Berta Sándor
Zsarolhatja a lakót a feltört okostermosztát
Biztonsági kutatók bemutatták, hogy mennyire könnyen manipulálhatók az okos hőszabályzók.
A Def Con konferencián Andrew Tierney és Ken Munro biztonsági kutató hívta fel a figyelmet arra, hogy lehetséges egy okostermosztát feltörése és az eszköz ráadásul még az adott ház lakóinak megzsarolására is felhasználható. A két szakember ehhez csupán egy olyan SD memóriakártyát alkalmazott, amelyen a felhasználók a saját hőmérsékleti beállításaikat tárolhatták. Tierney és Munro egy ilyen SD memóriakártyán megtalálták a készülék firmwarejét is és kiderítették, hogy az adott eszköz nem vizsgálja át a tárolt adatokat, mielőtt felhasználná azokat. Ezt az utat kihasználva sikerült rosszindulatú kódot becsempészniük a termosztátba, majd teljes mértékben átvenni az irányítást a hőszabályzó felett.
A módosításnak köszönhetően lehetővé válhat télen a fűtés kikapcsolása vagy nyáron a fűtés maximális fokozatra állítása. Emellett lehetséges egyszerre fűteni és hűteni is, amivel meglehetősen komoly áramszámla okozható vagy a fűtési funkció gyors ki- és bekapcsolásával is kellemetlenséget lehet okozni. A kutatóknak sikerült egy zsarolóvírust feltelepíteniük a termosztátra. A program egészen addig nem hagyja a hőmérsékletet megváltoztatni, amíg a felhasználó ki nem fizette a követelt összeget. A szakemberek közölték, hogy már az olyan egyszerű védelmi mechanizmusok is elegendőek lettek volna a műveletük kivédésre, mint a firmware titkosítása, egy egyszerű tűzfal alkalmazása vagy az egy időben történő fűtést és hűtést megakadályozó megoldás használata.
A feltört termosztátra kiírták, hogy 1 bitcoint kérnek az irányítás visszaadásáért
Tierney és Munro célja csupán az volt, hogy felhívják a figyelmet a problémára vagyis a dolgok internetéhez (IoT) kapcsolódó eszközök rossz biztonsági helyzetére. A Motherboard arról számolt be, hogy a kutatóknak csak a konferencia előtt sikerült feltörniük a hőszabályzót, így még nem tudták értesíteni az érintett gyártót. A két férfi szerint egy olyan eszköz sebezhetőségét sikerült bizonyítani, amely támadási célpont lehet és amelyen keresztül személyes adatok is megszerezhetők. Azt remélik, hogy az ipar orvosolja a problémát még a valódi támadások bekövetkezése előtt. Mindenesetre megoldást jelenthet a nem okos hőszabályzók használata is.
Napjainkban teljesen szabályozatlan a dolgok internetének biztonsága. Pedig nagyon is fontosak lehetnek a hosszú távú biztonsági funkciók az IoT-eszközökben.
A Def Con konferencián Andrew Tierney és Ken Munro biztonsági kutató hívta fel a figyelmet arra, hogy lehetséges egy okostermosztát feltörése és az eszköz ráadásul még az adott ház lakóinak megzsarolására is felhasználható. A két szakember ehhez csupán egy olyan SD memóriakártyát alkalmazott, amelyen a felhasználók a saját hőmérsékleti beállításaikat tárolhatták. Tierney és Munro egy ilyen SD memóriakártyán megtalálták a készülék firmwarejét is és kiderítették, hogy az adott eszköz nem vizsgálja át a tárolt adatokat, mielőtt felhasználná azokat. Ezt az utat kihasználva sikerült rosszindulatú kódot becsempészniük a termosztátba, majd teljes mértékben átvenni az irányítást a hőszabályzó felett.
A módosításnak köszönhetően lehetővé válhat télen a fűtés kikapcsolása vagy nyáron a fűtés maximális fokozatra állítása. Emellett lehetséges egyszerre fűteni és hűteni is, amivel meglehetősen komoly áramszámla okozható vagy a fűtési funkció gyors ki- és bekapcsolásával is kellemetlenséget lehet okozni. A kutatóknak sikerült egy zsarolóvírust feltelepíteniük a termosztátra. A program egészen addig nem hagyja a hőmérsékletet megváltoztatni, amíg a felhasználó ki nem fizette a követelt összeget. A szakemberek közölték, hogy már az olyan egyszerű védelmi mechanizmusok is elegendőek lettek volna a műveletük kivédésre, mint a firmware titkosítása, egy egyszerű tűzfal alkalmazása vagy az egy időben történő fűtést és hűtést megakadályozó megoldás használata.
A feltört termosztátra kiírták, hogy 1 bitcoint kérnek az irányítás visszaadásáért
Tierney és Munro célja csupán az volt, hogy felhívják a figyelmet a problémára vagyis a dolgok internetéhez (IoT) kapcsolódó eszközök rossz biztonsági helyzetére. A Motherboard arról számolt be, hogy a kutatóknak csak a konferencia előtt sikerült feltörniük a hőszabályzót, így még nem tudták értesíteni az érintett gyártót. A két férfi szerint egy olyan eszköz sebezhetőségét sikerült bizonyítani, amely támadási célpont lehet és amelyen keresztül személyes adatok is megszerezhetők. Azt remélik, hogy az ipar orvosolja a problémát még a valódi támadások bekövetkezése előtt. Mindenesetre megoldást jelenthet a nem okos hőszabályzók használata is.
Napjainkban teljesen szabályozatlan a dolgok internetének biztonsága. Pedig nagyon is fontosak lehetnek a hosszú távú biztonsági funkciók az IoT-eszközökben.