Hlavní navigace

Postřehy z bezpečnosti: chytrý, chytřejší, nejchytřejší

 Autor: Shutterstock
Pavel Bašta 7. 11. 2016

Dnes se hned několikrát dotkneme IoT a chytrých zařízení. Podíváme se na zranitelnosti zařízení Belkin WeMo, na další IoT botnet šířící se sítí, na botnet terorizující africký stát nebo na zájem ISIS o dohledové kamery.

Na akci BlackHat, která proběhla ve čtvrtek a pátek v Londýně, byly oznámeny podrobnosti o zranitelnostech i u nás prodávaných Belkin WeMo zařízení pro automatizaci chytré domácnosti. Jedná se o chytré kamery, vypínače, žárovky, zvlhčovače vzduchu, topná tělesa nebo vařiče. V těchto zařízeních byly nalezeny závažné zranitelnosti již v letech 2013 a 2014. Při nyní prováděném testování byly v zařízeních nalezeny dvě nové zranitelnosti.

První nalezená zranitelnost může být zneužita pro vzdálené získání root přístupu k zařízením WeMo. K úspěšnému útoku musí mít útočník přístup k mobilnímu zařízení uživatele. Pokud by jej však získal, například prostřednictvím malware, mohl by do zařízení WeMo nahrát vlastní IoT malware. Ten by sice mohl jít odstranit přehráním firmware, ale jelikož útočníkův malware může díky spouštění pod oprávněním root ukončit proces updatování firmware, je otázka, zda by takto nevznikl celkem persistentní botnet. Útočník by tak mohl vytvořit odolný IoT botnet, jako to kdysi hrozilo třeba u 3G modemů Huawei.

Druhá zranitelnost je cross-site scripting a týká se aplikace WeMo pro Android. Při spouštění aplikace WeMo zkouší vyhledat a identifikovat všechna WeMo zařízení v dosahu. Pokud útočník místo názvu zařízení vloží do příslušné položky javascript, je pak tento javascript vykonán na zařízení, na kterém běží zranitelná aplikace a to v okamžiku, kdy je toto zařízení aplikací zaznamenáno. WeMo aplikace má přístup například k úložišti, kameře, Wi-Fi, kontaktům nebo uživatelským účtům, což dává útočníkovi značné možnosti. Útočník, který má k WeMo zařízením přístup po síti, může prý navíc jednoduše změnit název těchto zařízení pomocí UPnP zprávy. Podle jednoho z objevitelů této zranitelnosti může útočník také zkusit emulovat WeMo zařízení s upraveným jménem a počkat, až se potenciální oběť připojí do veřejné Wi-Fi, do které se připojí i útočník. Aplikace WeMo pak začne automaticky prohledávat síť a až nalezne útočníkovo zařízení, bude jím podstrčený kód vykonán.

Naše postřehy

Další IoT botnet se šíří převážně po routerech a modemech. Pro své šíření zneužívá telnet, na který se snaží dostat s využitím uniklých přihlašovacích údajů, které pochází z botnetu Mirai. Pro komunikaci používá IRC protokol a je schopen provést DDoS útoky jako například UDP a TCP flood. Tento malware se nijak nestará o persistenci, může tedy být ze zařízení snadno odstraněn pouhým restartem.

Britské nemocnice sdružené pod National Health Service (NHS) byly nuceny zrušit stovky plánovaných operací, vyšetření a diagnostických procedur. Stalo se tak v důsledku napadení IT systémů několika nemocnic blíže nespecifikovaným malwarem. Na radu expertů NHS vypnula většinu systémů, aby mohla nákazu izolovat a odstranit. Zabezpečení nemocnic patří k často diskutovaným tématům, jak připomíná server Securityaffairs.co, v posledních dvou letech došlo v některých nemocnicích například k úniku dat o pacientech nebo k ohrožení dat z důvodu napadení ransomwarem.

Mirai IoT Botnet známý pod označením Botnet 14, byl použit k útoku na Lonestar Cell MTN, což je telekomunikační společnost, která poskytuje Internet celé Liberii. Ta je k Internetu připojena jediným optickým kabelem. Útoků bylo několik a vždy trvaly jen krátkou dobu. Podle Kevina Beaumonta nejspíš útočník testuje různé techniky DDoS útoků. Později se však objevily informace, že to možná nebylo tak horké, jak to z počátku média prezentovala.

Zranitelnosti a nedostatečná hesla u dohledových kamer nepřitahují pozornost pouze v souvislosti s možným zapojením těchto zařízení do botnetů jako je Mirai. Podle společnosti BLACKOPS Cyber se o ně zajímá také Hacking tým ISIS. Tato společnost našla server, kde si tento tým sdílel informace o odkazech na jednotlivé kamery a popisy jejich zranitelností. Přístup ke kamerám může ISIS pomoci při plánování teroristických útoků, stejně jako při krytí samotného útoku.

Julian Oliver v rámci svého projektu Stealth Infrastructure tentokrát vyzkoušel vytvořit skrytou základnovou stanici GSM, která je maskována jako běžná kancelářská tiskárna. Ta vysílá na telefony v okolí SMS tvářící se jako by byly odeslány někým, koho příjemce zná. Pokud příjemce odpoví, je získáno číslo IMSI a další identifikační údaje. „Tiskárna“ také náhodně volá na telefony v okolí, a pokud majitel hovor přijme, je mu zahrána píseň od Stevie Wondera. Takovýto systém by mohl být využit například k rozesílání phishingových zpráv na telefony v okolí.

Vnitřek upravené tiskárny

Zranitelnost DOM-based cross-site scripting byla odhalena v platformě Wix.com, která umožňuje uživatelům snadnou tvorbu webových prezentací. Pokud se útočníkovi podaří nalákat uživatele nebo dokonce vlastníka webové prezentace na této platformě k otevření útočníkem připraveného odkazu, může být do stránky vložen javascript útočníka. S jeho pomocí může útočník například ukrást session cookies, změnit obsah webové stránky zobrazený u daného uživatele, požádat o zadání jména a hesla, vyzvat uživatele ke stažení a instalaci souboru s malwarem a další.

Ve zkratce

Pro pobavení

Vývoj moderního software.

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

8. 11. 2016 12:24

Akorad s tim rozdilem, ze v romanove verzi se stroje vzbourily proto, ze byly na tolik pokrocile, ze ziskaly sebeuvedomeni a doslo jim ( - spocitaly si), ze uz neni nic, co by je nutilo respektovat zakony robotiky a nasly spusob jak obejit implementaci techto tri zakonu ve svych programech. Pak uz byl jen krucek k tomu, aby je prestalo bavit delat lidem otroky....

V realite za tim vsim srotem - bez vlastni vule - jsou schovani konkretni bezpaterni lide. Tahle "valka" neni proti strojum, ale pro…

7. 11. 2016 16:31

heylo (neregistrovaný)

Explodujici mobily, vybuchujici pracky, utocny kamery, bojovy modemy, ukradeny auta na dalku .... zacina mi to pripominat vzpouru stroju.

Podnikatel.cz: Babiše přesvědčila 89letá podnikatelka?!

Babiše přesvědčila 89letá podnikatelka?!

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Lupa.cz: Levný tarif pro Brno nebude. Radní: je to kartel

Levný tarif pro Brno nebude. Radní: je to kartel

DigiZone.cz: ČRa DVB-T2 ověřeno: Hisense a Sencor

ČRa DVB-T2 ověřeno: Hisense a Sencor

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

DigiZone.cz: ČT má dalšího zástupce v EBU

ČT má dalšího zástupce v EBU

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

Vitalia.cz: Dáte si jahody s plísní?

Dáte si jahody s plísní?

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Měšec.cz: Golfové pojištění: kde si jej můžete sjednat?

Golfové pojištění: kde si jej můžete sjednat?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Vitalia.cz: To není kašel! Správná diagnóza zachrání život

To není kašel! Správná diagnóza zachrání život

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Vitalia.cz: Znáte „černý detox“? Ani to nezkoušejte

Znáte „černý detox“? Ani to nezkoušejte

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Root.cz: Vypadl Google a rozbilo se toho hodně

Vypadl Google a rozbilo se toho hodně