כיצד פרצתי לסלון שלי? זוהו פרצות במוצרי בידור ביתי נפוצים

דף הבית >> חדשות אבטחה ועולם הסייבר >> כיצד פרצתי לסלון שלי? זוהו פרצות במוצרי בידור ביתי נפוצים

כיצד פרצתי לסלון שלי? זוהו פרצות במוצרי בידור ביתי נפוצים

מאת: מערכת Telecom News, 21.8.14, 16:12דייויד ג'ייקובי

האקרים בסלון הביתי: מוצרי בידור ביתי מקושרים מהווים איום סייבר אמיתי בגלל פרצות בתוכנה ומחסור באמצעי אבטחה בסיסיים, כגון הפעלת סיסמאות ברירת מחדל חזקות למערכת הניהול והצפנה של קישוריות האינטרנט.
 
אנליסט של מעבדת קספרסקי, דיוויד ג'ייקובי, (בתמונה), ערך מחקר בסלון ביתו כדי לגלות עד כמה ביתו מוגן ממתקפות סייבר. הוא בחן את מכשירי הבידור הביתי, כגון אחסון מבוסס רשת (NAS), טלוויזיות חכמות, נתבים, נגני בלו ריי ועוד, על מנת לגלות אם הם פרוצים להתקפות סיייבר. אז זהו, מסתבר שכן. המחקר פורסם היום.

המומחה של מעבדת קספרסקי בחן 2 מודלים של פתרונות אחסון NAS של 2 ספקים שונים, טלוויזיה חכמה אחת, מקלט לווין ומדפסת רשת. כתוצאה מהמחקר, הוא הצליח  לזהות 14 פרצות באחסון הרשת, פירצה בטלוויזיה החכמה והיתכנות ליכולות שליטה מרחוק המסתתרות בנתב.

כחלק ממדיניות פרסום אחראי, מעבדת קספרסקי אינה חושפת את שמות הספקים, שהמוצרים שלהם נבחנו במחקר עד אשר יופץ עדכון לסגירת הפרצות שנמצאו. היא עבדה באופן הדוק עם הספקים כדי לחסל כל פירצה שנמצאה.

הפעלת קוד מרחוק וסיסמאות חלשות. הפרצות החמורות ביותר נמצאו באחסון הרשת. חלק מהן מאפשרות לתוקף להפעיל מרחוק פקודות מערכת עם הרשאות הניהול הגבוהות ביותר. המכשירים שנבדקו הכילו סיסמאות ברירת מחדל חלשות, לרבים מקבצי ההגדרות היו הרשאות שגויות והם גם הכילו סיסמאות בטקסט פתוח. ראויה לציון במיוחד סיסמת הניהול הראשית של אחד המכשירים שנבדקו, שהכילה רק ספרה אחת. מכשיר אחר אף שיתף את כל הרשת בקבצי ההגדרות עם סיסמאות מוצפנות.

באמצעות פירצה אחרת הצליח החוקר להעלות קובץ אל זיכרון האחסון, שאינו נגיש למשתמשים רגילים. אם הקובץ היה זדוני, המכשיר היה הופך מקור להדבקה עבור כל מכשיר אחר, שהיה מתחבר ל- NAS כגון מחשב ביתי, או לחליפין, אפילו לשמש כמקור "bot" להתקפות DDoS. יתרה מכך, מאחר שהפירצה אפשרה להעלות קובץ לאזור מיוחד במערכת הקבצים של המכשיר, הדרך היחידה למחוק אותו הייתה להשתמש באותה הפירצה. כמובן שזו אינה משימה שכיחה, אפילו עבור מומחה טכני, שלא לדבר על המשתמש הממוצע של מכשור ביתי.

התקפת "האיש שבתווך" דרך טלוויזיה חכמה: במהלך חקירת רמת האבטחה של הטלוויזיה החכמה האישית שלו, גילה החוקר, שאין אף הצפנה בתקשורת בין הטלוויזיה והשרתים של ספק הטלוויזיה. הדבר פותח את הדלת להתקפות האדם שבאמצע ("Man-in-the-Middle"), שכתוצאה מהן, במקום לרכוש תוכן לגיטימי לצפייה בטלוויזיה, יעביר המשתמש כספים לפושעי רשת. לצורך הוכחת היתכנות של הפירצה, הצליח החוקר להחליף את האייקון בממשק הגרפי של הטלוויזיה החכמה בתמונה אחרת. בדרך כלל הווידג'טים והאייקונים מגיעים מהשרת של ספק הטלוויזיה, ובגלל המחסור בקישוריות מוצפנת המידע יכול להיות מטופל ע"י גורמים חיצוניים. החוקר גם גילה, שהטלוויזיה החכמה מסוגלת להפעיל קוד ג'אווה, בשילוב היכולת ליירט את החלפת הנתונים בין הטלוויזיה והאינטרנט. התוצאה יכולה להיות התקפה זדונית.

יכולות ריגול מוסתרות של הנתב: נתב ה-,DSL ששימש כדי לספק אינטרנט אלחוטי לכל המכשירים המקושרים האחרים בבית, מכיל מספר מאפיינים מסוכנים המוסתרים מהמשתמש. עפ"י החוקר, חלק מיכולות מוסתרות אלו עלולות לאפשר לספק שירותי האינטרנט גישה מרחוק לכל מכשיר ברשת הפרטית. חשוב מכך, עפ"י תוצאות המחקר, אזורים בממשק הרשת של הנתב הנקראים "מצלמות רשת", "הגדרות מומחה טלפוניה", "שליטה בגישה", "חיישן WAN", ו"עדכונים", מוסתרים מהמשתמש ולא ניתנים לעדכון ע"י הבעלים של המכשיר.

ניתן לגשת אליהם רק דרך ניצול פירצה די גנרית, שמאפשרת לנוע בין אזורים בממשק (שהם בסך הכל דפי אינטרנט, שלכל אחד מהם כתובת אלפאנומרית) באמצעות פריצה כוחנית של המספרים בסוף הכתובת.

במקור, פונקציות אלה הוטמעו לצורך נוחות הבעלים של המכשיר: הגישה מרחוק מאפשרת לספקי האינטרנט לפתור בעיות טכניות במהירות ובקלות על גבי המכשיר, אבל נוחות זו עלולה להפוך לסיכון אם השליטה נופלת בידיים הלא נכונות. 

דיוויד ג'ייקובי, כותב המחקר: "אנשים פרטיים וחברות צריכים להבין את סיכוני אבטחת המידע הקשורים במכשירים מקושרים. אנו גם נדרשים לזכור, שהמידע שלנו אינו מאובטח רק בגלל שיש לנו סיסמא חזקה וכי ישנם דברים רבים, שאנו לא יכולים לשלוט בהם. לקח לי פחות מ-20 דקות למצוא ולאמת פרצות חמורות ביותר במכשיר, שנראה בטוח וששמו אף מרמז על אבטחה. כיצד מחקר דומה יסתיים אם הוא ייערך בהיקף נרחב בהרבה מאשר הסלון שלי? זו רק אחת מהשאלות הרבות, שאנו צריכים לענות עליהן יחדיו, בעתיד הקרוב, יצרני המכשירים, קהילת אבטחת המידע והמשתמשים. כפי שלמדתי משיחות עם ספקים, חלק מהם לא יפתח עדכון אבטחת מידע למכשיר פרוץ לאחר סיום מחזור החיים שלו. בדרך כלל, מחזור החיים נמשך שנה או שנתיים, בעוד בעולם האמיתי אורך השימוש במכשירים כמו NAS הוא ארוך בהרבה. בכל דרך בה מסתכלים על הדברים, זו אינה מדיניות הוגנת במיוחד".

כיצד להישאר מוגן בעולם של מכשירים מקושרים:

הפוך את חיי ההאקר לקשים יותר: כל המכשירים שלך צריכים להיות מעודכנים עם עדכוני התוכנה והחומרה האחרונים. הדבר ימזער את הסיכון לניצול פרצות מוכרות.
 
היה בטוח, שאתה משנה את ברירת המחדל של שם המשתמש והסיסמא. זה הדבר הראשון, שהתוקף יבדוק  בעת הפריצה למכשיר.
 
ברוב הנתבים והמתגים הביתיים ישנה אפשרות להגדיר את הרשת שלך עבור כל מכשיר וגם להגביל גישה למכשיר בסיוע מספר DMZ (אזורי רשת נפרדים עבור מערכות עם רמת סיכון גדולה יותר) ו-VLAN (מנגנון ליצירת הפרדה לוגית בין רשתות שונות על גבי רשת פיסית). לדוגמא, אם יש לך טלוויזיה, אתה עשוי לרצות להגביל גישה לאותה טלוויזיה ולאפשר לה גישה רק למשאב מסוים ברשת. אין ממש , שהמדפסת שלך תקושר לטלוויזיה.

המחקר המלא "האינטרנט של הדברים: כיצד פרצתי לסלון שלי" זמין - כאן.


פריצה לטלוויזיה



 
 
Bookmark and Share


 


לוח מודעות
יזמים? יש לכם רעיון מבריק? נמשכת ההרשמה למחזור הבא של TLV Generator. ההרשמה - כאן

מחפשים הגנה מושלמת על הגלישה הניידת והנייחת ועל הפרטיות מפני כל תוקף? הפתרון הזול והטוב בעולם - כאן.

ניוזלטר שלישי של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר שני של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

ניוזלטר ראשון של האתר הופץ לנרשמים לאתר - ניתן לצפייה כאן.

לוח אירועים וכנסים של עולם ההיי-טק - כאן.

מחפש מחקרים? מאות מחקרים עדכניים מהשנה האחרונה מצויים כאן

מחפש תוכנות חופשיות? תוכל למצוא משחקים, תוכנות לפרטיים ותוכנות לעסקים, תוכנות לצילום ותמונות, הכל בחינם.


מעוניין לבנות ולתפעל אתר אישי או עסקי מקצועי? לחץ כאן.


 




לוח האירועים המלא לגולשים מצוי כאן.

2/11/17 - 28/10/17 - German Tel Aviv Week 2017

31/10/17 -  TLV Generator: 30 days Prototype program  

12-19/11/17 - שבוע היזמות העולמי 2017     

14/11/17 - Red Hat Forum Israel 2017  

29-30/11/17 - Microsoft Tech Summit Tel Aviv 

12/12/17 - Video Trends For 2018 Conference   

29-31/1/18 - CybertechTLV 2018  

5/3/18 - GoforIsrael Investment Conference

 

הכי ניצפים 

דירוג הסמאטרפונים הטובים ביותר בעולם לספטמבר 2017 עפ"י Business Insider - כאן

מה כן מקדם אתרים ועסקים באינטרנט? לא העלוקות שחיות סביב גוגל ופייסבוק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק א': בזק - כאן

כל מה שלא מספרים לכם בתחום "השוק הסיטונאי" - פרק ג' - ההפסד הצרכני - כאן

כמה מפסידים בביצועים של הפס הרחב במעבר ל"שוק הסיטונאי"? - הרבה - כאן

מה שלא מספרים לכם: כיצד בזק תמרנה את מחירי השוק הסיטונאי עד 2018 - כאן

למה מבלבלים את המוח לציבור בנושא המכונה "שוק סיטונאי"? - כאן

למה בכלל צריך להחליף / לרכוש נתב במעבר ל"שוק סיטונאי"? - כאן

כל מי שכביכול "נטש את בזק" ב"שוק סיטונאי" יחזור לבזק תוך שנה-שנתיים - כאן

ביבי נתניהו הקשיב לקריאת Telecom News: פיטר לאלתר את אבי ברגר - כאן

חשיפת המספרים מאחורי משבר האנטנות: בשנה האחרונה פורקו 721 אנטנות - כאן

איך אני יודע כמה מגהרץ יש בחיבור LTE? מי ספק הסלולר המהיר בישראל? - כאן

חשיפת המחדל המדהים המוסתר מהציבור של הרס רשתות הסלולר - כאן

חשיפת מה שאילנה דיין לא פרסמה ב"ערוץ 2" על תעלולי השר משה כחלון - כאן

איך רבע מיליון לקוחות נפלו בפח ועברו להסדר המכונה בטעות "שוק סיטונאי" - כאן

ההגנה המושלמת על הגלישה ניידת והנייחת ועל הפרטיות מפני כל תוקף - כאן

מבחן דרך: חיבור VPN - האם זו ההגנה המושלמת על הגלישה ועל הפרטיות? - כאן

TLV Generator נולד - התכנית שהופכת כל רעיון למוצר (MVP) תוך 120 יום - כאן

למה 95% מהסטארטאפים בישראל נכשלו, נכשלים וימשיכו להיכשל גם בעתיד - כאן

מה חלקו ואחריותו של ה-CTO למצב בו 95% מהסטארטאפים בישראל נכשלים? - כאן

האם ניתן לרפא את המחלה של כישלון מעל ל-95% מהמיזמים בישראל? - כאן

העסקה הבעייתית של בזק-Yes לא הייתה מתבצעת בלי משרד התקשורת - כאן

קריאה לפיטורים של מנכ"ל משרד התקשורת שלמה פילבר - כאן

המשך חשיפת הבלוף ששמו "מהפיכת הסלולר" ואיך מסרסים את הנתונים למיבור - כאן

 
זרקור חברות
 
TLV-GENERATOR
 
TLV-Generator
 
מידע
 
טלקום אקספרטס
 
NordVPN
 
עדן אימון עסקי
 
כמה זה? השוואת מחירים
 
Ruckus
 
TLV-GENERATOR
 
טלי וייס
 
 
Slideshare Linkedin Twitter
Youtube Instagram Facebook
Google+ live Zappix
Bitly Vimeo Pinterest
אנדרואידאנדרואיד-ברקוד אפל ברקודאפל

 
 מפת הביטקוין   מהירות גלישה Your IP שירותנט
לייבסיטי - בניית אתרים