Cyberatak na salon: czy nowoczesny sprzęt multimedialny jest bezpieczny?

Cyberatak na salon: czy nowoczesny sprzęt multimedialny jest bezpieczny?21.08.2014 13:54
Źródło zdjęć: © Materiały prasowe

David Jacoby, analityk bezpieczeństwa z Kaspersky Lab, przeprowadził eksperyment badawczy we własnym salonie, aby sprawdzić, jak bezpieczny jest jego dom pod kątem cyberzagrożeń. Test miał wykazać, czy sprzęty multimedialne, takie jak urządzenia sieciowe do przechowywania danych (NAS), telewizory smart TV, routery, odtwarzacze Blu-ray itp., są podatne na cyberataki. Okazało się, że są.

Wnioski z badania nie napawają optymizmem - popularne domowe urządzenia multimedialne z dostępem do internetu stanowią realne zagrożenie dla cyberbezpieczeństwa ze względu na luki w zabezpieczeniach ich oprogramowania oraz brak podstawowych środków bezpieczeństwa, takich jak mocne domyślne hasła administratora oraz szyfrowanie połączenia.

Zbadane urządzenia obejmowały dwa modele NAS-ów różnych producentów, jeden smart TV, odbiornik satelitarny, router oraz podłączoną do sieci drukarkę. Podczas swojego badania David Jacoby wykrył 1. luk w zabezpieczeniach urządzeń magazynujących podłączonych do sieci domowej, jedną w telewizorze oraz kilka potencjalnie ukrytych funkcji kontroli w routerze.

Kaspersky Lab nie podał nazw producentów, których produkty zostały objęte badaniem, do momentu opublikowania łaty bezpieczeństwa usuwającej dane luki. Wszyscy producenci zostali poinformowani o istnieniu wykrytych podatności.

„Użytkownicy powinni mieć świadomość zagrożeń związanych z urządzeniami podłączonymi do internetu i sieci domowej. Trzeba również pamiętać, że bezpieczeństwo naszych informacji to nie tylko silne hasło - nad wieloma rzeczami nie mamy kontroli. W ciągu niecałych 2. minut znalazłem i potwierdziłem niezwykle poważne luki w zabezpieczeniach urządzenia, które wyglądało na bezpieczne, a nawet nawiązywało do bezpieczeństwa swoją nazwą. Jakie wyniki dałoby podobne badanie, gdyby zostało przeprowadzone na znacznie szerszą skalę niż mój salon? To tylko jedno z wielu pytań, na które producenci urządzeń, branża bezpieczeństwa oraz użytkownicy muszą wspólnie znaleźć odpowiedź w najbliższej przyszłości. Inne ważne pytanie dotyczy cyklu życia urządzeń. Jak dowiedziałem się z rozmów z producentami, niektórzy z nich nie będą rozwijali łat bezpieczeństwa dla podatnego na ataki urządzenia, gdy jego cykl życia dobiegnie końca. Cykl ten wynosi zwykle rok lub dwa lata, podczas gdy urządzenia – na przykład takie jak NAS-y
funkcjonują w domach i biurach znacznie dłużej” – powiedział David Jacoby, starszy badacz ds. bezpieczeństwa z Kaspersky Lab i autor badania.

Nielegalne pliki i słabe hasła

Najpoważniejsze luki w zabezpieczeniach zostały zidentyfikowane w urządzeniach magazynujących podłączonych do sieci (NAS). Kilka z nich pozwala atakującemu na zdalne wykonanie poleceń systemowych z najwyższymi przywilejami administracyjnymi. Testowane urządzenia miały również słabe hasła domyślne, wiele plików konfiguracyjnych posiadało niewłaściwe uprawnienia i zawierało hasła zapisane czystym tekstem (bez żadnego szyfrowania). Na przykład, domyślne hasło administratora dla jednego z urządzeń składało się zaledwie z jednej cyfry. Inne urządzenie udostępniało cały plik konfiguracyjny z hasłami wszystkim użytkownikom w sieci.

Wykorzystując inną lukę, badacz zdołał bez trudu umieścić plik w obszarze pamięci urządzenia niedostępnym do zapisu dla standardowych użytkowników. Gdyby okazał się szkodliwy, zainfekowany NAS stałby się źródłem infekcji innych podłączonych do niego urządzeń –. np. komputerów domowych lub biurowych. Odpowiednio spreparowany plik mógłby nawet przyłączyć domowy NAS do sieci zainfekowanych urządzeń (tzw. botnetu), która służy do rozsyłania spamu lub przeprowadzania ataków DDoS. Co więcej, luka umożliwiła umieszczenie obiektu w specjalnym obszarze systemu plików urządzenia, zatem jedynym sposobem usunięcia go było wykorzystanie tej samej podatności. Naturalnie, nie jest to proste zadanie, nawet dla specjalisty technicznego, nie mówiąc o osobie, która po prostu użytkuje sprzęt multimedialny w swoim domu.

Atak za pośrednictwem smart TV

Analizując poziom bezpieczeństwa własnego telewizora, badacz z Kaspersky Lab odkrył, że w komunikacji między odbiornikiem a serwerami jego producenta nie jest wykorzystywane żadne szyfrowanie. To potencjalnie otwiera furtkę atakom typu man-in-the-middle, w wyniku których użytkownik próbujący kupić treści za pośrednictwem smart TV mógłby –. na przykład – przesłać pieniądze do oszustów. W ramach eksperymentu badacz zdołał podmienić ikonę interfejsu telewizora na zdjęcie. Widgety i miniaturki są zwykle pobierane z serwerów producenta telewizora, dlatego brak połączenia szyfrowanego może spowodować, że informacje zostaną zmodyfikowane przez osobę trzecią. Badacz odkrył również, że smart TV potrafi wykonać kod Javy, co w połączeniu z możliwością przechwytywania ruchu pomiędzy telewizorem a internetem może przyczynić się do szkodliwych ataków wykorzystujących exploity (szkodliwe programy infekujące za pośrednictwem luk bezpieczeństwa).

Ukryte funkcje szpiegujące routera

Router DSL wykorzystywany w celu zapewniania dostępu do internetu bezprzewodowego wszystkim urządzeniom domowym zawierał kilka niebezpiecznych funkcji ukrytych przed swoim właścicielem. Według badacza niektóre z tych „tajnych”. funkcji mogłyby potencjalnie zapewnić dostawcy usług internetowych zdalny dostęp do dowolnego urządzenia w sieci prywatnej. Co ważniejsze, wyniki badania pokazały, że niektóre sekcje interfejsu sieciowego routera (takie jak “Web Cameras”, “Telephony Expert Configure”, “Access Control”, “WAN-Sensing” oraz “Update”) są „niewidoczne” i standardowo nie mogą być przeglądane i modyfikowane przez właściciela sprzętu. Dostęp do nich można uzyskać jedynie poprzez wykorzystanie luki w zabezpieczeniach, która umożliwia przechodzenie pomiędzy różnymi sekcjami interfejsu (w rzeczywistości są to strony WWW, z których każda posiada własny adres alfanumeryczny) poprzez złamanie liczb na końcu adresu za pomocą ataku siłowego (brute force).

Pierwotnie, funkcje te zostały wprowadzone dla wygody właściciela urządzenia i pracowników pomocy technicznej: na przykład, funkcja szybkiego dostępu sprawia, że dostawca usług internetowych może szybko i łatwo rozwiązać potencjalne problemy techniczne dotyczące urządzenia. Jednak wygoda może zmienić się w niebezpieczeństwo, jeśli dostęp do urządzenia uzyska niepowołana osoba.

Jak pozostać bezpiecznym w świecie urządzeń połączonych z internetem?

• Utrudnij życie potencjalnym atakującym: stosuj wszystkie najnowsze aktualizacje bezpieczeństwa i instaluj uaktualnienia oprogramowania (tzw. firmware) dla wszystkich swoich urządzeń. W ten sposób zminimalizujesz ryzyko ataków wykorzystujących znane luki w zabezpieczeniach.

• Koniecznie zmień domyślną nazwę użytkownika i hasło wszędzie tam, gdzie wymagane jest logowanie –. jest to pierwsza rzecz, którą wykorzysta osoba próbująca zaatakować Twoje urządzenie.

• Większość routerów domowych oferuje opcję konfiguracji własnej sieci dla każdego urządzenia oraz ograniczenia dostępu do urządzenia –. przy pomocy kilku różnych stref zdemilitaryzowanych (DMZ), czyli oddzielnych segmentów sieci dla systemów charakteryzujących się większym ryzykiem włamania. Na przykład, jeśli posiadasz telewizor smart TV, możesz ograniczyć jego dostępność i pozwolić, aby on sam miał dostęp jedynie do określonego zasobu w Twojej sieci. Nie ma potrzeby, by wszystkie urządzenia miały dostęp do całej sieci domowej.

Duży wybór telewizorów w atrakcyjnych cenach. Już od 282 zł! Sprawdź!

© WP Tech·Redakcja·Regulamin·Polityka prywatności·Reklama
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź naUKRAINA