Istraživači kompanije Kaspersky koji istražuju kontrolni uređaj za aktivni ekosistem pametne kuće identifikovali su nekoliko kritičnih slabosti. Ovo uključuje greške u infrastrukturi cloud-a i potencijalno daljinsko izvršavanje koda koje bi trećoj strani omogućilo da dobije „super korisnik“ pristup kontroleru i da manipuliše infrastrukturom pametnog doma na bilo koji način. Nalazi su podeljeni sa vendorom, kompanijom Fibaro, koja je odmah rešila problem i ažurirala bezbednosne protokole.

Prošle su godine od kada je otpočelo istraživanje bezbednost interneta stvari (IoT), i kako internet stvari nastavlja da se širi i razvija, takva istraživanja su od velikog značaja: sa novim proizvodima i rešenjima pojavljuju se nove dimenzije pretnji koje ugrožavaju bezbednost korisnika. Jedan zaposleni u kompaniji Kaspersky izazvao je istraživače kompanije da ispitaju pametni sistem koji se koristi u njegovoj kući. Dao je istraživačima pristup kontroleru za njegovu pametnu kuću. Kontroler je izabran zato što povezuje i nadzire sveukupne operacije širom pametnog doma, a uspešan napad bi omogućio sajber napadačima da upadnu u čitav ekosistem kuće čime bi se omogućilo sve od špijunaže i krađe do fizičke sabotaže.

Inicijalna faza prikupljanja podataka dovela je stručnjake do nekoliko potencijalnih vektora napada: preko bežičnog komunikacijskog protokola Z-Wave koji se široko koristi za kućnu automatizaciju; preko veb interfejsa administrativnog panela; i preko cloud infrastrukture. Poslednje se pokazalo kao najefikasnije za napad: ispitivanje iskoriščenih metoda za obradu zahteva uređaja otkrilo je ranjivost u procesu autorizacije i mogućnost da se daljinski izvrši kod.

Povezana vest:  LG predstavio Optimus Vu: smart telefon

Zajedno, omogućili bi trećoj strani da dobije pristup svim rezervnim kopijama postavljenim na cloud iz svih Fibaro kuća, da postave zaražene rezervne kopije na cloud, a zatim ih prebace na određeni kontroler – uprkos tome što nemaju prava na sistem.

Da bi završili eksperiment, stručnjaci kompanije Kaspersky su izvršili test napad na kontroler. Za to su pripremili posebnu rezervnu kopiju sa zasebno razvijenim tekstom, zaštićenim lozinkom. Zatim su putem clouda poslali i-mejl i SMS vlasniku uređaja, pozivajući ga da ažurira firmver kontrolera. Kao što je zatraženo, „žrtva“ se složila i preuzela zaraženu kopiju. Ovo je omogućilo istraživačima da dobiju “super korisnički pristup” za kontroler pametne kuće, dopuštajući im da manipulišu povezanim ekosistemom. Da bi demonstrirali uspešan upad u sistem, istraživači su promenili melodiju alarma – sledećeg dana, zaposleni kompanije Kaspersky se probudio uz veoma glasnu muziku.

„Za razliku od nas, pravi napadač sa pristupom centru kuće ne bi se ograničio na šalu alarmom. Jedan od glavnih zadataka uređaja koji smo proučavali je integracija svih „pametnih stvari“ tako da vlasnik kuće može upravljati njima iz jednog centra. Važan detalj je da je naša procena bila usmerena na sistem aktivnog angažovanja – prethodno je većina istraživanja sprovedena u laboratorijskim uslovima. Istraživanje je pokazalo da, uprkos sve većoj svesti o bezbednosti interneta stvari, još uvek postoje pitanja koja treba rešiti. Još važnije, uređaji koje smo proučavali se masovno proizvode i koriste u funkcionalnim pametnim kućnim mrežama. Zahvaljujemo se kompaniji Fibaro na njenom odgovornom odnosu prema problemima, jer znamo da su fokusirani na sajber bezbednost, kao i tome što su dom našeg kolege učinili mnogo bezbednijim nego što je bio pre istraživanja”, rekao je Pavel Čeremuškin (Pavel Cheremushkin), bezbednosni istraživač ICS CERT tima u kompaniji Kaspersky.

Povezana vest:  Kompanija A1 Srbija dobila dva Gold Quill priznanja za najbolje komunikacijske projekte i dve BalCannes nagrade Kompanija A1 Srbija dobitnica je čak dve Gold Quill nagrade koje se dodeljuju najboljim komunikacijskim projektima u svetu. Među 300 prijavljenih radova, IABC - Međunarodno udruženje poslovnih komunikatora, nagradilo je projekte „A1 Kinoteka Letnji bioskop“ u kategoriji Društveno odgovorno poslovanje i „Nedelja sajber bezbednosti“ u kategoriji Komunikacija bezbednosti. Kompanija je osvojila i dve BalCannes nagrade za kampanje „Srećna mi NovA1“ i "Seniori – Imam minut". „A1 Kinoteka Letnji bioskop“ je jedan od događaja koji su obeležili prošlogodišnje leto u Beogradu, budući da se za svaku projekciju tražila karta više. Tokom 48 dana prikazano je isto toliko filmova na krovnoj terasi Doma Vojske u centru Beograda. Ovaj projekat nastavak je dugogodišnje saradnje Jugoslovenske kinoteke i kompanije A1 Srbija na očuvanju filmske baštine digitalnom restauracijom i prikazivanju kultnih filmova domaće kinematografije u vrhunskom kvalitetu slike i zvuka. U digitalnom dobu, kada je veliki deo naših ličnih podataka smešten u virtuelnom svetu, sajber bezbednost je od izuzetne važnosti. Da bi dodatno unapredila znanja i veštine svojih zaposlenih, kompanija A1 je osmislila „Nedelju sajber bezbednosti“ i njom obeležila oktobar, međunarodni mesec informacione bezbednosti. Ovaj interaktivni program ponudio je predavanja, radionice, aktivacije i zabavu, sve u cilju edukacije i jačanja odgovornosti zaposlenih za ličnu i bezbednost kompanije. „Nema bolje i veće potvrde kvaliteta rada, od one koju globalna stručna zajednica prepozna kao izvrsnu, posebno kada nagrađeni projekti oslikavaju vrednosti koje su strateški važne za poslovanje kompanije. Ovo je veliki podstrek da još snažnije nastavimo da negujemo odgovornost kompanije na svim nivoima - prema društvu, zaposlenima, korisnicima i poslovnim partnerima“ - istakao je Blaž Ferenc, direktor korporativnih komunikacija i održivosti, A1 Srbija i A1 Slovenija. Sa do sada osvojene tri Gold Quill nagrade* A1 je i dalje jedina kompanija u Srbiji koja je dobitnik ovog prestižnog priznanja u oblasti korporativnih komunikacija. Još dve nagrade stigle su iz Rovinja. Na velikom regionalnom takmičenju Balcannes, u okviru ovogodišnjih Dana komunikacija, A1 Srbija dobila je srebrnu i bronzanu nagradu za kreativnost. Kampanje „Srećna mi NovA1“ i „Seniori-Imam minut“ jedina su dva nagrađena rada u kategoriji telekomunikacija na ovom takmičenju. Nagrađeni projekat „A1 Kinoteka letnji bioskop“ relizovan je uz podršku agencija Olaf&McAteer, M2Communications, Piper PR i Lava Pop, a kampanje „Srećna mi Nova“ i „Seniori-Imam minut“ zajedno sa agencijom Leo Burnett. *Prva Gold Quill nagrada osvojena je 2021. godine za projekat „Nesebična knjiga“ O Gold quill nagradama Više od 40 godina IABC, Međunarodno udruženje poslovnih komunikatora dodeljuje projektima iz celog sveta Gold Quill nagradu. Kroz Gold Quill program, stričnjaci u oblasti komunikacija iz celog sveta nagrađuju sve one koji su kroz svoje projekte pokazali inovativnost i posvećenost u oblasti strateških komunikacija. Međunarodno udruženje poslovnih komunikatora, kroz različite radionice i obrazovne ponude, postavlja globalni standard u komunikaciji. O BalCannes nagradama BalCannes je veliko regionalno takmičenje koje okuplja agencije i oglašivače iz Srbije, Bosne i Hercegovine, Hrvatske, Severne Makedonije i Slovenije koje prepoznaju kreativost i inovativnost radova. Članovi žirija su predstavnici klijenata, agencija i novinara koji prate struku, a nagrade dodeljuje HURA, Hrvatska udruga društava za tržišno komuniciranje.

„Infrastruktura interneta stvari zahteva komplikovan sistem koji glatko radi na više nivoa. To podrazumeva mnogo implementacionih i arhitektonskih radova. Cenimo istraživanje i trud kompanije Kaspersky. Pomogli su nam da radimo na bezbednosti naših proizvoda i usluga. Zajedno smo eliminisali potencijalne ranjivosti. Preporučujemo FIBARO korisnicima da instaliraju ažuriranja, i da uvek proveravaju da li su i-mejl poruke u skladu sa obaveštenjima na FIBARO vebsajtu. Ažuriranja poboljšavaju funkcionalnost sistema i otežavaju hakerima krađu privatnih podataka“, rekao je Kristof Banasiak (Krzysztof Banasiak), direktor proizvodnje u kompaniji FIBARO.

Povezana vest:  Kaspersky Lab: Pametni telefoni nas čine manje efikasnim na poslu

Kako bi sačuvali bezbednost uređaja, savetujemo korisnike da:

  • Razmisle o rizicima kada odlučuju koji deo života će da učine malo „pametnijim“
  • Pretraže internet pre nego što kupe uređaj interneta stvari kako bi proverili da li ima vesti o nekakvim ranjivostima
  • Pored standardnih grešaka koje dobijate u novim proizvodima, nedavno izdati uređaji mogu imati bezbednosne probleme koji još nisu otkriveni od strane istraživača bezbednosti. Imajući to u vidu, najbolje bi bilo da kupite proizvode koji su već imali nekoliko softverskih ažuriranja, a ne najnovije proizvode na tržištu.
  • Proverite da li su svi uređaji ažurni sa najnovijim bezbednosnim i firmverskim ažuriranjima.
  • Počnite da koristite Kaspersky Security Cloud koji štiti korisničke onlajn naloge i kućne Wi-Fi mreže, čime se osigurava da će privatna mreža ostati privatna: on će obavestiti korisnika u slučaju da neželjeni gosti pokušaju da se povežu, štiteći kućne uređaje interneta stvari, automatski upozoravajući na bezbednosne pretnje uz savet stručnjaka kada je potrebno preduzeti mere.

Ceo izveštaj možete pročitati na Securelist.