Hiába veszünk meg drágán egy internetképes szórakoztatóelektronikai berendezést, egyáltalán nem lehetünk biztosak abban, hogy ne volnának sérülékenységek a szoftvereikben.

David Jacoby, a Kaspersky Lab biztonsági elemzője a saját nappalijában járt utána annak, hogy milyen is az otthona kiberbiztonsági szempontból. Intelligens szórakoztatóelektronikai eszközöket vizsgált (ezek közé tartoznak például a hálózati tárolók (NAS-ok), az okostévék, a routerek, a Blu-ray lejátszók stb.), hogy megállapítsa, sebezhetőek-e kibertámadásokkal. Kiderült, hogy sajnos igen.

Három, különböző gyártótól származott NAS-modellt, egy okostévét, egy műholdvevőt és egy nyomtatót helyezett górcső alá, és a hálózati tárolóknál 14, az okostévénél egy sérülékenységet talált, a routerben pedig több rejtett, távoli vezérlést lehetővé tevő funkciót fedezett fel.

A legsúlyosabb sérülékenységeket a hálózati tároló eszközök rejtették. Sok közülük lehetővé teszi, hogy a támadó távolról rendszerutasításokat hajtson végre a legmagasabb adminisztrátori jogokkal. A tesztelt eszközök alapértelmezésbeli jelszava ugyancsak gyenge volt, sok konfigurációs fájlnak nem volt megfelelő a jogosultsága, és a jelszavakat egyszerű szövegben tárolta. Így például az egyik berendezés alapértelmezésbeli jelszava csupán egy karakterből állt, egy másik pedig a hálózatban mindenkivel megosztotta a titkosított jelszavakat tartalmazó teljes konfigurációs fájlját.

Az egyik sérülékenység lehetővé tette, hogy a kutató feltöltsön egy fájlt egy olyan memóriaterületre, amely a felhasználók számára nem hozzáférhető. Ha ez a fájl rosszindulatú, a feltört NAS-eszköz fertőzési gócponttá válhat a hozzá kapcsolódó többi berendezés, például egy otthoni PC számára, amelyet azután egy bothálózat „katonájaként” DDoS támadásokba is bevonhatnak a felhasználó tudta nélkül. Ráadásul mivel a sérülékenység tette lehetővé a fájl feltöltését az eszköz fájlrendszerének egy speciális területére, törlésének egyetlen módja ugyanennek a sérülékenységnek a használata. Ez nyilvánvalóan még egy szakembernek sem egyszerű feladat, nemhogy egy otthoni szórakoztató eszköz átlagos felhasználójának.

Lerablog

Amikor a Kaspersky Lab kutatója saját okostévéjének biztonságát vizsgálta, felfedezte, hogy a televízió és a készülék gyártója közötti kommunikációt nem titkosítják. Ez lehetőséget kínál az úgynevezett Man-in-the-middle típusú támadásokra, amelyek azt eredményezhetik, hogy a felhasználó pénzt utal a csalók bankszámlájára, amikor megpróbál a tévén keresztül tartalmat vásárolni. A potenciális veszély igazolására a kutató képes volt felcserélni egy képpel az okostévé grafikus felületének egyik ikonját. Normál esetben a widgetek és az ikonok a tévé gyártójának szerveréről töltődnek le, s mivel a kommunikációt nem titkosítják, lehetővé válik az információk módosítása egy külső szereplő által. A kutató azt is felfedezte, hogy az okostévé képes Java-kód végrehajtására, ami, kombinálva azzal, hogy lehallgatható a tévé és az internet közötti adatforgalom, kihasználó kóddal vezérelt rosszindulatú támadásokat eredményezhet.

Az összes otthoni eszköz számára vezeték nélküli internetkapcsolatot nyújtó DSL router számos veszélyes, a felhasználó elől elrejtett funkciót tartalmazott. A kutató szerint ezeknek a rejtett funkcióknak egy része lehetőséget nyújt az internetszolgáltató számára, hogy távolról hozzáférjen bármely, a magánhálózatban található eszközhöz. Ennél is fontosabb azonban, hogy a router webes felületének Web Cameras, Telephony Expert Configure, Access Control, WAN-Sensing és Update szekciói láthatatlanok, és nem konfigurálhatók az eszköz tulajdonosa által. Ezeket a részeket – amelyek alapvetően külön alfanumerikus címmel rendelkező weboldalak – csak egy meglehetősen általános sérülékenység kihasználásával (a cím végén lévő számok brute force módszerrel történő megfejtésével) lehet elérni.

Eredetileg ezeket a funkciókat a felhasználó kényelme érdekében hozták létre: a távoli hozzáférés lehetővé teszi az internetszolgáltatónak, hogy könnyen és gyorsan megoldja a felmerülő technikai problémákat. Azonban a kényelem kockázatot rejt, mivel az irányítás illetéktelen kezekbe kerülhet.

Belső adatkezelési szabályaival összhangban a Kaspersky Lab a felfedezett sérülékenységeket megszüntető javítások elkészültéig nem hozza nyilvánosságra a vizsgált termékek gyártóinak a nevét. Az összes érintett céget értesítették a sérülékenységek meglétéről.

Mit tehet ezek után az a felhasználó, akinek ilyen eszközök vannak a nappalijában? Mindenekelőtt nehezítse meg a hackerek dolgát: minden eszközét tartsa naprakész állapotban az összes rendelkezésre álló biztonsági és firmware frissítés telepítésével. Változtassa meg az alapértelmezésbeli felhasználóneveket és jelszavakat – ezekkel próbálkozik először a támadó, amikor megkísérli feltörni az eszközt.

A legtöbb otthoni használatra szánt router és switch lehetővé teszi külön hálózat létrehozását minden eszközhöz, valamint az eszközökhöz való hozzáférés korlátozását is több különböző DMZ (elkülönített hálózati szegmens azon rendszerek számára, amelyek feltörési kockázata nagyobb) és VLAN (egy mechanizmus az ugyanazon fizikai hálózatban lévő logikai hálózatok logikai elkülönítésére) segítségével. Ily módon korlátozható például az okostévéhez való hozzáférés csak a megfelelő használatához szükséges hálózati erőforrásokra. Nem sok értelme van ugyanis annak, hogy a nyomtató és az okostévé összeköttetésben legyen.