hirdetés
hirdetés

Biztonságos?

Az okosotthonok veszélyei

Az internetre csatlakozó lakásbiztonsági rendszerek tulajdonosai valószínűleg nem az egyedüliek, akik otthonukat figyelik a távolból – derült ki a HP tesztjéből, amely a tíz legnépszerűbb eszköz mindegyikében sérülékenységet talált. 

hirdetés

Miután megjelent a dolgok internetjét alkotó, hálózatra csatlakozó tévék, termosztátok, hűtők, ajtózárak, lámpák, bébikamerák és más eszközök egyre szélesebb és sokszínűbb palettája, a lakossági piacra szánt – jellemzően videokamerákból, mozgásérzékelőkből, valamint a hozzájuk tartozó felhőszolgáltatásból és mobilalkalmazásból felépülő – biztonsági rendszerek hamar meghódították a piacot, mivel könnyen telepíthetők, és használatuk is egyszerű (mint bebizonyosodott, még a kelleténél is egyszerűbb). A Gartner becslése alapján idén már 4,9 milliárd dolog fog az internetre csatlakozni, 30 százalékkal több, mint tavaly, és számuk 2020-ra el fogja érni a 25 milliárdot.

A választék bővülésével párhuzamosan egyre-másra érkeznek a hírek a dolgok internetjén bekövetkező biztonsági eseményekről is. Februárban a Samsung hanggal is vezérelhető okostévéiről derült ki, hogy nem csupán a parancsszavakra figyelnek, hanem a közelükben elhangzó magánbeszélgetéseket teljes terjedelmükben továbbítják a gyártó felhőjébe. De bizarr történetet olvashattunk arról az okostermosztátról is, amellyel a lapátra tett férj távolról is le tudta hűteni a szenvedélyeket a helyére beköltöző szerető és exneje között.

Érthető, hogy az informatikai biztonsággal foglalkozó szakembereket élénken foglalkoztatják a dolgok internetjének sérülékenységei, és sorra jelennek meg a veszélyeket taglaló elemzések. Ezek gyűjteményét gyarapítja a HP tanulmánya (How safe are home security systems? – An HP study on IoT security, 2015) is, amely rávilágít, hogy a piac mennyire felkészületlen a dolgok internetjének gyors térhódítását kísérő biztonsági kockázatok kezelésében. 

Tízből tíz

Felismerve a felhőszolgáltatásokban, valamint az okostelefonokon és tableteken futó mobilalkalmazásokban rejlő lehetőséget, a gyártók sietve piacra léptek internetre csatlakozó lakásbiztonsági rendszereikkel. Jóllehet, az internetelérés kulcsfontosságú a távoli monitorozás és részben a riasztás szempontjából is, a HP elemzése felveti a kérdést, hogy a hálózatra csatlakozó, új generációs rendszerek valóban biztonságosabbá teszik-e az otthonokat, vagy sérülékenységük folytán tovább növelik a betörés kockázatát.

A teszt során a HP saját Fortify on Demand felhőalapú informatikai biztonsági szolgáltatásán keresztül értékelte ki a lakásbiztonsági eszközöket a hozzájuk tartozó, felhőben és mobil eszközökön futó alkalmazásokkal együtt, és arra a megállapításra jutott, hogy a vizsgált rendszerek egyike sem követelte meg az erős jelszavak használatát, ahogyan a kétfaktoros felhasználóazonosítás lehetőségét sem kínálta fel.

A felhőalapú és mobil kezelőfelületeket is kínáló lakásbiztonsági rendszerek többsége beérte egy mindössze hat karakterből álló, számjegyeket és betűket tartalmazó jelszó megadásával, arra viszont egyikük sem volt képes, hogy bizonyos számú sikertelen próbálkozás után letiltsa a vélhetően jogosulatlanul behatolni próbáló felhasználót. 

Olyan sérülékenységeket tárt fel a HP a felhőalapú, webes csatolófelületek mindegyikénél a felhasználói fiókok kezelése, a jelszószabályok és a felhasználóletiltás vonatkozásában, amelyeket kihasználva egy támadó könnyen hozzáférhet a rendszerhez. Tízből öt mobilalkalmazás csatolófelületénél hasonló hiányosságokat azonosított a HP.

Kémlelő kamerák

A vizsgált tíz rendszer mindegyike bekéri a tulajdonos személyes adatait, nevét, címét, születési idejét, telefonszámát, sőt még hitelkártyaszámát is. Tekintve a rendszerek sérülékenységét, az ilyen érzékeny információk kiszolgáltatottsága komoly aggodalomra ad okot.

Nem hagyható figyelmen kívül az sem, hogy az internetre csatlakozó lakásbiztonsági rendszerek lényegi funkciója a távoli videomegfigyelés, a tulajdonos a felszerelt webkamerákkal és okostelefonjával vagy tabletjével bármikor és bárhonnét körbenézhet otthonában. Ezek a felhőbe továbbított videofelvételek ugyanolyan könnyen illetéktelenek kezébe kerülhetnek, mint az említett személyes adatok, annak ellenére, hogy a rendszerek mindegyike alkalmaz valamilyen, például SSL/TSL titkosítást az átvitel védelmére. Felhőelérésüket a HP sérülékenynek találta, azokat pl. egy POODLE (Padding Oracle On Downgraded Legacy Encryption), azaz közbülső ember típusú támadás könnyen kompromittálhatja. A gyártóknak ezért különösen nagy gondot kellene fordítaniuk az adatátvitel megfelelő titkosítására, figyelmeztet a HP, elvégre a lakásbiztonsági rendszerek elsődleges funkciója a védelem lenne.

– Miközben az újdonság felett érzett örömünkben izgatottan próbáljuk ki a hálózatra csatlakozó eszközök kényelmi szolgáltatásait, meg kell értenünk azt is, hogy ezek a termékek milyen sebezhetővé tehetik otthonunkat és családunkat – mondta Jason Schmitt, a HP Fortify biztonsági termékvonaláért felelős alelnöke. – A tíz legelterjedtebb lakásbiztonsági rendszer mindegyikében alapvető informatikai biztonsági hiányosságokat tártunk fel, ami arra hívja fel a fogyasztók figyelmét, hogy nagyon körültekintően kell eljárniuk, és minden elérhető biztonsági óvintézkedést meg kell tenniük, amikor ilyen rendszert választanak és telepítenek otthonukban. Tesztünk eredménye egyben figyelmezteti a gyártókat is felelősségükre, hogy erősebb védelmet adó biztonsági funkciókkal kell felvértezniük termékeiket, mert ellenkező esetben akaratlanul is komoly kockázatoknak teszik ki ügyfeleiket.

Mit kell tenni?

Addig is, amíg a gyártók beépítik okosotthonokba szánt termékeikbe a nagyobb biztonságot adó képességeket, és amíg a törvényhozók is lépnek annak érdekében, hogy ezt valamilyen módon előírják, a fogyasztóknak néhány alapvető óvintézkedést mindenképp meg kell tenniük, mielőtt hálózatra csatlakozó eszközöket vásárolnak és telepítenek lakásukba. Legyen szó az ingatlant védő rendszerről, okostévéről vagy -termosztátról, a magasabb ár ellenére is érdemes márkás, megbízható gyártótól származó eszközt választani, de még ebben az esetben is meg kell győződni róla, hogy az bír a kulcsfontosságú biztonsági funkciókkal: erős jelszavak használatát kényszeríti ki, kétfaktoros azonosítást alkalmaz, és letiltja a jelszavak megfejtésével próbálkozó felhasználókat.

Célszerű a – szintén erős jelszóval védett – otthoni hálózatot is eszközcsoportonként több szegmensre osztani, mert így a támadó akkor sem fér hozzá az otthoni munkára vagy szórakozásra használt PC-khez és médiatárakhoz, ha az okostermosztátot történetesen fel is töri. A vezeték nélküli útválasztók (Wi-Fi-routerek) gyártói közül több is kínál olyan webes kezelőfelületet, amelyen a laikusok is elboldogulnak a hálózatfelügyelet alapfeladataival, de tanácsot, segítséget lehet kérni az internetszolgáltató ügyfélszolgálatán is.

Kis Endre
a szerző cikkei

hirdetés
Ha hozzá kíván szólni, jelentkezzen be!
 
hirdetés
hirdetés
hirdetés

Kiadónk társoldalai

hirdetés