Умные лампочки хороши, но их нужно защищать от внешних угроз
Создание ботнетов из плохо защищенных IoT-устройств становится все более значительной угрозой. К примеру, программное обеспечение Mirai, исходный код которого недавно попал в сеть, открывает возможность управлять IoT устройствами даже для тех злоумышленников, у кого практически нет опыта проведения кибератак.
Подключенных к сети систем становится все больше, к IoT устройствам относятся и телевизор, и камеры, и системы безопасности с термостатами. Защита таких устройств от внешних атак оставляет желать лучшего. Результаты нового исследования специалистов по информационной безопасности доказывают возможность успешного проведения удаленных атак на многие умные устройства, используемые дома и в офисе.
Исследователи продемонстрировали возможность осуществления атак в отношении умных ламп Philips Hue. Введение в систему зловредного ПО позволяет взломщику взять управление удаленными устройствами в свои руки. Скомпрометированное оборудование использует для дальнейшей атаки беспроводный протокол связи ZigBee, позволяющий создавать целые сети из взломанных устройств. Точнее, речь идет об уязвимости в ZigBee Light Link. Специалистам по кибербезопасности удалось извлечь AES-CCM ключ, при помощи которого компания Philips выполняет шифрование и защищает прошивку своих ламп. Зловредное программное обеспечение передается от одного устройства к другому по «воздуху», становясь причиной «чрезвычайно быстрого распространения зловредного программного обеспечения по соседним устройствам в течение считанных минут». Инфицирование ламп действительно проводится очень быстро, и если рядом есть другие лампы Hue, они заражаются по цепочке.
Для того, чтобы инфицировать все умные лампы в пределах определенного региона хватит всего одного зараженного «нулевого пациента». Стоимость оборудования, используемого для атаки, не превышает нескольких сотен долларов США. Об этом рассказал Эйал Ронен (Eyal Ronen), эксперт по кибербезопасности из Израиля.
Для заражения умных ламп специалисты организовали загрузку malware-обновления, что стало возможным благодаря получению AES-CCM ключа, о котором говорилось выше. С его помощью лампочку удается «убедить» в том, что наступило время обновить прошивку, и лампочка инфицируется.
Использовать уже зараженные устройства можно разными путями. Например, просто контролировать включение и выключение, вывести девайс из строя или же сформировать из взломанных девайсов ботнет. Ниже показан пример управления многими взломанными умными лампочками. Взломать их и затем управлять удалось при помощи квадрокоптера на расстоянии в 350 метров. Взлом лампочек проводился в офисе компании Israeli CERT. В конце видео показано, как лампочки передают при помощи азбуки Морзе сигнал SOS.
Исследователи говорят, что такой способ управления IoT устройствами (не только лампами) вполне достижим, и он ставит под сомнение радужные картины цифрового будущего, которое рисуют для нас корпорации. Если объединить в ботнет достаточно большое число таких девайсов, на различные сетевые ресурсы можно будет обрушивать ни с чем не сравнимую по мощности DDoS-атаку.
Доказывать это уже не требуется. Создатели Mirai смогли при помощи армии «зомби-устройств» смогли мощнейшую DDoS-атаку на сайт специалиста по информационной безопасности Брайана Кребса. После этого аналогичную атаку осуществили на европейского хостинг-провайдера OVH. Совокупная мощность этой атаки составила 1 Тб/с. И это вовсе не предел.
В этом списке лампа с версией «IrradiateHue» — заражена вирусом
При помощи сетевых устройств несколько недель назад злоумышленникам удалось организовать отключение некоторых регионов Восточного побережья США от Интернета. Причем проблема оказалась как раз не в IoT-устройствах, а в их предшественниках — DVR-камерах, подключенных к Сети. Но проблемы в том, чтобы добавить к камерам более современные устройства, заразив их зловредным ПО, нет никакой.
Что касается умных лампочек, то компания Philips заявила о том, что обновление прошивки Hue уже выпущено с рекомендацией для всех пользователей установить это обновление как можно быстрее. Правда, саму угрозу взлома в Philips не воспринимают слишком серьезно. «Мы оценили значение этого типа взлома, как низкое, поскольку для его использования нужно специализированное ПО и присутствие взломщика рядом с лампами», — заявил пресс-секретарь компании.
Разработчик, обнаруживший уязвимость в защите ламп, заявил, что Philips ликвидировала лишь дыру в защите прошивки устройства, которая открывала возможность удаленной загрузки malware. Но до сих пор существует возможность создания поддельных зловредных обновлений прошивки и теоретическая возможность загрузки этой прошивки в одно из устройств, которое затем выполнит всю остальную работу самостоятельно.
«Мы должны работать вместе для того, чтобы получить представление о надежных способах защиты IoT устройств… или мы можем в ближайшем будущем столкнуться с крупной атакой, которая затронет все аспекты нашей жизни», — заявил Ронен.
Комментарии (59)
PlayTime
04.11.2016 22:04Ну. Если есть вирус для лампочек то стоит начать продавать и антивирусы для лампочек. А маркетологи могут на таких лампочках писать — проверено антивирусом %name%. писать + антивирус для лампочек %name% в подарок.
unxed
04.11.2016 22:16+3И ещё в подарок панелька для браузера, которая автоматически встроится во все ваши браузеры. Например. Да, и на телевизоре тоже.
Oberon812
04.11.2016 23:00Родительский контроль, а то мало ли что захотят рассмотреть при ярком свете непослушные дети.
Sun-ami
04.11.2016 22:48+1Для устройств, подобных этим лампочкам, выход — возможность заблокировать обновление прошивки «по воздуху» или по сети, либо аппаратным переключателем, либо удалённо, без возможности разблокирования. Возможно имеет смысл законодательно требовать от производителей добавлять такую возможность во все подобные устройства.
CrazyRoot
05.11.2016 10:58Маркетологи погубят этот мир.
Это ведь их идея была отказаться от джамперов, которые разрешали перепрошить устройство.
Обновления будут сами ставится — пользователю ничего ненужно делать.
Хорошо что эти создания не подпускают к реакторам и ЯО. Иначе они бы там уже на улучшали.Sun-ami
05.11.2016 12:44+2Хорошо если это была идея маркетологов — в этом случае есть шанс всё исправить после такой наглядной демонстрации их неправоты как этот случай. Хуже если это была идея ГБ-шников и разведчиков — если после перепрошивки умная лампочка становится «жучком», датчиком движения и ретранслятором для других устройств слежения, может в нужный момент ослепить противника, устроить DDOS-атаку, забить эфир, а умные чайники — одновременно устроить множество пожаров на нужном объекте или по всей территории нужной страны — вот он, дивный новый мир.
Aquahawk
04.11.2016 23:18+1выход один, и по-моему очень логичный. Весь дом должен быть закрыт натом. Все приложения прямого контроля лампочки удалены за тотальной ненадобностью, а рулить ими должен центральный контроллер который нармально закрыт за фаерволлом и имеет надёжную авторизацию.
Sun-ami
05.11.2016 00:35Это не поможет, если в радиусе 350 метров есть другие дома, в которых могут быть зараженные лампочки, перепрошитые по ZigBee из другого дома за 350 метров и так далее. Фундаментальная проблема уязвимости IoT-устройств с беспроводным управлением здесь проявилась в полной мере. При управлении по электросети таких проблем избежать на порядок проще.
isden
05.11.2016 13:19Сильная криптография во все поля. Уникальные ключи для каждого аппарата, смена/добавление которых возможны только по проводам.
Sun-ami
05.11.2016 15:34Сильная криптография не защитит от простого переполнения буфера, а оно встречается и в тех системах где к проблемам безопасности относились серьёзно, а не как Philips к проблеме взлома этих лампочек.
isden
05.11.2016 15:40Но может защитить, например, от модификации прошивки.
Sun-ami
05.11.2016 16:51Может защитить, а может и не защитить. Ведь переполнения буфера часто используют для того чтобы при помощи затирания стека передать выполнение коду в этом буфере, а он уже может и модифицировать прошивку. Есть и другие варианты. Кроме того специальные органы бдительно следят за тем, чтобы слишком сильная криптография не использовалась в массовых изделиях. Поэтому лучше всего не использовать радиоканал в устройствах, постоянно подключенных к электросети, а передавать данные по электросети. Ведь ZigBee,Z-wave и другие подобные протоколы не дают возможности связаться с устройствами напрямую со смартфона. А для управления лампочками достаточно низких скоростей обмена и самых простых и дешевых реализаций передачи данных по электросети.
BigW
06.11.2016 23:02У электросети есть свои заморочки. Там развязывающие трансформаторы нужны и т.д. да и не в лампочках дело. Сегодня лампочки, завтра — умное зеркало(а там нужна скорость), а городить огород очень не хочется, да и экономически не выгодно. Но имхо любая беспроводная связь в интернете вещей — это ДЫРИЩА… Даже если не получится взломать — всегда можно заддосить. Процессоры там слабые. И если вы заддосите лампочку — это одно, а если гаражные ворота или входной замок — это уже совершенно другое…
недавно тут видел статью про умный дом (очередную) у парней все хорошо вроде описано/продумано, но ни слова о безопасности...:(:(isden
07.11.2016 11:47> всегда можно заддосить
Военные успешно решили эту проблему. FHSS (псевдослучайная перестройка рабочей частоты).
BigW
06.11.2016 23:12одним из решений может быть что-то типа PPOE — point to point over ethernet. т.е. каждая вещь подключается к серверу по защищенному каналу, что исключает перехват или подмену сообщения, но тут как минимум 3 проблемы:
— вычислительная мощность. если помигать лампочкой я могу attiny13, но поднять PPOE боюсь и середнячка stm32 может не хватить,
— опять пресловутая централизация — без сервера никуда, но сейчас и так все на MTTQ брокеров завязывают,
— дороговизна такого решения,
— проблему ДДОСа то вообще никак не решает, вычислительных мощностей даже на поток в 1Мбит/с большинству встраиваемых процессоров боюсь осилить будет сложно, выход ПЛИС или же SoC, но это совершенно другой ценовой диапазон…
А уж если захотеть навредить — Соната Р1 и др модификации и вся беспроводная связь превращается в тыкву…
miha2
05.11.2016 05:18В ipv6 всё будет без ната :)
GamePad64
05.11.2016 15:52Link-local адреса и фаервол — хорошее решение для ipv6!
miha2
05.11.2016 16:39Да, но зачем заморачиваться :). ipv6 собственно и делали, чтобы каждая блоха была без ната.
tmin10
05.11.2016 19:51Очень страшно подумать о том, что каждый девайс получит собственный, доступный снаружи белый IP адрес… Лучше уж руками разрешать нужные порты в крайнем случае…
miha2
05.11.2016 19:54Судя по вирусу для лампочек, — белый IP не так уж и страшно.
В любом случае, производители наконец-то должны задуматься о безопасности производимых устройств.
Я уже не говорю об интерфейсах и usability.
Печально, например, что yamaha имеет такой жуткий интерфейс для сетевых плееров.
BigW
06.11.2016 23:05когда-то Nat на самом деле был костылем, в связи с ограниченным диапазоном адресов и их дороговизной, но сейчас это инструмент безопасности, позволяющий скрыть от внешних глаз структуру внутренней сети
golf2109
05.11.2016 02:47а слабо выпускать лампочки без возможности обновления прошивки?
avost
05.11.2016 08:50Это чтобы при заражении их вирусом оставалось только расплющивать их молотком?
ColdPhoenix
05.11.2016 09:32а откуда заражение возьмется в таком случае?
isden
05.11.2016 13:22Если в лампочке есть прошивка/процессор/ОЗУ, то, найдя уязвимость в прошивке, будет и заражение. Но в этом случае уже без возможности исправить уязвимость.
Sun-ami
05.11.2016 15:16Очень многие микроконтроллеры имеют возможность запретить перезапись памяти программ без возможности снять это запрет из самой программы. То есть даже если микроконтроллер имеет Фон-Неймановскую а не Гарвардскую архитектуру, и хакеру удалось заставить его исполнять загруженный в RAM код — заражение будет полностью устранено простым отключением питания.
isden
05.11.2016 15:35> заражение будет полностью устранено простым отключением питания
Для этого нужно будет _одновременно_ отключить все аппараты в зараженной области (т.е. аппараты, имеющие возможность связи между собой). А если их там тысячи и тысячи? А если потом кто-то принесет с собой зараженный аппарат в эту область?
Не, тут нужно что-то принципиально иное — либо таки действительно везде Гарвардская архитектура, с физической невозможностью запуска чего-либо из ОЗУ (и потерей гибкости, связанной с обновлениями прошивки, плюс еще найденные уязвимости таки имеют место быть, хоть и не будет ботнета), либо, как я уже писал, криптография во все поля.Pakos
07.11.2016 11:13Будут ходить бригады с огнемётами и лечить зомби-лампочки. Вместе с домами и их владельцами.
Wizard_of_light
05.11.2016 10:59Тогда концепция умной лампочки теряет смысл. Новые нескучные схемы моргания не залить.
PlayTime
05.11.2016 11:29а еще прошивку нужно лучше тестировать. а то баги на лету не исправить, и прошивку не допилить пока лампочки едут к покупателю.
tUUtiKKi13
06.11.2016 00:41В случае массового заражения можно любой город иллюминацией превратить в филиал Упячки.
imater
07.11.2016 00:16И эти люди на полном серёзе разрабатывают умные автомобили
bopoh13
07.11.2016 17:14Единственный способ заставить производителя задуматься, отправить malware с кодом стробоскопа в их офис.
vmchaz
08.11.2016 00:58Ну, умные автомобили — это не совсем то, что умные лампочки.
Но да, прежде чем дорожные знаки станут электронными, нужно продумать их модель безопасности, чтобы оставленный около дороги передатчик не мог вызвать глобальную аварию.
Так и представляю — передача сигнала от знака или маркера машине вместе с временной меткой и цифровой подписью этого самого знака.
Sokol666
07.11.2016 15:16Концепция включил и забыл вылезла боком. потому что так проще для простых пользователей. Я вот одного не пойму, а чем им не угодил Wi-Fi зачем этот ZigBee при том ок, отключить автообновления допустим наверняка можно, а вот выключить этот ZigBee заставить его коннектится с кем попало это ведь уже никак
Klukonin
08.11.2016 22:16Именно так. Современные микромодули с Wifi отлично решат задачу обеспечения связью умных лампочек. Делают это, кстати, дешевле зигби, проблема которого изначально в наплевательском отношении к безопасности.
А вот Wifi в этом плане гораздо круче. Современные точки очень сложно задосить или атаковать стандартными способами. А если это jammer, убиващий в районе доступные диапазоны — на место очень быстро приедут ребята с пленгаторами.
Короче, кто-то, пооже, просто влепил туда 802.15.4 просто по причине того, что мог.Sun-ami
08.11.2016 23:53ZigBee, думаю, применили из-за его малой мгновенной излучаемой и потребляемой мощности. Насколько мне известно типичная излучаемая мощность для ZigBee, предназначенного для применения внутри помещений — 1мВт, а у Wifi — до 100мВт, разница в потребляемой мощности — соответствующая.
Klukonin
09.11.2016 00:02Возможно, но вы не учли некоторые аспекты.
1) Потребление в простое что у модулей ZigBee, что у WiFi примерно одинаковое.
2) Битрейт низкий, а, следовательно, и время передачи кадра у ZigBee в разы больше, чем у WiFi. Внутри помещения на дистанции в пару-тройку метров, как показывает практика, лучше использовать короткие сообщения на максимальной мощности и высоком битрейте, снижая эфирное время к минимуму, чем на низкой мощности пытаться с черепашей скоростью передать данные.
3) Если устройства работают в режиме ретранслятора или mesh сети — есть возможность передавать трафик через лампочку. В случае ZigBee это ограничивается служебными командами и точка, а с WiFi модулями можно передавать полезный трафик, например, изображение с дверного видеоглазка или домофона.Sun-ami
09.11.2016 00:242) Лампочке в для работы не нужен высокий битрейт — данных нужно передать всего несколько байт. А энергия, нужная для передачи кадра у WiFi, думаю, заметно больше. Поскольку источник питания маломощный — это означает увеличение размеров накопительного конденсатора.
3) Делать из лампочки с её источником питания объёмом около 1см2 ретранслятор видеопотока — не самое разумное решение. Наоборот, себестоимость лампочки нужно сделать как можно меньше, чтобы она как можно дольше смогла конкурировать на рынке.Klukonin
09.11.2016 21:01Вы упорно гнете свою линию и даже не пытаетесь вдумчиво читать то что вам пишут.
Я в самом начале упомянул о том, что вайфай дешевле зигби.
В качестве дополнительных плюшек указал на сценарий (достаточно распространенный) когда высокая пропускна способность действительно необходима.
ОБъем лампочки совсем не 1см2, даже если бы написали 1 см^3, вы все равно пытаетесь выдать желаемое за действительое. Размеры реальных умных ламп кратно выше. И никаких проблем с размером конденсатора у них нет.
Касаемо энергии передачи — а вы не думайте, сначала почитайте и посчитайте сколько требуется энергии для передачи команды и на сколько цифры соотносятся.
Это будет уже нормальная дискуссия, а не интерпретация ваших фантазий на тему беспроводных сетей.Sun-ami
09.11.2016 22:51Когда я написал про 1 см^3 — я имел ввиду совсем не общий внутренний объём лампы или AC/DC-источника питания, а максимальный объём, который может быть выделен под DC/DC или стабилизатор для питания контроллера и приёмопередатчика. При токе потребления Wi-Fi в режиме передачи 200..250мА и работе в режиме ретранслятора вписаться в такой объём может быть проблематично.
> вы не думайте, сначала почитайте и посчитайте
Я интуитивно прикинул, а вы сталкивались с этим на практике и уже вероятно точно посчитали — так приведите свою версию, возможно я вам поверю на слово. Ведь точный расчёт для сложных адаптивных алгоритмов передачи требует довольно много времени.Klukonin
10.11.2016 00:47Там ничего сложного нет.
Для N стандарта это 135мА в режиме передачи.
Берем длину сообщения и делим на битрейт. Там получаем примерное время вещания в сети + 3% с большим запасом на преамбулу и служебные фреймы, хотя они и совсем короткие.
Разница в мощности передачи между зигби и вайфаем в дестки раз, а битрейт — в тысячи.
При каком угодно сценарии вайфай просто кладет зигби на лопатки по эффективности, превосходя на пару порядков.
Про безопасность я уже совсем молчу.
unxed
Одному мне видится очевидный способ защиты от подобных атак: не покупать умные лампочки?
YoMan
А когда в продаже иных не останется?
unxed
Вангую любительские прошивки типа openwrt, делающие умные лампочки глупыми. Внезапно окирпичивание превратится в фичу. Ну, если там есть аппаратные цепи, включающие свет при наличии фазы, если не поступило иных указаний от контроллера — в противном случае, всё же, какая-то минимально работающая прошивка понадобится :)
unxed
> если там есть аппаратные цепи, включающие свет при наличии фазы, если не поступило иных указаний от контроллера
Если бы я делал умные лампочки — я бы делал их так (сохранение базовой функциональности в случае отказа/сбоя контролера). Впрочем, я бы вряд ли стал делать умные лампочки — гораздо более интересной перспективой (с точки зрения DDoS-аттак в том числе) выглядит делать умными отдельные светоизлучающие диоды :) Чипы, использующиеся в кредитках, вполне подходят и по энергопотреблению, и по размерам.
unxed
Представляете новости: тестовый стенд для светодиодной ленты случайно заддосил маленькую страну!
0x131315
>я бы делал их так: сохранение базовой функциональности в случае отказа/сбоя контролера
Во первых это актуально и для смартфонов.
Сейчас все повыбрасывали старенькие надежные звонилки, полностью доверив свою жизнь смартам, а зря.
При любом сбое (а сбои там не редкость — это очень сложное устройство, с тоннами глюков и ошибок, что должно быть знакомо владельцам полноценных компьютеров), смартфон превращается в бесполезный кусок пластика: батарейка есть, модуль связи есть, есть экран и сенсор, есть отдельные аппаратные контроллеры каждой из этих частей, а… ничего не работает. Нонсенс!
Поленились прикрутить дополнительный простенький контроллер, который все это свяжет в обход главного процессора и ОС. В итоге без ОС смарт не может звонить — глупо, но факт.
Таковы реалии общества потребления: внешние атрибуты важнее функционала. Смартфон не должен надежно обеспечивать связь, это не телефон нет, ему важнее рисовать картинки, а телефон — так, незначительная опция.
Подобная практика сегодня норма — никто на рынке не предусматривает запасного плана, даже если есть возможность, до упора экономят на разработке.
Устройство либо работает в штатном режиме, либо не работает вовсе — беги в магазин менять. Никаких аварийных режимов работы, никаких нештатных ситуаций не предусмотрено.
Остался ты за городом в поле со сломанным транспортом, захотел вызвать помощь и обнаружил что смарт внезапно глюканул — сам дурак.
Надежной связи тебе никто не обещал — для связи надо было брать простенькую звонилку, которая работает пока в батарейке есть энергия.
Теперь же выкручивайся, если сможешь. А ведь иногда от связи в прямом смысле зависит жизнь…
Ну а во вторых конкретно в этом с лучае это к лампочкам это неприменимо. Контроллер там как раз работает без сбоев, и даже управляет лампочкой.
Там проблема именно в удаленном обновлении прошивки — это солидная такая дыра в безопасности.
Как не шифруйся, но интерфейс торчит наружу, и рано или поздно, но его кто-то использует.
Самый надежный и правильный вариант — этого интерфейса наружу торчать не должно. Если и нужна возможность обновлений, то интерфейс должен быть с локальным доступом — например чтобы для обновления лампочку нужно было выкрутить и вкрутить в программатор, или подключить через отдельный разьем на корпусе (например приложить двумя гвоздиками к пластине программатора).
Выключатель тоже небезопасен — он ограничивает время доступа, но никто не гарантирует, что в то время, когда обновление разрешено, оно не скачается по воздуху с зараженного устройства.
Есть еще вопрос необходимости обновлений — много довольно сложных устройств, предназначенных для такого же режима работы (поставил и забыл) вообще не предусматривают обновлений прошивки. Никак вообще. Можно только перешить весь кристалл, если его выпаять, либо иногда оставляют незапаянный uart.
Если устройство исправно — оно служит штатно, не нуждаясь в обновлениях. Если неисправно — обменивается на исправное, а у неисправного обновление производится на заводе, если его решат повторно вернуть в продажу.
Зачем обновления лампочке — большой вопрос. Функционала там почти нет.
Ну и традиционная ошибка — используют свои протоколы и системы шифрования.
Если требуется надежное шифрование — оно не должно быть своим. Нужно использовать открытые методы, для них гарантируется определенная криптостойкость, они тысячи раз проверены, их сильные и слабые стороны известны.
В любом случае эту лампочку не спасет даже правильное шифрование: ее ресурсы очень ограничены, архитектура неудачна (интерфейс торчит наружу) — крайне просто заспамить лампочку запросами подключения и просто сделать недоступной для удаленного управления.
Как говорится не себе ни людям: если я не могу управлять — и ты тогда тоже не сможешь.
tormozedison
А ведь действительно, есть в смартфоне такая CMOS Setup-оподобная оболочка: Wipe cache partition, Wipe /data partition… Странно, что туда не прикручена функция Call 112.
tormozedison
Останутся. Но в другой категории, как сейчас ламповые усилители. Кому такое окажется не по карману, будут делать «глупые» лампочки из сильно подешевевших к тому времени «умных»: заворачивать силовые ключи между блоком питания и светодиодами, разрывать цепь питания контроллера с WiFi-модулем. Исчезнувшие из продажи механические выключатели будут делать на коленке: корпус и механизм — 3D-печатью (которая тоже сильно подешевеет), контакты — из консервных банок.
Giriia
Мне кажется это нереальной утопией. Сейчас даже лампы накаливания и не думают вымирать.Что уж говорить о КЛЛ и «тупых» диодах?
Спрос рождает предложение. А спрос на обычные лампы будет всегда.
tormozedison
Снятие чего-либо с производства порой бывает очень внезапным. Как, например, с картами SmartMedia и MMC.
И давние уже не спрос рождает предложение, а маркетологи рождают спрос.
StjarnornasFred
Одному мне видится, что, судя по названию, лампочки заражаются не обычным вирусом, а сифилисом, СПИДом или гонореей?