محققین کسپرسکی خانه‌ای هوشمند را به طور آزمایشی هک کردند

11 تیر 1398 محققین کسپرسکی خانه‌ای هوشمند را به طور آزمایشی هک کردند

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ امروزه ایده‌ی خانه‌ی هوشمند بیش از هر زمان دیگری رونق پیدا کرده است. این فناوری که پیشتر باب دندان طرفداران دوآتشه‌ی تکنولوژی و افرادی بود که همیشه جدیدترین گجت‌ها را در دستشان می‌دیدید اکنون خودش را بیش از قبل در دل مردم جا کرده است. حتی هزینه‌ راه‌اندازی خانه‌های هوشمند نیز مقرون به صرفه‌تر شده است. یکی از همکاران ما (معاون اجرایی شرکت کسپرسکی) به جرگه‌ی خانه‌ هوشمندی‌ها پیوسته و به تازگی برای خانه‌ی جدیدش کلی وسیله‌ی پر زرق و برق هوشمند خریده است. بعد از اینکه همه‌چیز را نصب کرد فکر کرد شاید محققین Kaspersky ICS CERT دوست داشته باشند امنیت این سیستم را به چالش بکشند. ایده‌ی بر پا کردن جشنی هوشمند ایده‌ی خوبی بود و البته که خیلی هم خوش گذشت؛ اما در ادامه قرار است داستانی کوتاه برایتان تعریف کنیم از اینکه آن‌ها چطور توانستند آسیب‌پذیری‌هایی پیدا کرده و از این طریق خانه‌ی هوشمند او را هک کنند.

هک آغاز می‌شود

برنامه: خانه (در دورترین نقطه‌اش) یک هاب هوشمند به نام Fibaro Home Center Lite داشت که کارش مدیریت تمام چیزهای هوشمندِ متصل به آن بود. وسایل هوشمند داخل خانه شامل چراغ‌هایی که حسگر حرکتی داشتند و می‌توانستند به طور خودکار روشن و خاموش شوند، یخچال، سیستم صوتی و دستگاه حرارتی که می‌توانست از راه دور کار کند و همچنین روشن و خاموش شود می‌شد. علاوه بر این‌ها، چندین شناساگر دود، حسگر طوفان و دوربین‌های مداربسته نیز برای نظارت روی خانه هم به این هاب وصل بود. و البته سیستم گرمایشی و در ورودی که مجهز به زنگ ویدیوییِ هوشمند بود نیز توسط همین هاب مدیریت می‌شد.

همه‌ی اینها به یک شبکه‌ی اینترنتی بی‌سیم وصل بودند. آنچه محققین امنیتی می‌دانستند مدلِ هاب این خانه‌ی هوشمند و البته آدرس آی‌پیِ آن بود.

نحوه‌ی عملکرد: محدود کردن سطح حمله

حمله به یک خانه‌ی هوشمند چگونه است؟ در این پرونده‌ی خاص اوضاع چنین پیش رفت: تیم محققین امنیتی تلاش می‌کنند هر گونه روش حمله‌ای را امکان دارد موفقیت‌آمیز عمل کند بنویسند. بنابراین سطح حمله را مدل‌سازی می‌کنند. بعد با یک روشمندیِ خاصی شروع می‌کنند به آزمایش تضمینی‌ترین متودها. آنوقت بر اساس کارایی، حمله‌ها را یک یه یک از دایره خارج می‌کنند تا نهایتاً به یک متود حمله‌ای برسند که مو لای درزش نرود- متودی که بتوانند بدون هیچ مشکلی خیلی راحت به شبکه نفوذ کنند.

با این حال برخی روش‌های حمله نسبت به بقیه روش‌ها سخت‌تر مورد اکسپلویت قرار می‌گیرند. این روش‌ها معمولاً در پروسه‌ی مدلسازی سطح حمله گیر می‌کنند- مهاجمین دیگر مایل نیستند وقت و انرژی خود را صرف استفاده از آن‌ها کنند؛ تیم محققین امنیتی نیز همینطور. برخی روش‌های حمله هم هستند که محدودیت دارند- مهاجم باید به طور فیزیکی نزدیک هدف بماند. به همین دلیل بچه‌های ICS CERT کسپرسکی تصمیم گرفتند به حمله‌‌ی پروتکل Z-Wave (هاب خانه‌ی هوشمند داستان ما برای ارتباط با وسایل خانگی‌اش از آن استفاده می‌کرد) حتی نگاه هم نکنند؛ چراکه مهاجم را مجبور می‌کرد نزدیک خانه باشد و حضور فیزیکی‌اش مهم بود. همچنین ایده‌ی اکسپلویت مترجم زبان برنامه‌نویسی را از هم از ذهنشان بیرون انداختند- هاب Fibaro از نسخه‌ی پچ‌شده استفاده می‌کرد.

در نهایت، آن‌ها موفق شدند آسیب‌پذیری تزریق ریموتِ  SQL (علیرغم تلاش‌های بی‌شائبه‌ی Fibaro برای جلوگیری از این اتفاق) و چند تایی آسیب‌پذیریِ اجرای کد ریموت در کد PHP پیدا کنند. این آسیب‌پذیری‌ها در صورت اکسپلویت شدن می‌توانستند به مهاجمین اجازه دهند درست روی خود هاب هوشمند دسترسی روت داشته باشند؛ که این یعنی نظارت کامل روی آن. همچنین جا دارد این نکته را هم خاطرنشان کنیم که حتی صاحب این هاب هم چنین حقوق دسترسی ندارد و بنابراین نخواهد توانست جلوی اقدامات مهاجمین را بگیرد. اما مهاجمین ابتدا باید بتوانند به دستگاه فرمان بفرستند.

نقاط ضعف خانه‌ی هوشمند

نکته‌ی مهم در مورد خانه‌ی هوشمند فیبارو این است که می‌تواند با استفاده از فناوری کلود از هر جایی به صورت ریموت کنترل شود. این بدان معناست که احتمال دارد آسیب‌پذیری‌ها نه تنها در خود دستگاه که همچنین در کلودی که استفاده می‌کند و پروتکل‌هایی که برای ارتباط‌گیری به کار می‌بندد نیز باشد. همانطور که مستحضر هستید، در کلودِ فیبارو آسیب‌پذیریِ شدیدی پیدا شد که به مهاجمین اجازه داد به همه‌ی بک‌آپ‌هایی که از هاب‌های فیبارو آپلود شدند بودند (در سراسر جهان) دسترسی پیدا کنند.

اینگونه بود که تیم محققین امنیتی به اطلاعات بک‌آپ ذخیره‌شده توسط Fibaro Home Center (واقع در این خانه به طور خاص) دسترسی پیدا کردند. از میان چیزهای دیگر، این بک‌آپ حاوی فایل دیتابیس با کلی اطلاعات داخلش بود (موقعیت مکانی خانه، اطلاعات جغرافیایی از طریق اسمارت‌فون صاحبخانه، آدرس ایمیلی که برای ثبت‌نام در فیبارو استفاده شده بود اطلاعات مربوط به دستگاه‌های هوشمند -فیبارو و غیر فیبارو- داخل خانه‌ی فرد و حتی رمزعبور صاحبِ خانه).

با این حال، رمزعبور ذخیره‌شده رمزنگاری شده بود و دیگر محققین امنیتی نمی‌توانستند از آن استفاده کنند. شایان ذکر است که اگر برخی دیگر از دستگاه‌های هوشمند نیاز به رمزعبور داشتند، این رمزعبورها درست در همان پایگاه اطلاعاتی (بدون هیچ رمزگذاری) ذخیره می‌شدند.

تیم محققین امنیتی سپس نسخه‌ای خاص از یک بک‌آپ حاوی یک پی‌لود در قالب اسکریپت PHP (که فرمان‌های قراردادی را که به صورت ریموت به آن ارسال شده بود اجرا می‌کرد) ساختند. بعد از آن، از قابلیت کلود استفاده کردند که بدان‌ها اجازه می‌داد به صاحب خانه ایمیل  و اس‌ام‌اس ارسال کنند و به او بگویند برای خانه‌ی هوشمند او مشکلی بوجود آمده است و باید برای درست شدنش آن را آپدیت یا ریستور کنند.

البته فردِ آگاه به امنیت اطلاعات که از قبل انتظار حمله را دارد خیلی سریع متوجه می‌شود که این درخواست صرفاً یک دام بوده است؛ اما متأسفانه خیلی از کاربران چنین شامه‌ی تیزی ندارند. برای همین صاحب خانه‌ی هوشمندِ خبر ما هم (به طور فرضی) بی‌آنکه روحش خبردار شده باشد پروسه را ادامه می‌دهد و اینگونه بود که مهاجمین توانستند به هاب هوشمند (و همچنین هر چه دستگاه هوشمند تحت کنترل آن است) دسترسی پیدا کنند. از همه مهمتر اینکه، آن‌ها همچنین توانستند به شبکه‌ی اینترنتی خانگی نیز نفوذ کنند.

وقتی خانه‌ا‌ی هوشمند هک می‌شود دقیقاً چه اتفاقی می‌افتد؟

وقتی به طور مجازی از خانه‌ای هوشمند دزدی می‌شود، مهاجمین می‌توانند تمام وسایل خانگی هوشمند و دستگاه‌های متصل به شبکه‌ی اینترنتی خانگی را تحت کنترل خود قرار دهند. در این مورد خاص، منظورمان کنترل حرارت خانه، روشن کردن حمام بخار، بلند کردن صدای موزیک از استریو، پرینت گرفتن از هر پرینتری که به شبکه وصل است و غیره است.

 

 

تازه آن‌ها همچنین می‌توانستند از راه دور درب ورودی خانه را باز کرده و دوربین‌های امنیتی و حسگرهای حرکتی را غیرفعال کنند- روشی آسان برای دزدی از یک خانه. و از آنجایی که مختصات اسمارت‌فون صاحب خانه را نیز در دست گرفته بود خوب می‌دانستند قرار است چه ساعتی خانه بیاید (می‌دانستند برای سرقت دقیقاً به چه میزان زمان نیاز دارند).

به طور کلی، هک شدن خانه‌ی هوشمند چندان خساراتی در پی ندارد؛ مگر آنکه مهاجمین تصمیم بگیرند از خانه‌تان دزدی کنند و آن را برای از کار انداختن دوربین‌های مداربسته کنند. درس امروز: وقتی تصمیم می‌گیرید خانه‌تان را هوشمند کنید خیلی هم به قابلیت‌های امنیتی تکیه نکنید- شاید غیرفعال شوند.

در آخر تشکر می‌کنیم از شرکت فیبارو که چنین محصولات امن و مطمئنی ساخته و همچنین برای ارائه‌ی پچ سریعِ آسیب‌پذیری‌هایی که کشف کردیم نهایت همکاری را با محققین ما در ICS Cert داشته است. مراکز خانه هوشمند فیبارو[1] در نتیجه‌ی این آزمایش کوچک اکنون از امنیت بالاتری برخوردار است و بنابراین ما استفاده از آن‌ها را رسماً امن و مطمئن اعلام می‌کنیم.

 

[1] Fibaro Smart Home Centers

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,238,100 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    10,860,600 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,086,060 ریال10,860,600 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    72,443,100 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,246,500 ریال20,493,000 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    14,693,550 ریال29,387,100 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    15,718,200 ریال31,436,400 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    65,201,550 ریال130,403,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    78,242,550 ریال156,485,100 ریال
    خرید
  • Kaspersky Small Office Security

    250,670,100 ریال
    خرید
  • Kaspersky Small Office Security

    91,283,550 ریال182,567,100 ریال
    خرید
  • Kaspersky Small Office Security

    291,966,600 ریال
    خرید
  • Kaspersky Small Office Security

    104,324,550 ریال208,649,100 ریال
    خرید
  • Kaspersky Small Office Security

    333,987,600 ریال
    خرید
  • Kaspersky Small Office Security

    117,365,550 ریال234,731,100 ریال
    خرید
  • Kaspersky Small Office Security

    375,284,100 ریال
    خرید
  • Kaspersky Small Office Security

    119,539,050 ریال239,078,100 ریال
    خرید
  • Kaspersky Small Office Security

    382,529,100 ریال
    خرید
  • Kaspersky Small Office Security

    168,442,800 ریال336,885,600 ریال
    خرید
  • Kaspersky Small Office Security

    539,021,100 ریال
    خرید
  • Kaspersky Small Office Security

    217,346,550 ریال434,693,100 ریال
    خرید
  • Kaspersky Small Office Security

    695,513,100 ریال
    خرید
  • Kaspersky Small Office Security

    262,627,800 ریال525,255,600 ریال
    خرید
  • Kaspersky Small Office Security

    840,413,100 ریال
    خرید
  • Kaspersky Small Office Security

    498,090,300 ریال996,180,600 ریال
    خرید
  • Kaspersky Small Office Security

    1,593,893,100 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد