ΠαÏ?αμÏ?θι χωÏ?ίς όνομα (Tale Without Name)
Οι έξυπνες πόρτες, τα λουκέτα, οι θερμοστάτες, τα ψυγεία, οι αναπηρικές καρέκλες και ακόμη και οι συστοιχίες ηλιακών συστοιχιών ήταν μεταξύ των συσκευών internet-of-things που έπεσαν σε χάκερ κατά τη διάρκεια του χωριού IoT που πραγματοποιήθηκε στο DEF CONFIRMATION CONFIRMATION
Ένα μήνα μετά τη λήξη της διάσκεψης, τα αποτελέσματα είναι: 47 νέες ευπάθειες που επηρεάζουν 23 συσκευές από 21 κατασκευαστές αποκαλύφθηκαν κατά τις συνομιλίες για την ασφάλεια του Διαδικτύου, τα εργαστήρια και τους διαγωνισμούς hacking. τα ευπάθειες που εντοπίστηκαν κυμαίνονταν από κακές αποφάσεις σχεδιασμού, όπως η χρήση κρυφών κωδικών και σκληρών κωδικών πρόσβασης σε κωδικοποιητικές ατέλειες όπως υπερχείλιση buffer και έγχυση εντολών.
[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας των Windows ]
Οι κλειδαριές θυρών και τα λουκέτα από τους πωλητές όπως οι Quicklock, iBlulock, Plantraco, Ceomate, Elecycle, Vians, Lagute, Okidokeys, Danalock βρέθηκαν ευάλωτοι σε εισβολές με κωδικό πρόσβασης και επανάληψη, τις κλειδαριέςΜια αναπηρική καρέκλα από έναν άγνωστο προμηθευτή είχε μια ευπάθεια που θα μπορούσε να εκμεταλλευτεί για να απενεργοποιήσει ένα χαρακτηριστικό ασφαλείας και να πάρει τον έλεγχο της συσκευής. Ένας θερμοστάτης από την Trane χρησιμοποίησε ένα αδύναμο πρωτόκολλο απλού κειμένου που επέτρεπε στους επιτιθέμενους να προκαλέσουν υπερβολική θέρμανση, αστοχίες κλιβάνου ή κατεψυγμένους σωλήνες νερού με χειρισμό της λειτουργικότητας του θερμοστάτη.
Αρκετά ζητήματα ασφάλειας, συμπεριλαμβανομένου ενός σκληρού κωδικού πρόσβασης, η σύνδεση σημείου πρόσβασης και η έλλειψη κατακερματισμού του δικτύου βρέθηκαν σε μια συσκευή διαχείρισης ηλιακών συστοιχιών από την Tigro Energy
Με την εκμετάλλευση αυτών των ατελειών "μπορώ να κλείσω το ισοδύναμο μιας μικρής ή μεσαίας εγκατάστασης παραγωγής ενέργειας ή μπορώ να χρησιμοποιήσω αυτό όπως το trojan στο δίκτυο του στόχου, για να τους κατασκοπεύσει ", γράφει στην περιγραφή τους ο Fred Bret-Mounet, ο ερευνητής που βρήκε τα ζητήματα. "Είναι πολύ πιθανό ότι μπορώ να αποκαταστήσω φυσικά μια ηλιακή συστοιχία χρησιμοποιώντας αυτή τη συσκευή."
Ένας άλλος ερευνητής διαπίστωσε ότι θα μπορούσε να μετατρέψει την πρόσβαση επισκέπτη σε έξυπνη κλειδαριά από έναν πωλητή που ονομάζεται Αύγουστος σε αμετάκλητη διαχειριστική πρόσβαση. Η απόκτηση βραχυπρόθεσμης πρόσβασης στο τηλέφωνο του κατόχου της κλειδαριάς μπορεί επίσης να μετατραπεί σε μακροπρόθεσμη πρόσβαση διαχειριστή.
"Εάν αγοράσατε μια κλειδωμένη ASL-01 κλειδαριά, οποιοσδήποτε προηγούμενος ιδιοκτήτης ή επισκέπτης προηγούμενου ιδιοκτήτη θα μπορούσε να αποκτήσει πρόσβαση στο σπίτι σας , Δήλωσε ο ερευνητής. "Αν αγοράσατε μια κλειδαριά που χρησιμοποιήθηκε στο eBay, ο προηγούμενος ιδιοκτήτης ξέρει πού ζείτε."
Οι συσκευές οικιακής δικτύωσης δεν εξαντλήθηκαν. Μία υπερχείλιση buffer και ένα ελαττωματικό ζήτημα εγκυρότητας αιτήματος μεταξύ των τοποθεσιών βρέθηκε στην επέκταση ασύρματης σειράς Belkin F9K1122 και βρέθηκε μια υπερχείλιση buffer στον ασύρματο δρομολογητή ZyXel NBG6716. Οι αδυναμίες θα μπορούσαν να αξιοποιηθούν για να αναλάβουν τον έλεγχο των τοπικών δικτύων
Είναι ο δεύτερος χρόνος που το χωριό IoT διεξήχθη στο DEF CON και η εκδήλωση οδήγησε μέχρι στιγμής στην ανακάλυψη 113 κρίσιμων τρωτών σημείων σε προϊόντα καταναλωτών και επιχειρήσεων IoT. Η επιτυχία της δείχνει ότι πολλοί κατασκευαστές συσκευών σε αυτό το τμήμα τεχνολογίας συνεχίζουν να αγνοούν τις βέλτιστες πρακτικές ασφαλείας.
Παρόλο που έχουν καταβληθεί κάποιες προσπάθειες για την κατάρτιση οδηγών ασφαλείας και προτύπων για πωλητές IoT, η βιασύνη για την εισαγωγή νέων "έξυπνων" δυστυχώς σημαίνει ότι πολλοί από αυτούς θα έχουν κρίσιμες ατέλειες.
Τα τρωτά σημεία της μηδενικής ημέρας και τα τρωτά σημεία του προγράμματος περιήγησης το 2014
Η Secunia διαπίστωσε ότι συνολικά πάνω από το 83 τοις εκατό των τρωτών σημείων είχαν έτοιμες ενημερώσεις όταν τα ελαττώματα έγιναν δημόσια
Οι χάκερ ανακάλυψαν 47 νέα τρωτά σημεία σε 23 έξυπνες συσκευές στο DEF CON
Οι κατασκευαστές κατά τη διάρκεια του χωριού IoT στο DEF CON
