Garrett: Θα θέλατε ένα ειδικό ασφαλείας γείτονα στο ξενοδοχείο σας;

Ο ειδικός σε θέματα ασφάλειας Matthew Garrett βρέθηκε πρόσφατα σε ένα ξενοδοχείο που σχεδόν όλα λειτουργούσαν από ένα Android tablet.

Ο Matthew Garrett, γνωστός στην κοινότητα του Linux και ειδικός σε θέματα ασφάλειας που εργάζεται στο CoreOS, βρέθηκε σε ένα ξενοδοχείο του Λονδίνου, όπου πρόσφατα οι διακόπτες των φώτων είχαν αντικατασταθεί από Android tablets.

Ο Garrett, γεννημένος hacker, αποφάσισε να ψάξει το θέμα. Λίγες ώρες αργότερα κατάφερε να αποκτήσει πρόσβαση στα ηλεκτρικά κάθε δωματίου.

Αν και ο Garrett είναι ένας εμπειρογνώμονας ασφάλειας, αυτό που κατάφερε δεν απαιτεί ελίτ δεξιότητες hacking. Ο Garrett εξήγησε στο ZDNet ότι απλά αποσύνδεσε το tablet και σύνδεσε το laptop του στην ίδια σύνδεση. Στη συνέχεια δημιούργησε μια διαφανή γέφυρα (transparent bridge).

Αυτό είναι τετριμμένο για κάθε διαχειριστή δικτύου του Linux. Στη συνέχεια χρησιμοποίησε μια δημοφιλή εφαρμογή που αναλύει πρωτόκολλα δικτύου (Wireshark) για να αναλύσει την κίνηση.

Γρήγορα διαπίστωσε ότι οι συσκευές χρησιμοποιούσαν το πρωτόκολλο Modbus. Ένα αρχαίο, σειριακό πρωτόκολλο που χρησιμοποιείται για τον έλεγχο logic controllers (PLC), γνωστές και σαν απλές ηλεκτρονικές συσκευές.

“Το Modbus είναι μια αρκετά τετριμμένο πρωτόκολλο, και κυρίως δεν έχει καμία απολύτως ασφάλεια ταυτότητας”, παρατήρησε ο Garrett. Θ

Μετά με Tcpdump αποκάλυψε ότι η κίνηση κατευθυνόταν προς τη διεύθυνση IPv4 172.16.207.14. Λίγο αργότερα, με pymodbus, ο Garrett μπορούσε να ελέγξει φώτα του δωματίου του, να ανοίγει και να κλείνει την τηλεόραση αλλά τις κουρτίνες.

Στη συνέχεια, παρατήρησε ότι ο αριθμός δωματίου του ήταν 714 και η διεύθυνση IP του τελείωνε σε 7.104. Ενδεχομένως θα μπορούσε να ήταν αυτό που του πέρασε από το μυαλό…

Και ναι, πραγματικά, είχε βρει πως να μπει σε κάθε δΝαί! Ναι, ήτανωμάτιο.

Αντιστάθηκε βέβαια στον πειρασμό να ανοίξει τα φώτα, τις τηλεοράσεις και τις κουρτίνες των γειτόνων του.

Ναι, Garrett είναι επαγγελματίας της ασφάλειας, αλλά τις δεξιότητες που αναφέραμε παραπάνω θα μπορούσε να τις έχει και ένα script kiddie.

Καταλαβαίνετε όμως ότι αν και το παραπάνω γεγονός ήταν διασκεδαστικό, θα μπορούσε να είχε πολύ άσχημα αποτελέσματα αν ο hacker είχε κακόβουλους σκοπούς.

Είναι όμως μια πραγματικότητα που έρχεται. Αν και κατασκευάζονται χιλιάδες συσκευές για IOT, ελάχιστοι ενδιαφέρονται για την ασφάλεια.

Το Διαδίκτυο των Πραγμάτων είναι το μέλλον, το προανήγγειλε άλλωστε και το πρώτο Star Trek, όπου οι υπολογιστές ήταν παντού και μπορούσαν να συνεργαστούν με τους ανθρώπους με φωνητικές εντολές.

Η πραγματικότητα όμως δεν είναι και τόσο διασκεδαστική.
Ο Διευθυντής της Εθνικής Υπηρεσίας Πληροφοριών (NSA) των ΗΠΑ James Clapper προειδοποίησε πρόσφατα ότι οι “Συσκευές, θα πρέπει να είναι σχεδιασμένες με τουλάχιστον τις ελάχιστες απαιτήσεις ασφαλείας, καθώς μια συνεχώς αυξανόμενη πολυπλοκότητα των δικτύων θα μπορούσε να οδηγήσει σε εκτεταμένα τρωτά σημεία μη στρατιωτικών υποδομών αλλά και κυβερνητικών συστημάτων των ΗΠΑ.”

Ελάχιστες; Δηλαδή συσκευές IoT χωρίς ενσωματωμένη ασφάλεια. Αν δεν απαιτήσουμε από τις συσκευές IoT να έχουν πραγματική ασφάλεια (όχι αύριο, σήμερα) θα δούμε ένα κύμα εγκληματικότητας, που δεν θα έχουμε δει ποτέ πριν.