11:27
10/2/2020

W popularnym systemie inteligentnego oświetlenia znaleziono błąd, który pozwala na wprowadzenie złośliwego oprogramowania (np. ransomware’u) do sieci domowej lub firmowej. To kolejna okazja by przypomnieć, że w dzisiejszych czasach nawet żarówki mogą być niebezpieczne.

Hackowanie przez żarówki

Nawet jeśli jeszcze nie używasz inteligentnych systemów oświetlenia to zapewne o nich słyszałeś. Zwykle takie systemy składają się z żarówek oraz dodatkowych urządzeń sterujących, które komunikują się ze sobą za pośrednictwem sieci Wi-Fi. Użytkownik ma możliwość m.in. sterowania oświetleniem za pomocą smartfona i komend głosowych. Zdjęcie poniżej przedstawia jeden z takich systemów i nieprzypadkowo właśnie ten.

Zestaw inteligentnego oświetlenia Phillips Hue – żarówki oraz tzw. mostek

Badacze Check Point postanowili sprawdzić czy możliwe jest wykorzystanie takiego oświetlenia w celu zaatakowania sieci domowej lub firmowej. Na celownik wzięli inteligentne żarówki Philips Hue i ustalili, że w ich oprogramowaniu znajduję się błąd umożliwiający taki atak (konkretnie luka CVE-2020-6007). Co ciekawe, dostanie się do sieci domowej wymaga pewnej interakcji z użytkownikiem, ale da się ją wywołać.

  1. Atakujący uzyskuje dostęp do jednej żarówki. Zmienia jej kolor lub wyłącza ją w taki sposób, aby stworzyć wrażenie usterki.
  2. Użytkownik może spróbować “zresetowania” żarówki poprzez usunięcie jej z aplikacji i dodanie na nowo.
  3. Tzw. mostek (urządzenie sterujące będące w zestawie Phillips Hue) wykrywa zaatakowaną żarówkę. Użytkownik dodaje ją do swojej sieci.
  4. Żarówka kontrolowana już przez atakującego wykorzystuje błędy w protokole ZigBee w celu wywołania w mostku przepełnienia bufora na stercie. To umożliwia zainstalowanie na mostku złośliwego oprogramowania.
  5. Złośliwe oprogramowanie łączy się z atakującym infiltrując sieć przy pomocy znanych eksploitów (np.  EternalBlue) w celu rozsyłania np. ransomware’u lub oprogramowania szpiegującego.

Film poniżej prezentuje atak.

Firmy Philips i Signify zostały poinformowane o błędzie i wydały już załataną wersję firmware’u. Jeśli ktoś z was korzysta z żarówek Phillips Hue powinien zatroszczyć się upewnić, czy jego firmware przeszedł automatyczną aktualizację (do wersji 1935144040).

Check Point nie opublikował szczegółów technicznych ataku chcąc dać użytkownikom czas na załatanie swoich urządzeń. Szczegóły te poznamy w ciągu najbliższych tygodni.

Ale to już było?

Opisany powyżej problem jest dość świeży, ale może brzmieć znajomo. Problemy z inteligentnymi żarówkami już były, a ten kto brał udział w naszym wykładzie pt. “Wszystko można zhackować, czyli jak podglądać kogoś przez telewizor i podsłuchiwać przez lodówkę?” zna też inne przykład nadużycia miru domowego poprzez urządzenia IoT. Problem w tym, że żarówki (i nie tylko) łączą się z siecią domową lecz jednocześnie nie są postrzegane jako krytyczne dla bezpieczeństwa. Ten sam problem dotyczy wielu innych urządzeń IoT, do których moglibyśmy zaliczyć także rozruszniki serca albo drukarki (nie mówiąc już o szczoteczkach do zębów).

Już siedem lat temu badacz nazwiskiem Nitesh Dhanjani opublikował 46-stronicowy raport na temat luk bezpieczeństwa w systemie Phillips Hue. Opisane wówczas niedociągnięcia pozwalały na zdalne wyłączanie świateł, co nie jest wcale trywialnym problemem zważywszy na to, że takie żarówki instaluje się w miejscach interesujących dla złodziei. Badacz miał poważne problemy ze zgłoszeniem luki producentowi (to niestety częste na rynku IoT).

Trzy lata później do tematu wrócili badacze z Weizmann Institute of Science oraz  Dalhousie University w Halifax. Opublikowali oni raport pt. IoT Goes Nuclear: Creating a ZigBee Chain Reaction. Był to ciekawy materiał bo skupiał się on na nieco futurystycznym zagrożeniu jakim jest atak na inteligentne miasto. Badacze doszli do wniosku, że możliwe jest stworzenie robaka, który automatycznie rozprzestrzenia się na żarówki położone odpowiednio blisko siebie. Sprawdzono również możliwości ataku na żarówki z samochodu oraz z drona.

Nie tylko w żarówkach Phillips Hue znajdowano luki bezpieczeństwa. W roku 2019 na blogu LimitedResults opisano problem z żarówkami LIFX, które przechowywały hasło do sieci Wi-Fi w zwykłym tekście. Możliwe było również wyciągnięcie z firmware’u żarówki prywatnego klucza RSA. To też nie był pierwszy raz dla LIFXa, bo już w roku 2014 specjaliści z Context Security informowali, że błędy w tych żarówkach umożliwiają atak na domowe sieci.

Ze swojej strony możemy dodać, że wiemy jak problemowe jest uzyskanie kontaktu z niektórymi producentami urządzeń IoT. Część z nich daje wszelkim osobom z zewnątrz tylko jedną formą kontaktu – mail lub formularz na stronie. Być może należałoby zastanowić się nad jakimiś prawnymi regulacjami dotyczącymi bezpieczeństwa IoT? Kiedyś opisywaliśmy pewien niemiecki pomysł dotyczący bezpieczeńśtwa routerów i nie wydawał się on bardzo zły.

Przeczytaj także:

29 komentarzy

Dodaj komentarz
  1. Komentarz spamerski pozycjonujący:

    Hue hue hue hue hue.

    :D

    • Mogliby się postarać aby zielony czy żółty był podobnie jasny jak biały – wtedy hue hue hue miałoby sens. Wszystko po taniosze. Chińskie g… tak na prawdę.

      Myślę że tak samo po taniosze wykonali sri-fi.

  2. Ale mnie wystraszyliście – jakieś 10min przed otwarciem tego newsa moja żarówka (Yeelight) zaczęła wyczyniać jakieś dziwne harce (migotanie) co wcześniej jej się nie zdarzało.

    • Bo to Niebezpiecznik zhakował twoją żarówkę gdy weszłaś na tą stronę :-D

    • To ja … pozdrawiam ;)

  3. Dlatego ja mam na IoT wydzieloną podsieć na osobnym VLAN. Ma dostęp tylko do serwera sterującego i nigdzie więcej.

  4. Mam HUE, kilkanaście żarówek, czujniki ruchu, mostek, aktualizacja mostka do tej wersji wskoczyła 27-01-2020 r. i jest na razie ostatnią, problem polega na tym, że takich urządzeń jak ten mostek hue, telefony, dekodery TV internetowe, telefony voipowe NIE WPINA się do sieci komputerowej tylko wydzielonej, ja mam takie urządzenia podpięte do odseparowanej sieci tak po wifi jak i ethernet bo nigdy nie miałem do tego typu urządzeń zaufania, gdzie w niektórych firmware był aktualizowany kilka lat temu a nowego nie ma.

  5. Dziwi mnie jedynie, wciąż mała ilość szumu w mediach na temat dziur w IoT i ataków z tym związanych.
    A do domowego zastosowania; czekam aż któremuś startup’owi uda się w końcu wypuścić na rynek przystępne i otwarte moduły do domowego IoT działającego po kabelku (np “GetWired” używające RS485).
    Tymczasem, osobne WiFi i VLAN dla takich zabawek z ścisłym filtrowaniem ruchu – tylko komu oprócz mnie się chce?.. (serio pytam)

  6. IMHO używanie w dzisiejszych czasach jakiegokolwiek sprzętu IOT to automatyczne narażanie się na niebezpieczeństwo. Dokąd nie powstaną standardy ogólnoświatowe i jednorodny system sterowania i auto-aktualizacji to ja dziękuje bardzo za jakiekolwiek urządzenia IOT.

  7. Błędy to jak Armia Czerwona: były, są i będą ;-)
    Dlatego IoT mam w osobnym VLAN, gdzie jest tylko to. Ruch do aplikacji idzie przez firewall z analizatorem pakietów.
    No i włączone auto-update, zawsze i wszędzie.

  8. “Być może należałoby zastanowić się nad jakimiś prawnymi regulacjami dotyczącymi bezpieczeństwa IoT?” Serio? Chcemy iść w kierunku rynku motoryzacyjnego, gdzie tylko największych stać na wprowadzenie nowego produktu na rynek (czyli do seryjnej produkcji)?
    Ja rozumiem troskę o bezpieczeństwo, ale jeśli “rozwiązaniem” mają być obostrzenia prawne ograniczające konkurencję (bo głównie do tego one wbrew nazwie posłużą) to efekt będzie dokładnie odwrotny od zamierzonego. Tj. dziur będzie może i mniej, ale głównie dlatego, że urządzeń/producentów będzie mniej.
    PS. Ochrona Kowalskiego “dla jego własnego dobra”, za pomocą prawa ograniczającego Kowalskiemu wybór, nie zmieni głupich zachowań Kowalskiego. Niech Kowalski płaci sam za swoje błędy/wybory.
    PPS. Jeśli już koniecznie chcieć zrobić coś za “publiczne” pieniądze, to chyba najlepiej propagować/promować certyfikaty bezpieczeństwa nadawane przez prywatne laboratoria badawcze (taki znak jakości, ale nie ograniczający konkurencji na rynku). A dlaczego nie laboratoria państwowe? Bo będą tak samo podatne na korupcję (tylko za mniejsze kwoty), a jednocześnie będą miały większe kłopoty ze zdobyciem odpowiednich kompetencji.
    PPPS. Pewien mądry człowiek dawno temu powiedział coś w ten deseń: ludzie, którzy dla bezpieczeństwa rezygnują z wolności, nie zasługują ani na bezpieczeństwo, ani na wolność.

  9. > łączą się z siecią domową lecz jednocześnie nie są postrzegane jako krytyczne dla bezpieczeństwa

    Wszystko, co się łączy z siecią jest krytyczne dla bezpieczeństwa

  10. Jak to dobrze że ja takich żarówek nie kupuje a jeszcze sa z kamera jakby sie wlamali to by mnie dziady podgladawały

  11. A co by się stało gdyby ktoś nieautoryzowany po prostu wykręcił taką żarówkę, zainstował jakieś złośliwe oprogramowanie i wkręcił ją z powrotem?
    Domyślam się, że za każdym razem trzeba pewnie taką żarówkę instalować więc pewnie nie zostałoby to całkiem niezauważone, ale czy w praktyce nie stwarza to również potencjalnej luki? Wszystko zależałoby od czujności i przeszkolenia odpowiedzialnej za to osoby, a wątpię, żeby firmy zatrudniały jakichś wybitnych ekspertów do dbania o oświetlenie.

    • Dobrze gada, polać mu.

      A co byłoby, gdyby ktoś (choćby w instytucji, albo w szatni damskiej) wkręcił taką żarówkę z kamerką niezauważenie i sobie oglądał co tylko chciał? Jakiemu dozorcy przyszłoby do głowy, że żarówka na suficie jest kamerą?
      Dlaczego zakładamy, że to MY wkręcamy żarówki, a nie nam wkręcają?

    • Wystarczy podstawić nadajnik WIFI udający żarówkę, kto takie pierdoły montuje? Na pewno nikt kto zna się trochę na sieci :)

  12. I wlasnie dlatego mam zarowke ktora laczy sie tylko po bluetooth ;)

  13. Zaszyfrowana żarówka ransomware, zhakowana. Czas na powrót do świeczek ;) albo żarowych. O tempora o mores…

  14. Mi :) Pozdrawiam !

    Ps. Stworzenie odrębnegoodrebnej sieci to była pierwsza rzecz jaką zrobiłem przed uruchomieniem pierwszej żarówki (2016 r.)

  15. Czujesz dziwne kłucie w brzuchu? Możesz mieć raka!

  16. Ale po co to komu?

  17. Czy inteligentne świece LED są odporne na włamania? Jakże głupie i nieekologiczne jest wpychanie masy elektroniki do urządzeń prostych, które mają jeden cel i z reguły niską trwałość. I cała ta elektronika, do wyprodukowania której zużyto ileś tam energii, materiałów i czasu, trafi na wysypisko gdzieś w Indiach lub Afryce, bo jaśniepaństwo nie raczy ruszyć 4 liter do łącznika instalacyjnego żeby włączyć lub wyłączyć oświetlenie. Ano tak, specjalista wysokiej klasy nie będzie się trudził chodzeniem po domu i wciskaniem guzików.

  18. Dobrze, że u mnie w domu z migającym światłem poradzi sobie każdy elektryk. Póki co atomów miedzi jeszcze nikt nie zhakował.

    • Raczej elektronów prądu. Ale i tak nie pocieszę Ciebie. Nie ma rzeczy niehakowalnych, czymże są atomy i elektrony lub ich chwilowy (kwantowy) układ / stan.

  19. Jakoś tak dziwnie się przyjęło, że chyba większość urządzeń IoT potrzebuje się raz na jakiś czas połączyć ze swoim serwerem przez Internet. Dzięki temu m.in. można gasić światło przez Internet bez konieczności przekierowywania portów, czy konfigurowania VPNów. To coś dla wygody użytkownika. Pewnie też przechowują tam swoje scenariusze. To i liczne zaniedbania producentów powodują, że jest tak niebezpiecznie. Nikt jeszcze nie traktuje bezpieczeństwa takich urządzeń poważnie, a jedynie chcą na tym zarobić, ile się da. Sam fakt, że zewnętrzny serwer jest potrzebny budzi wątpliwości.
    Bezwzględnie trzeba umieszczać IoT w osobnych VLANach, monitorować ich zachowanie, zablokować dostęp do pozostałych sieci. Niektóre routery dają możliwość tworzenia wielu sieci WIFI ale to i tak na nic, skoro wszystkie prowadzą do tej samej podsieci. Powinna być jedna bramka, która pomieści, co trzeba i konkretne instrukcje czy wręcz konfiguratory do przekierowywania portów/VPNów. To trudne, bo każdy producent ma różne interfejsy, nie każdy użytkownika ma w ogóle zewnętrzny adres IP, więc i tu sposób konfiguracji się zmienia. Dużo czynników. Istnieją rozwiązania tj. np. Home Assistant, który podobno pomija problem zewnętrznego serwera ale trzeba poświęcić na niego jedno urządzenie. Przeciętny użytkownik raczej nie da sobie rady. Ja sam chciałbym się wyposażyć w czujniki, oświetlenie i termostat ale wiem, że proszę się o kłopoty. Może zrezygnuje.

  20. Tylu speców i żadne się nie zorientował, że hakowane są lampy LED. Żarówka z żarnikiem póki co nie da się zhakować. Żarówka bez żarnika to już nie jest sprawna żarówka albo w ogóle żarówka.
    Lampy LED możecie nazywać ledówki jak już wam się znudzą głupie i długie nazwy.

  21. A może Niebezpiecznik zaproponowałby jakiś poradnik jak ogarnąć sprzęty IoT? Jak to wszystko co mamy w domu bezpiecznie podłączyć?

  22. Ciekawe czy możliwy jest scenariusz zrobienia blackoutu na jakimś terenie za pomocą urządzeń IoT i podobnych wynalazków sterowanych w chmurze. Chińskie sprytne “smart-pstryczki-elektryczki” rejestruje się na jakimś zewnętrznym serwerze aby mieć do nich dostęp zewsząd (Biedronka takie sprzedaje) i mają możliwość załączania prądu do 10A. Jak się Chińczykom zachce mogą je włączyć wszystkie na raz… Xiajajomi w smartfonach z irdą ma taką apke “pilot MI” która może włączać wszystko, włącznie z klimatyzatorami i oczywiście wymaga dostępu do wszystkiego włącznie z lokalizacją GPS. Jeśli nauczymy naszego pilota włączać klimę, to Xiajajomi w “razie potrzeby” znajdzie jakiś swój smartfon w tej lokalizacji i w wielu innych i odpali wszystkie klimy w okolicy w jednym momencie… Odleciałem?

  23. co do sprzętu tzw. ętelegętnego, sens mają tylko te, które mają możliwość wgrania alternatywnego firmware. ten jest przynajmniej jakoś połatany w ramach publicznych projektów, a nie rutynowo składany z gotowych dziurawych klocków, jak to robią producenci ętelegętnego sprzętu, żarówek, włączników czy nawet domowych routerków.

    najgorsze są takie firmware, które wymagają z marszu wjazdu do neta aby w nich ożyła ętelegęcia .

    ale co stoi na przeszkodzie by tym wszystkim sterować za pomocą zamkniętego ekosystemu opartego o protokół DALI, a nawet 0-10V, na straży czego stoi np. jeden sterownik, który jest wysterowywany choćby przez raspberry pi albo małego peceta z linuxem.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: