaru protokolu „Z-Wave”, kas tiek plaši lietots mājokļu automatizācijā; izmantojot administrēšanas paneļa tīmekļa saskarni un izmantojot mākoņa infrastruktūru. Tieši pēdējais virziens izrādījās visefektīvākais uzbrukuma veikšanai: ierīces pieprasījumu apstrādei izmantoto metožu pārbaude atklāja ievainojamību autorizācijas procesā un iespēju attāli izpildīt kodu.

Kopā tas ļautu trešai personai piekļūt visām rezerves kopijām, kas ir augšupielādētas mākonī no visām „Fibaro” ierīcēm „Home Center Lite”, augšupielādēt inficētas rezerves kopijas mākonī un pēc tam lejupielādēt noteiktā vadības ierīcē pat bez tiesībām sistēmā.

Lai eksperiments būtu pilnīgs, „Kaspersky” eksperti veica izmēģinājuma uzbrukumu vadības ierīcei. Lai to veiktu, viņi sagatavoja īpašu rezerves kopiju ar atsevišķi izstrādātu skriptu, kas aizsargāts ar paroli. Pēc tam, izmantojot mākoni, viņi nosūtīja ierīces īpašniekam e-vēstuli un īsziņu ar aicinājumu atjaunināt vadības ierīces aparātprogrammatūru. Atbilstīgi lūgumam „upuris” piekrita un lejupielādēja inficēto rezerves kopiju. Tas ļāva pētniekiem iegūt viedmājokļa vadības ierīces galvenā lietotāja tiesības, kas deva iespēju rīkoties ar savienoto ekosistēmu. Lai apliecinātu sekmīgu ielaušanos sistēmā, pētnieki nomainīja modinātāja melodiju — nākamajā dienā „Kaspersky” darbinieku pamodināja skaļa Drum & Bass mūzika.

„Atšķirībā no mums īsts uzbrucējs, kam ir piekļuve mājas centram, diez vai aprobežotos ar izjokošanu ar modinātāju. Viens no mūsu pētītās ierīces galvenajiem uzdevumiem ir visu viedlietu integrēšana, lai mājokļa īpašnieks tās varētu pārvaldīt no vienota mājas centra. Svarīgi, ka mēs izvērtējām aktīvi izvērstu sistēmu, jo iepriekš lielākā daļa pētījumu tika veikta laboratorijas apstākļos. Pētījums parādīja, ka, neraugoties uz augošo izpratni par lietu interneta drošību, joprojām ir problēmas, kas jāatrisina. Vēl svarīgāk, ka mēs pētījām sērijveida ierīces, kas izvietotas funkcionējošos viedmājokļa tīklos. Mēs pateicamies „Fibaro” par atbildīgo attieksmi pret problēmām, jo zinām, ka tas ir uz kiberdrošību orientēts uzņēmums, kas padara mūsu kolēģa mājas daudz drošākas nekā pirms pētījuma,” sacīja „Kaspersky” ražošanas vadības sistēmu datortrauksmes reaģēšanas komandas drošības pētnieks Pāvels Čerjomuškins.

„Lietu interneta infrastruktūrai ir nepieciešama sarežģīta sistēma, kas raiti darbojas daudzos līmeņos. Tas nozīmē daudz konstruktīva un arhitektoniska darba. Mēs augstu vērtējam „Kaspersky” pētījumu un ieguldījumu. Tas mums palīdzēja piestrādāt pie mūsu preču un pakalpojumu drošības. Kopā mēs novērsām potenciālās ievainojamības. Mēs ļoti iesakām „Fibaro” lietotājiem instalēt atjauninājumus un vienmēr pārbaudīt, vai e-vēstules atbilst paziņojumiem „Fibaro” vietnē. Atjauninājumi paplašina sistēmas funkcionalitāti, kā arī apgrūtina hakeru iespējas zagt personiskos datus,” sacīja „Fibaro” preču izstrādes vadītājs Kšištofs Banašaks.

Mūsu ieteikumi lietotājiem, lai nodrošinātu ierīču drošību

·         Kad lemjat, kuru dzīves daļu padarīt viedāku, apsveriet drošības riskus.

·         Pirms lietu interneta ierīces iegādes pameklējiet internetā ziņas par ievainojamībām.

·         Līdzās standarta kļūdām, kas ir jaunās ierīcēs, nesen izlaistās ierīcēs var būt drošības problēmas, kuras drošības pētnieki vēl nav pamanījuši. Ņemot to vērā, labāk iegādāties ierīces, kam jau ir bijuši vairāki programmatūras atjauninājumi, nevis visjaunākās tirgū izlaistās preces.

·         Nodrošiniet, lai visās ierīcēs ir instalēti visjaunākie drošības un aparātprogrammatūras atjauninājumi.

·         Sāciet izmantot „Kaspersky Security Cloud”, kas aizsargā lietotāja tiešsaistes kontu un mājas Wi-Fi tīklus, nodrošinot, ka privātais tīkls vienmēr ir privāts — risinājums informēs lietotāju par nevēlamiem viesiem, kas mēģina pievienoties tīklam, aizsargājot mājas lietu interneta ierīces, automātiski brīdinot par drošības apdraudējumiem ar eksperta padomu, kad ir nepieciešams rīkoties.

Visu pārskatu lasiet vietnē „Securelist”.

Par „Kaspersky”

„Kaspersky” ir starptautisks kiberdrošības uzņēmums, kas dibināts 1997. gadā. „Kaspersky” dziļā draudu pazīšana un drošības zināšanas nepārtraukti pārtop inovatīvos drošības risinājumos un pakalpojumos, lai aizsargātu uzņēmumus, izšķirīgi svarīgas infrastruktūras, valdības un patērētājus visā pasaulē. Uzņēmuma visaptverošajā drošības klāstā ietilpst labākā galiekārtu aizsardzība un vairāki specializēti drošības risinājumi un pakalpojumi cīņai ar sarežģītiem un mainīgiem digitālajiem apdraudējumiem. Vairāk nekā 400 miljonu lietotāju ir aizsargāti ar „Kaspersky” tehnoloģijām, un mēs palīdzam 270 tūkstošiem korporatīvo klientu aizsargāt to, kas viņiem ir vissvarīgākais. Uzziniet vairāk vietnē www.kaspersky.com.

Papildu informācija 

www.kaspersky.com

Par šo rakstu nav saņemts neviens komentārs.
Pievienot komentāru
Vārds:
e-pasts:



Aktuālās ziņas

mēbeļu izgatavošana
apdrošināšana  octa  granulu katli