Populāras mājas multivides izklaides sistēmas, kā arī internetam pievienojamas ierīces var pakļaut riskam visas ģimenes privātās dzīves konfidencialitāti un vērtīgos datus. Pie šāda secinājuma nonāca Kaspersky Lab speciālisti pēc eksperimenta, kurā meklēja ievainojamības parastās mūsdienu mājās izmantotajās ierīcēs.
Kaspersky Lab antivīrusu eksperts Deivids Džeikobi rūpīgi izpētīja dažādu modeļu mājas tehniku. Tādējādi viņš atklāja vienu ievainojamību televizorā Smart TV, vairākas potenciāli bīstamas slēptas attālinātas vadības iespējas maršrutētājā, kā arī 14 ievainojamību tīkla datu uzglabāšanas ierīcēs (tīkla diskos).
Galvenās informācijas drošības problēmas mājas ierīcēs rada šifrēšanas trūkums, pārraidot datus no lietotāja uz ražotāja serveri, kā arī vājas ierīču piekļuves paroles, ko pēc noklusējuma ir iestatījuši piegādātāji un ko lietotāji reti nomaina.
Piemēram, izmantojot kādā tīkla diskā atklāto ievainojamību, Deivids Džeikobi varēja ielādēt datni glabātavas atmiņā, kas nav pieejama parastiem lietotājiem. Ja šī datne būtu bijusi kaitīga, tīkla disks kļūtu par visu citu mājas tīklam pievienoto ierīču inficēšanas avotu vai robotu, kas piedalās DDoS uzbrukumos. Turklāt, tā kā datne tika ielādēta īpašā atmiņas sekcijā caur ievainojamību, arī izdzēst to no sistēmas var tikai caur šo ievainojamību. Tas ir neikdienišķs uzdevums pat tehniķim, nemaz nerunājot par vienkāršu mājas lietotāju.
Arī televizors var būt bīstams. Jaunākie modeļi, kas ir aprīkoti ar Smart TV funkciju, potenciāli paver hakeriem iespēju veikt man-in-the-middle (vidutāja) veida uzbrukumu. Runa ir par tiem gadījumiem, kad lietotājs vēlas iegādāties multivides saturu, izmantojot televizoru. Eksperimenta gaitā Kaspersky Lab speciālists varēja aizstāt Smart TV saskarnes grafisko ikonu ar citu attēlu vienīgi tāpēc, ka datu pārraidē netiek izmantota šifrēšana. Tas nozīmē, ka to pašu var izdarīt arī hakeri, un tad lietotājs nevis iegādāsies saturu, bet nosūtīs savu naudu tieši uz ļaundaru kontu.
Turklāt atklājās, ka arī maršrutētāji nav tik vienkārši, kā izskatās. Deivids Džeikobi atrada šajās ierīcēs vairākas slēptās funkcijas, kas ir pieejamas tikai interneta pakalpojumu sniedzējiem, bet ne ierīču īpašniekiem. Atsevišķas tīmekļa saskarnes sekcijas, tostarp piekļuves kontroli, atjauninājumus, tīmekļa kameras un citas, var pārvaldīt tikai caur universālo ievainojamību, kas parastam lietotājam, protams, nav pieejama. Toties pakalpojumu sniedzējs vai, sliktākajā gadījumā, hakeris var iegūt pilnīgu kontroli pār ierīci.
Pēc eksperimenta Kaspersky Lab informēja visu pētīto ierīču ražotājus par atklātajām ievainojamībām, un pašlaik uzņēmuma eksperti kopā ar piegādātājiem nodarbojas ar to novēršanu.
«Mums nevajadzētu maldīgi domāt, ka mūsu mājas ierīces ir drošībā tikai tāpēc, ka mēs tām esam iestatījuši sarežģītu paroli. Ir daudz kā tāda, ko lietotājs nevar kontrolēt. Nepilnās 20 minūtēs es atradu vairākas nopietnas ievainojamības ierīcē, kas pirmajā acu uzmetienā šķita pilnīgi droša. Tāpēc vistuvākajā laikā ierīču ražotājiem kopīgi ar drošības risinājumu izstrādātājiem ir jārisina mājas izklaides, datu uzglabāšanas un interneta piekļuves sistēmu drošības jautājums,» paskaidroja Deivids Džeikobi.
Ar mūsdienu mājas ierīču ievainojamības eksperimenta detalizētiem rezultātiem var iepazīties šeit: http://securelist.com/analysis/publications/66207/iot-how-i-hacked-my-home/.
