Hlavní navigace

Útok Z-Shave ohrožuje 100 milionů IoT zařízení

Sdílet

Petr Krčmář 27. 5. 2018
Heslo Bezpečnost

Protokol Z-Wave, který se používá pro komunikaci IoT zařízení, má vážnou zranitelnost nazvanou sarkasticky Z-Shave. Ta dovoluje provést takzvaný downgrade attack, vstoupit do komunikace dvou zařízení a přesvědčit protistranu, že její partner neumí novější bezpečnostní standard S-Wave S2. Komunikující zařízení se pak dohodnou na využití starší verze standardu S0 a výchozího klíče „0000000000000000“.

Komunikaci takto spárovaných zařízení je pak možné triviálně odposlechnout, jak ukázali výzkumníci z Pen Test Partners. Byly objeveny dokonce tři způsoby, jakými je možné takto komunikaci napadnout. Výsledek je velmi nebezpečný, protože tímto způsobem je možné získat přístup do výrazně větších sítí nebo ohrozit soukromí uživatelů.

Smutné je, že problém není nový, jiná skupina bezpečnostních odborníků na něj upozorňovala už v roce 2013 [PDF]. V té době se ale mělo za to, že jde o přijatelné riziko, které musíme podstoupit z důvodů zpětné kompatibility se starším standardem, který ale časem stejně zmizí. O pět let později se ale ukazuje, že i nová zařízení mají stále implementovaný standard S0, na který je možné při párování downgradovat.

Útok byl proveden prakticky a bylo dokázáno, že uživatel se o změně protokolů nemá šanci dozvědět. Více na následujícím výmluvném videu.

Našli jste v článku chybu?
  • Aktualita je stará, nové názory již nelze přidávat.
  • 28. 5. 2018 5:54

    vlk (neregistrovaný) 2a03:c20:a01:----:----:----:----:----

    a nestacilo by implementovat nejaky "prepinac" ktory by zakazal zariadeniu downgrade na stary protokol ?

  • 28. 5. 2018 7:53

    654 (neregistrovaný) ---.bcl.cz

    Ale to by vyžadovalo myslet dopředu. A všichni víme, že bezpečnost u většiny zařízení IoT není priorita, dokonce ani u produktů jako automatické zámky Amazonu. (ty umožňovaly zámek vzdáleně odpojit od sítě a zabránit ukládání záznamu z integrované kamery). Prioritou je předvést nějakou novou WOW! fíčuru a co nejlevněji. Kryptoanalytik Bruce Schneier k tématu řekl, že v současné době bezpečnost IoT trh vyřešit nedokáže, protože poptávka bezpečnosti IoT je minimální. Já vidím 3 možná východiska:

    1) Počkat na nevyhnutelný průser gigantických rozměrů, který debatu o bezpečnosti posune z teoretické roviny do praktické (drahé řešení, bohužel by se to pak řešilo bodem 2)

    2) Zásah státu, regulace (neefektivní, drahé, vedlejší škody i pro poctivé výrobce jsou jisté)

    3) Ohrožené IoT nekompromisně zablokovat do záplaty exploitu po vzoru botnetu Hajime (škody pouze na zařízení, které ohrožuje ostatní, případně je poškozený pouze majitel, který bezpečnost nijak neřešil)

    Já bych dal přednost variantě 3. Ta jako jediná motivuje poptávku po bezpečnosti, naštvané zákazníky si výrobci nemohou dovolit ignorovat. Výrobci by se pak pravděpodobně začali přetahovat, kdo opravuje rychleji, lépe a kdo má větší interval mezi novými exploity.

  • 28. 5. 2018 8:23

    null null (neregistrovaný) 91.187.42.---

    Ta varianta 3 je jako bys po farmaceutických koncernech vyžadoval testování až po tom, co začnou pacienti umírat a naštvané rodiny si začnou stěžovat - ale máš pravdu, přirozenou poptávku to vytvoří přirozeně.

    Nevím proč by IoT nemohlo podléhat nějakým standardům. Ty problémy se opakují, netýká se to jenom IoT, to samé (už jenom třeba to jak se na to organizovaně kašle) se táhne daleko více IT odvětvými ... Spousta věcí musí být nějak certifikovaná nebo podléhá normě - v nějaké rozumné podobě by určitě neuškodila ...

  • 28. 5. 2018 11:34

    SB (neregistrovaný) 89.31.43.---

    Ale samozřejmě, že to jde. Je to to samé jako GDPR - tak dlouho se na bezpečnost a důvěrnost informací sralo, až musela přijít metoda většího biče. Mimoto že při úniku dat takovými zařízeními je možno použít právě GDPR, proč by nemohly rovněž existovat standardy na zařízení podle použití?

  • 28. 5. 2018 14:08

    strepty (neregistrovaný) ---.map.sk

    GDPR je KATASROFA. Kto ho cital ten musel zaplakat, videl som uz vela zakonov, ale tento je unikat, same "mal by" v zmysle "musi" odstavce na konci su vysvetlene v zaciatku...

  • 28. 5. 2018 14:49

    null null (neregistrovaný) 91.187.42.---

    GDPR není vyloženě špatné, jenom (jak je to dnes moderní říkat) vylili s vaničkou i dítě - vanička je prázdná, dítě umyté - potud fajn - jenom je nakonec lepší to dítě vyndávat, než ho vylívat - prostě to má až moc široký záběr ...

  • 28. 5. 2018 18:27

    noname (neregistrovaný) ---.213.broadband2.iol.cz

    V pravnickych textech ma "should be" casto vyznam "must be"... a vcil mudruj.

  • 28. 5. 2018 18:43

    ehmmm (neregistrovaný) 185.193.85.---

    Na druhou stranu nedavno jsme si tady na foru zanadavali, ze to IoT je vlastne jenom takove reklamni slovo a ze se pod tim schovava mraky veci od ruznych vyrobcu, ktere jsou spolu navzajem nekompatibilni, kazdy pes jina ves, a ejhle - mame tady protokol, ktery je implementovan ve 100M zarizenich.