Megtörtént események alapján – az “IoT” veszélyei

669c12500850c83t5vbjtEgy nemrég megtörtént eset is alátámasztja, hogy az “IoT” trend (Internet of Things) terjed, de a benne lévő veszélyeket még nem realizálták teljesen. Történt ugyanis…

…hogy egy IT biztonsági szakember egy 5 csillagos luxus hotelben több napra szállt meg, mialatt az ott kiépített és használatban lévő távvezérlő rendszert hackelte meg. Persze csak a kíváncsiságtól vezérelve, a hotel legnagyobb szerencséjére semmilyen káros cselekményt nem hajtott végre, bár megtehette volna… Tapasztalatait a nemzetközi IT biztonsági világkonferencián is megosztotta. A történetről röviden:

Internet-of-Things-Graphic1A vendégek kényelmét szolgáló – iPad-on lévő „segéd”-program – minden lényegi berendezés (világítás, klimatizációs berendezés, TV készülék, sötétítő berendezés, stb…) kezelésére használatos, ami természetesen a helyi WiFi hálózaton keresztül csatlakozik. A segédprogram az eszközök kezelésére a KNX nevű protokollt használják, valószínűleg nem csak ebben a hotelben, hanem más megoldásokban is jelen van. Habár a KNX alapvetően a kábeles rendszerek lett alapozva, létezik Wireless (KNX-RF, mint Radio Frequency) változata is.

A KNX protokoll alapvetően semmilyen titkosítást és authentikációt nem használ az eszközök közötti kommunikáció során, ezért lehallgató kémprogramokkal (sniffer) könnyen fel lehet térképezni, ami után, pl. a küldött parancsok replikálásával „már kész is vagyunk”. A kábeles rendszeren használt KNX feltérképezése – az Ethernet működése miatt – nehezebb feladat lehetett volna, de nem lehetetlen.

Habár a WiFi rendszer – amennyiben az érintett eszközök dedikált, a többitől elkülönített hálózathoz csatlakoznak – nyújthat nagyobb biztonságot, az itt érintett rendszerben ez nem volt meg: az IoT eszközök ugyanazon a nyílt hálózaton kommunikáltak, amit a vendég felhasználók is használhattakm pl. internetezésre.

A fenti két alapvető hibán túl a szakember felmérte, hogy a vezérlésre dedikált iPad-ek, és az azon lévő segédprogram kommunikációja semmilyen módon nincs azonosítva és validálva. Ebből fakadóan, ha a megadott kommunikációs mintákat egy másik eszközről indítják az adott hálózaton belül (de akár kívülről is), ugyanúgy érvényes parancsok lesznek az IoT eszközök számára. Így is tett, és a már feltérképezett hálózaton, az ismert parancs minták segítségével előállította saját kliensprogramját, melyet saját laptopján használhatott. Innentől már csak a (rossz) fantázia szab határt, hogy mit lehet megtenni a rendszerben lévő eszközökkel… Ami természetesen nem csak a saját szobájában lévőkre volt érvényes, hanem a hotel 250 másik helységére is.

KNX_usageTovábbi szépsége az esetnek, hogy a „hacker” – felderítő munkásságát elvégezve – telepíthetett volna pl. egy Trójait az iPad-re, amivel a világon bárhonnan vezérelni tudta volna a hotel teljes IoT hálózatát, sőt (bár erre nem történt próbálkozás) akár az összes egyéb belső hálózatban lévő eszközt is. A sikeres hackelést követően – mivel szakemberünknek semmilyen ártó szándéka nem volt – csupán a „Kérem ne zavarjanak” lámpák villogtatásával igazolta sikerességét.A feltárt hiányosságokat publikálta a hotel vezető IT szakemberének, akik ezt követően elkezdték ezek kijavítását és a rendszer fejlesztését, mostmár biztonság oldalról.

A hotel javára írható, hogy a kritikus funkciók vezérlése (pl. az ajtókat vezérlő rendszer, kamerák, stb) nem volt elérhető e módszeren keresztül, így a kellemetlenségeken túl lényegi nagy bűncselekményt nem tudott volna megvalósítani. Bár egy 5 csillagos hotel esetében épp elég, ha a vendégeket apróbb kellemetlenségek, atrocitások érik, a nagyobbakról nem is beszélve.

Levonható konzekvenciák és fejlesztési lehetőségek:

A hotel hálózata alapvető tervezési hiányosságokkal üzemelt, konkrétan semmilyen biztonságot nem nyújtva a csatlakoztatott eszközöknek. Érvényes ez a hotelben lévő IoT eszközökre és a vendégek eszközeire egyaránt. Ezeken – a teljesség igénye nélkül – az alábbi módon javíthatnak:

  • Ha magát a KNX protokollt nem is tudjuk biztonságossá tenni, és használatát mellőzni, de a közvetítő közeget – legyen az kábeles vagy WiFi hálózat – módunkban állhat. Legjobb, ha mindkét irányból megtesszük a szükséges lépéseket: a kábeles hálózaton dedikált, a külső hálózatokból nem megszólítható, átjárhatatlan hálózati szegmens használatával. Ugyanez érvényes lehet a Wireless hálózat esetére is, amit egy megfelelő titkosítást használó, védett és erre a célra dedikált hálózatra érdemes elkülöníteni. Mivel itt elvileg egy zárt rendszerről beszélünk, érdemes – bár kicsit nehézkes – lehet ebben a szegmensben akár MAC-cím szűrést és/vagy végpont validáló megoldást is használni.
  • A vendégeknek szánt hálózatot se hagyjuk nyíltan. Erre a célra egy mindenki által könnyen használható vendég regisztrációs portált érdemes használni, amiről csak az Internet irányába engedélyezzünk forgalmakat. Ez a vendégek és a saját érdekünket is szolgálja. Mivel a végpontokat itt nem tudjuk, és ebben az esetben nem is akarjuk egyesével védeni, de tovább javíthatjuk biztonsági nívónkat, ha megbízható Gateway oldali védelmi technikákat (IPS, Anti-Virus, Anti-Bot) is alkalmazunk. Ez természetesen az összes hálózati szegmensre érvényes lehet.
  • Ha dedikált, saját tulajdonban lévő eszközökről szolgáltatunk, azokat minden esetben kötelességünk levédeni, hogy azokra más program ne települhessen, azokat ne lehessen a vendégeknek manipulálni. Erre számos végpontvédelmi és jogosultságokat szabályozó megoldás áll rendelkezésre.

Ha a cikk és a javasolt megoldások bármelyik felkeltette érdeklődését, keresse fel cégünket.

-VJ

Kérlek szavazz

Back to Top