28/02/2019

Pomocna dłoń dla inteligentnej dłoni: jak zhakowaliśmy ją my, aby inni nie mogli

Biznes Korporacje

W ostatnich latach w obszarze bezpieczeństwa informacji krąży żart, że litera „s” w określeniu „Internet od Things” (pol. Internet Rzeczy) oznacza wyraz „security” (pol. bezpieczeństwo). Prawda jest taka, że eksperci ds. bezpieczeństwa od dawna żartują z trendu Internetu Rzeczy, a podczas każdej poważnej konferencji dla hakerów zawsze pojawiają się informacje o kolejnym tzw. inteligentnym urządzeniu, które w jakiś szalony sposób zostało zhakowane. Przywykliśmy już do takich sytuacji na tyle, że bardziej zaskakuje nas sytuacja, gdy wydarzy się coś zupełnie przeciwnego i badacze dochodzą do wniosku, że urządzenie jest raczej bezpieczne.

Zazwyczaj badanie skupia się na lukach w urządzeniach należących do Internetu Rzeczy oraz na tym, w jaki sposób mogą one stwarzać zagrożenie dla użytkowników. Ale każdy medal ma dwie strony: luki w inteligentnych urządzeniach mogą być niebezpieczne również dla producentów: mogą skutkować wyciekiem danych lub ulec uszkodzeniu, zakłócać działanie infrastruktury oraz sprawiać, że urządzenia ulegną awarii lub nawet staną się bezużyteczne.

Podczas wydarzenia MWC19 eksperci z naszego zespołu Industrial Industrial Control Systems Cyber Emergency Response Team (ICS CERT) zaprezentowali raport na temat inteligentnych sztucznych kończyn wyprodukowanych przez firmę Motorica.

Zacznijmy od dobrych wiadomości. Po pierwsze, nasi eksperci nie znaleźli żadnych luk w oprogramowaniu układowym protez kończyn. Po drugie, dane systemowe firmy Motorica poruszają się tylko w jednym kierunku — z kończyny do chmury. Oznacza to, że nie można na przykład włamać się do jakiejś inteligentnej kończyny i zdalnie przejąć nad nią kontroli.

Jednak dalsze badania ujawniły część poważnych luk w infrastrukturze chmury służącej do gromadzenia i przechowywania danych telemetrycznych, które można uzyskać z protez kończyn. Błędy te umożliwiają hakerom:

  • Uzyskanie dostępu do danych wszystkich kont systemowych (zarówno użytkowników, jak i administratorów), w tym loginów i haseł w postaci niezaszyfrowanej.
  • Odczytywanie, usuwanie i modyfikowanie danych telemetrycznych przechowywanych w bazie danych lub dodawanie nowych wpisów.
  • Dodawanie nowych kont (w tym administratorów).
  • Usuwanie lub modyfikowanie istniejących kont (na przykład zmianę hasła administratora).
  • Uruchamianie ataku DoS na administratora, blokując mu możliwość logowania się do systemu.

Luki te potencjalnie umożliwiały wyciek lub uszkodzenie danych użytkowników. Co więcej, ostatni z powyższych punktów może znacząco wydłużać czas potrzebny na podjęcie odpowiednich działań w związku z włamaniem.

Nasi badacze oczywiście zgłosili wykryte luki firmie Motorica i na tę chwilę wszystkie wykryte problemy zostały wyeliminowane. Niestety to tylko zwycięstwo małej bitwy w wojnie o bezpieczeństwo Internetu Rzeczy. Poniżej przedstawiamy punkty, które według nas muszą ulec zmianie:

  • Programiści powinni mieć świadomość, jakie są najpowszechniejsze zagrożenia i najlepsze praktyki tworzenia kodu źródłowego. Ma to kluczowe znaczenie na wszystkich etapach tworzenia — nasze badanie nie pozostawia wątpliwości, że błędy powstałe podczas tworzenia jednej części systemu mogą ogólnie przynieść katastrofalny efekt.
  • Producenci inteligentnych urządzeń powinni wprowadzić programy bug bounty, które są bardzo skuteczne w kwestii wyszukiwania i eliminowania błędów.
  • Idealnie by było, gdyby tworzone produkty podlegały ocenom bezpieczeństwa dokonywanym przez ekspertów ds. bezpieczeństwa informacji.