روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ فناوریهای خانه هوشمند برای تسهیل شرایط زندگی طراحی شدهاند و قصدشان رفاه مردم است. با این حال، تسهیلات جدید با خود چالشهای جدید نیز به همراه دارد. خطرات اتوماتیزه کردن هر چیز بحث داغیست که این روزها همهجا از آن میگویند و به طور پیاپی در موردش بلاگ مینویسند. اینکه همهی وسایل خانهی متصل به اینترنت، فرد را به عملکرد سرور و کیفیت کانکشن وابسته میکند و در عین حال، مجرمان سایبری میتوانند درست از همین نقاط سوءاستفاده کرده و از طریق همین آسیبپذیریها کنترل خانهی هوشمند را در دست گیرند.
تحقیقات اخیر نشان میدهد، هنوز هم خیلی ابزار وجود دارد که با آنها بتوان خانهی هوشمند را تماماً تحت کنترل قرار داد. برای مثال، یکی از این نقاط میتواند آسیبپذیری در سرور کلود باشد که از طریق آن، دارنده از راه دور خانه را کنترل میکند.
فیبارو: تهدید کلودی
چندی پیش خبری در مورد اینکه محققین کسپرسکی خانهای هوشمند را به طور آزمایشی هک کردند منتشر کردیم. خانه هوشمند فیبارو به هر کسی اجازه داد تا از سرور کلود (و به سرور کلود)، اطلاعات بکآپ گرفتهشدهی هاب هوشمند را آپلود و دانلود کند. هاب هوشمند در حقیقت رگ حیاتی خانهی هوشمند است که تمامی دستگاههای دیگر را تحت کنترل خود درمیآورد: ترموستات، قهوهساز، سیستمهای امنیتی و غیره.
اطلاعات بکآپِ هاب جزئیات بسیار جالبی در مورد خانه و صاحبش دارد؛ از جمله موقعیت مکانی خانه و اسمارتفون صاحبخانه، آدرس ایمیلی که اکانت میزبان در سیستم فیبارو رجیستر شده و فهرستی از دستگاههای کانکتشده به همراه رمز عبورشان (همه در متنی ساده و بدون رمزگذاری).
رمزعبور پنل ادمین بکار رفته برای کنترل ریموت نیز آنجا ذخیره شده بود. برخلاف سایر رمزهای عبور ذخیرهشده در بکآپ این رمزعبور دست کم محافظت میشد یا بهتر بگوییم «هش» میشد. با این حال، اگر مهاجم قرار بود همهی کپیهای بکآپ را -که در کلود فیبارو ذخیره شده بود- دانلود کند این امکان وجود داشت که بشود سادهترین و تکراریترین رمزعبورها را نظیر «password1» حدس زد- هشها هم مثل آنها خواهند بود.
هکر با ورودش به پنل ادمین احتمال دارد بتواند یکی از آسیبپذیریها برای اجرای کد از راه دور را اکسپلویت کرده و به حقوق ابرکاربر در سیستم دسترسی پیدا کند. ابرکاربرها میتوانند هر کاری که دلشان میخواهد در داخل خانه انجام دهند. البته صاحبخانه ابرکاربر نمیشود؛ شرکت تولیدکننده ترجیح داده با این کار سطح امنیتی را بیش از پیش قوی کند (و البته از خیلی جهان این صحت دارد).
فیبارو: آپدیت مخرب
سناریوی حملهی دیگری که محققین کسپرسکی کشف کردند دیگر به هیچ نوع کِرَکی نیاز نداشت. همانطور که پیشتر گفتیم، کپیِ بکآپها نه تنها از سرور فیبارو آن هم بدون هیچ مجوزی قابلدانلود بودند؛ بلکه همچنین میتوانستند آپلود نیز بشوند. علاوه بر اینها، کلود نیز کاری کرده بود تا متون یا ایمیلها بتوانند به صاحبخانه ارسال شوند. به بیانی دیگر، فقط لازم بود مهاجمین یک کپیِ بکآپ آلوده بسازند و آن را روی سرور دانلود کنند و بعد قربانی را مجاب کنند تا «آپدیت» را نصب کند. این کار را میشود با تقلید یک پیام از فیبارو (فیشنگ) انجام داد. حتی اگر هکر یک سری اطلاعات را اشتباه هم دریافت کند باز این شانش وجود دارد که قربانیِ از همه جا بیخبر هنوز هم بکآپ آلوده را دانلود کند (در پروندهی اولی هکر حقوق ابرکاربر میگیرد). از اینها گذشته، پیام نیز در این قالب بود: ******@fibaro.com که البته به نظر بیگناه میآمد.
ما این آسیبپذیریها را به فیبارو گزارش دادیم که البته این شرکت نیز بلافاصله در صدد رفع آنها برآمد؛ بنابراین چنین سناریوهای حملهای دیگر نتوانست تکرار شود. امیدواریم سایر تولیدکنندگان تجهیزات خانه هوشمند به چنین اسارات مجازیای مبتلا نشده و از این درس عبرتها برای بهتر کردن خود استفاده کنند.
نست: سوئیچ دوربین هوشمند
در پژوهش دیگری که توسط محققین آمریکایی در دانشکده ویلیام و مری انجام شد، محوریت روی امنیت دو پلتفرم خانه هوشمند بود: نست (از شرکت Nest Labs که صاحب کنونی اش گوگل است) و هیو (Hue که متعلق به شرکت فیلیپس است). هر دو پلتفرم به طریقی آسیبپذیر بودند.
توسعهدهندگان Nest Labs توجه زیادی به بُعد حفاظت از سیستمهای امنیتی داشتند: اپها و دستگاههای طرفسوم نمیتوانند تنظیمات دوربینهای امنیتی و سایر اجزایی که مسئولیت بخش امنیت خانگی را بر عهده دارند تغییر دهند و یا آنها را روشن و خاموش کنند. یا بهتر بگوییم برای انجام این کار باید تقلای بسیاری کنند. با این وجود، این سیستم از برخی ارزشها رایج سیستمهای امنیتی و دستگاههایی که کمتر محافظت میشوند استفاده میکند. ارزش این ویژگیها همگی در یک فضای واحد ذخیرهسازی ذخیره میشود و همهی دستگاههایی که برای کار کردن بدانها نیاز دارند میتوانند بهشان دسترسی داشته باشند. علاوه بر این، برخی دستگاههای کوچک مانند کلیدهای چراغ و ترموستاتها در بسیاری از موارد نه تنها میتوانند ارزشهای مورد نیاز آن را بخوانند؛ بلکه همچنین میتوانند آنها را تغییر نیز بدهند.
از طرفی، این کار اتوماتیزه و سادهسازی کارهای روتین را به همراه دارد. برای مثال دیگر نیاز نیست وقتی صبح خانه را ترک میکنید و سر کار میروید به هر دستگاه جداگانه فرمان دهید. اپی که این سوئیچ را کنترل میکند میتواند برای تشخیص اینکه شما خانه را ترک کردید از لوکیشن جغرافیایی استفاده کند و بعد این اطلاعات را به ذخیرهگاه ارسال کند و ارزش را به ویژگیای واگذار کند که کارش تعیین این است که صاحبخانه در خانه است یا نه.
این ارزش نه تنها توسط خود سوئیچ یا کلید خوانده میشود (متعاقباً همانطور که خواسته شده بود چراغ را خاموش میکند) که همچنین دستگاههای دیگر نیز میتوانند آن را بخوانند. هر یک از آنها یک کار برنامهریزیشده انجام میدهند: دستگاه تهویه هوا کُند میشود، سیستم بلندگو خاموش میشود و دوربینهای مداربسته شروع به ضبط میکنند. با این حال، اگر این سیستم طوری دستکاری شود که باور کند صاحبخانه به خانه برگشته است، دوربینها میتوانند خاموش شوند و حالا دیگر امنیت خانه تحلیل میرود.
چندین دستگاه سازگار با Nest وجود دارد که اجازه دارند «حالتهای در خانه/بیرون از خانه» را مدیریت کنند. محققین تصمیم گرفتند امنیت سوئیچ Kasa (ساخت TP-Link) را امتحان کنند. علاوه بر توانایی خوانش و تاگل خانه/بیرون (که در فوق اشاره کردیم) انتخابشان از محبوبیت اپ Kasa Smart در کنترل دستگاه از راه دور نشأت میگرفت (بیش از یک میلیون دانلود روی گوگلپلی). با بررسی دقیقتر اشف به عمل آمد که این برنامه به مهاجمین اجازه میدهد تا کانکشن را از روی سرور دزدیده و به آن فرمان صادر کنند.
این مشکل در مراحل صدور مجوز شناسایی شد؛ دقیقتر بگویم: در رویکرد امنیتیِ توسعهدهندهی این اپ. برای اینکه اطلاعات اکانت صاحبخانه به دست نامحرمان نیافتد، اپ و سرور هر دو ابتدا یک کانکشن رمزگذاریشده برقرار میکنند. برای انجام این کار، این اپ به سرور درخواستی ارسال میکند. سرور نیز به اپ گواهی SSL (مبنی بر قابل اعتماد بودن) میدهد.
این اپ، اعتبار گواهی جواز را بررسی میکند و اگر واقعاً معتبر بود به طور مخفیانه به سرور یک رمز میدهد (اطلاعاتی که برای شناسایی صاحبخانه استفاده میشود). اما در این بررسی خطایی پیشامد کرد و اپ Kasa طوری نشان داده شد که انگار قرار است به هر جوازی اعتماد کند.
محققین سناریوی هک احتمالی را شرح دادند:
- مجرمان سایبری صاحب خانهی مورد هدف را ردیابی میکنند و صبر میکنند تا او به وایفای عمومی وصل شود (مثلاً در کافه).
- اپ Kasa تلاش میکند تا به سرور وصل شود.
- مهاجم با ورودش به همان شبکه، کانکشن را قطع میکند و جواز SSL خودش را ب اپ نشان میدهد.
- اپ هم که مجرم سایبری را با سرور اشتباه گرفته است رمز لازم برای مجوز را ارسال میکند.
- مجرم سایبری هم در عوض این رمز را به سرور واقعی نشان میدهد و خوب معادله انجام میشود.... (درست طبق نقشه).
- هکر مستقیماً از کافه به سوئیچ اطلاع میدهد که صاحبخانه برگشته است.
- این ویژگی از «بیرون» به «خانه» تبدیل میشود.
- درست خورده است به هدف- دوربین ارزش را میخواند و دیگر دست از ضبط کردن میکشد و بعد مجرم سایبری یا همدستش میتواند بدون دردسر وارد خانه شود.
طبق گزارشات بدست آمده از سوی محققین، نگرانکنندهترین چیز این بود که چنین حملهای به هیچ مهارت ویژهای نیز نیاز نداشت. خبر خوب اما اینکه توسعهدهندگان Kasa -درست مانند سازندگان سیستم فیبارو- سر بزنگاه باگ را برطرف کردند.
هیو: اپهای طرفسوم خوش آمدید
مجوز دادن و مشمول حقوق کردن اپهای طرفسوم مشکلی بود که گریبان سیستم روشنایی هوشمند Philips Hue را گرفت. این سیستم در حقیقت طوری طراحی شده بود که هر برنامه به صاحبخانه درخواست اتصال به خانه هوشمند دهد.
این مجوز شاید با فشار دادن دکمهای فیزیکی روی واحد کنترل داده شده باشد (که از طریق آن دستگاههای هیو با هم تعامل میکنند). برای این برقراری ارتباط، اپ و واحد کنترل باید در یک محدوده شبکه محلی قرار گرفته باشند؛ بدینمعنا که همسایگان و عابرین نمیتوانند در لحظه حدسی بزنند و درخواست بفرستند و از این روش به خانه هوشمند شما وصل شوند. این به طور کلی از چشمانداز امنیتی ایدهی بسیار خوبیست؛ اما در عمل آنطور که باید پیش نمیرود.
طبق کشفیات محققین، این دکمهی مقدس نه تنها میتواند توسط کاربر که توسط هر برنامهای که از قبل به هیو وصل بوده است فشار داده شود. دلیلش هم این است که «مغز» این سیستم تعیین میکند آیا دکمه بر طبق ارزش یکی از تنظیمات واحد کنترل فعال شده است یا نه. و اپهای طرفسوم میتوانند این ارزش را دستکاری کنند؛ یعنی یک اپی که نیت شوم دارد به پلتفرم مذکور دسترسی پیدا میکند و بعد میتواند آزادانه به سایر چیزها دست یابد. ماجرا به همینجا ختم نمیشود؛ چنین اپی همچنین میتواند دسترسی به دستگاههای قانونی (متصل به صاحبخانه) را رد کند.
ظاهراً اگر از پلتفرم هیو تنها برای کنترل روشنایی استفاده شود، این باگ چندان هم خطرناک نخواهد بود (دست کم نه به اندازهی آسیبپذیری که در پلتفرم Nest بود). با این حال، با این حال، دستگاههای هیو میتوانند به نست هم وصل شوند؛ (همانطور که میدانید) نست نه ننها به قفلهای در و دوربینها دسترسی دارد که در برخی موارد حتی به اپهای طرفسوم نیز اجازه میدهد آنها را غیرفعال کنند.
چطور از خانهی هوشمند خود مراقبت کنیم
ظاهراً حفرههای امنیتی در هر دستگاه خانگی اتوماسیونی پیدا میشود. حال باید از این خبر ترسید؟ شاید چشمک زدن یک چراغ یا گرمای خارج از کنترل شرایط خوبی نباشد اما در هر صورت خیلی هم خطرناک نیستند. دلیلش این است که مجرمان سایبری علاقهی چندانی به آن ندارند. اما یک قفل هوشمند یا دوربین امنیتی هکشده شاید وضعیت نگرانکنندهتری را رقم بزند. به یاد داشته باشید که بسیاری از سارقان برای پیروزی در این میدان از اهرم (crowbar) استفاده میکنند و نه اکسپلویت.
در هر صورت، این دیگر به شما بستگی دارد که دوست داشته باشید خانهتان را هوشمند کنید یا نه. اگر تصمیم به هوشمندسازی خانهی خود گرفتید پس بهتر است ریسک هک شدن را پایین بیاورید. میپرسید چگونه؟ پاسختان اینجاست:
- پیش از خرید با دقت زیاد تحلیلها و تحقیقهایی را که روی دستگاهها انجام شده است بررسی کنید. توجه داشته باشید چطور تولیدکننده به آسیبپذیریهای کشفشده واکنش نشان میدهد. اگر دیدید مشکلات خیلی سریع از سوی تولیدکننده برطرف میشود پس این نشانهی خوبی است.
- اگر تصمیم به استفاده از اپ یا دستگاه خاصی گرفتهاید مطمئن شوید همیشه در جریان آپدیتها و کشف و شناسایی آسیبپذیریها هستید. همهی آپدیتهایی را که توسط توسعهدهندگان منتشر میشود سر موعد خاص خود نصب کنید.
- با استفاده از رمزعبورهای قوی و منحصر به فرد از دستگاهها و پنلهای نظارتی خود محافظت کنید. بدینترتیب، مهاجم سایبری دیگر با یک «حملهی جستجوی فراگیر فضای کلید[1]» قادر به غارت خانهتان نخواهد بود.
- به طرز صحیحی شبکهی خانگی وایفای خود را تنظیم نمایید.
- برنامهها را تنها از منابع اصلی و رسمیشان دانلود کنید و قبل صدور مجوز به آنها به درخواستهایشان خوب دقت کنید.
- وقتی از وایفای عمومی به خانهی هوشمند خود وصل میشوید به یاد داشته باشید که طرفهای سوم میتوانند اطلاعاتی که توسط شما و اپهایتان به صورت آنلاین ارسال شده را قطع کند- مانند رمزعبورها و رمزهای مجوز. برای جلوگیری از این موقعیت از کانکشن امن و مطمئن VPN استفاده کنید.
[1] brute-force attack، حملهای است که در آن تمام حالات ممکن تا رسیدن به جواب بررسی میگردد.
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.