Od video zvoncev do otroških varušk na daljinsko upravljanje, lahko na neverjeten na?in upravljamo varnost doma.
V tem sodobnem svetu so se doma?e varnostne kamere razvile svetlobna leta nad zastarela zaznavala gibanja, ki bi sprožila alarm, ker je vaša ma?ka sko?ila na pult.
Pametna notranja varnostna kamera Netatmo (prej Netatmo Welcome) je resni?no pametna - lahko prepozna obraze vaše družine in ignorira njihove dejavnosti, vendar vas kljub temu opozori, ?e opazi neznanca.
Kot katera koli naprava interneta stvari (IoT) pa lahko tudi vašo zasebnost ogrozi, ?e ni pravilno zavarovana.
Dejansko je Bitdefender odkril, da je ta kamera imel napaka, zaradi katere bi lahko zelo odlo?en napadalec prodrl v vaše omrežje Wi-Fi.
A brez skrbi; je že popravljeno.
Notranja služba
V PCMagu sodelujemo v stalnem partnerstvu z ekipo za varnost interneta stvari pri Bitdefenderju.
Ekipi sporo?imo, katere naprave so priljubljene pri naših bralcih.
Naprave preizkušajo na podlagi dolgoletnih izkušenj z vdorom belih klobukov v iskanje varnostnih ranljivosti.
Preden (in mi) razkrijemo svoje ugotovitve, dajo proizvajalcu naprave 90 dni ?asa, da odpravi težave.
Zaupajte nam; obstajajo nenehno težave.
Upoštevajte, da naprava Netatmo v trenutnem poro?ilu ni bila z našega seznama; v tem primeru so raziskovalci naredili svoj izbor.
Pregledali smo Netatmo Presence in se nam zdeli odli?en, vendar je to zunanja varnostna kamera.
Rezultati Bitdefenderja so za pametno notranjo kamero in jih ni mogo?e ekstrapolirati na prisotnost, saj je niso preizkusili.
?e bi bili razvijalci Netatmo, bi zagotovo preverili isto težavo v drugih napravah.
V?asih je varnostna napaka zevajo?a luknja, na primer težava, ki jo je Bitdefender odkril z monitorjem iBaby, ki je vsakemu uporabniku omogo?il ogled videoposnetkov iz vse uporabnikov.
Varnostni problem, ki ga najdemo v napravi Netatmo, je bil veliko bolj subtilen in ga je bilo veliko težje izkoristiti.
Iz objave Bitdefenderjevega bloga na to temo:
"Skupina za raziskovanje ranljivosti Bitdefender IoT je odkrila, da je naprava dovzetna za overjeno zapisovanje datotek, ki vodi do izvrševanja ukaza (CVE-2019-17101), pa tudi do stopnjevanja privilegij prek dirtyc0w - lokalne napake pri stopnjevanju privilegij, ki izkoriš?a dirko pogoj pri izvajanju mehanizma kopiranja in pisanja v podsistemu za upravljanje pomnilnika jedra.
"
Jay Balan iz Bitdefenderja je za Daxdi pojasnil, da je njegova ekipa odkrila napako v skriptu, ki upravlja s konfiguracijo naprave.
Z izkoriš?anjem te napake lahko napadalec zažene poljubno kodo v osnovnem operacijskem sistemu.
Balan je tudi odkril, da je mogo?e pove?ati privilegije na napravi, kar pomeni, da bi lahko uspešen napadalec v celoti upognil kamero po svoji volji.
Morda se ne sliši veliko, toda zmožnost izvajanja poljubne kode pomeni, da lahko napadalec stori skoraj vse v vašem omrežju, ne samo v napravi.
Morda vas ne bi motilo, ?e bi napadalec dostopal do vaše kamere (kar je nekoliko ?udno stališ?e), vendar vas bo morda zelo skrbelo, ?e se bo napadalec nato obrnil iz vaše kamere v vaš prenosnik, poln osebnih podatkov.
Pred tem je Bitdefender odkril ranljivost z zvonjenjem Ring ring, kjer bi moral napadalec zabiti vašo hišo, v bližini, da bi lahko prisluškoval Wi-Fi.
Napad je vklju?eval onemogo?anje povezljivosti zvonca na vratih, nato pa lovil interakcijo, kadar koli ste opazili in spet zagnali prvotno konfiguracijo.
To je precej težak napad, toda podvajanje v pametno notranjo kamero Netatmo bi bilo še težje.
Balan je pojasnil, da bo napadalec potreboval lokalni dostop do kamere, skupaj s prijavnimi poverilnicami za uporabniški ra?un.
Torej, napadalec bi moral uganiti vaše poverilnice za prijavo ali jih pridobiti z lažnim napadom.
To ni nemogo?e, ampak u?inkovito, to bi moralo biti notranje delo.
Po izkoriš?anju pa bi imel napadalec v vašem omrežju plažo, daljinsko vodeno z uporabo VPN-ja.
Balan je poudaril, da ljudje morda ne bodo previdni s svojimi pooblastili, saj meni, da ni ni? hudega, ?e nekdo vidi video vir.
Še enkrat, to ni resni?na nevarnost.
Ta podvig omogo?a napadalcu dostop do vašega omrežja in njegovih naprav.
Ta posebna ranljivost je niansirana in raziskovalci priznavajo, da bi jo lahko dejansko uporabili v zakonite namene.
Še enkrat iz objave v blogu Bitdefenderja:
"[...] tukaj opisane ranljivosti lahko pomagajo zakonitemu uporabniku ali tretji osebi, ki ima pravilne poverilnice, da napravo zaprejo in jo popolnoma posedujejo.
Medtem ko vam bomo dovolili, da si zamislite veljaven scenarij iz resni?nega sveta, v katerem bi zastavili svojo napravo, bi radi tudi opozorili navdušene obiskovalce našega spletnega dnevnika, da je sposobnost zapora še vedno ranljivost in jo je treba upoštevati kot tak."
Kako naj kamera deluje
Kot smo že omenili, lahko kamero Netatmo programirate tako, da ignorira vaše družinske ?lane ali druge prebivalce.
Ne bo se zmešalo samo zato, ker se je vaš otrok zgodaj vrnil iz šole.
?e pa zazna neznan obraz, pošlje opozorilo s fotografijo in celo HD 1080p videom.
Mogo?e se vaš vlomilec prikrade pod okrilje teme? Brez skrbi.
Netatmo uporablja infrarde?o povezavo, tako da še vedno dobite video.
Ta kamera vas opozori tudi, ko zasliši alarm.
To je lahko dimni alarm, drug varnostni sistem ali celo zasilna sirena.
Tudi tukaj pošlje video skupaj s svojim opozorilom.
Netatmo hrani varnostne videoposnetke na lokalni kartici microSD, tako da jih lahko na primer delite s policijo.
Lahko ga tudi konfigurirate tako, da te videoposnetke vstavi v vaš ra?un Dropbox ali v vaš osebni strežnik FTP.
(Imate osebni strežnik FTP, kajne?)
Priporo?ajo ga naši uredniki
Dober odgovor Netatma
Zgodba se na sre?o zelo dobro kon?a.
Bitdefender je 20.
decembra 2019 stopil v stik z Netatmo in razkril manjšo težavo s scenarijem.
Netatmo je težavo priznal v samo treh dneh - ?udovito hitrem ?asu preobrata.
Sredi januarja je Netatmo že razvil popravek za odpravo težave.
To je še posebej impresivno, ?e upoštevamo, da je padlo v zimskih po?itnicah.
Naše mnenje pri PCMagu je, da v ve?ini primerov varnostno vprašanje ni tako pomembno kot na?in, kako podjetje ravna z odzivom.
Ko se podjetje izogne ??odgovornosti, tako da ignorira raziskovalce ali poskuša prikriti neprijeten varnostni dogodek, to strankam škodi veliko bolj kot ranljivosti ali kršitvi podatkov.
Netatmo je to vprašanje obravnaval na na?in, ki vzbuja zaupanje, kar je ravno tisto, kar radi vidimo.
Hakiranje bele kape
Ko smo poro?ali o varnostni luknji, ki jo je ekipa Bitdefender odkrila v priljubljenem zvonjenju Ring Video Doorbell, je Ring prišel do popravka in potisnil posodobitev vdelane programske opreme za zaš?ito prizadetih naprav.
Tudi Belkin je hitro odpravil ranljivost Bitdefender, ki jo je našel v svojem pametnem vti?u Wemo.
Kot smo že omenili, je Bitdefender tudi v otroškem monitorju iBaby Monitor M6S našel varnostne napake.
Raziskovalci so si mo?no prizadevali, da bi stopili v stik z varnostno ekipo podjetja, vendar se nikoli niso rešili.
Na sre?o je naše poro?anje pritegnilo pozornost izvršnega direktorja iBaby, varnostne luknje pa so bile odpravljene v nekaj dneh.
Te zgodbe o uspehu so le tisto, na kar smo upali s tem partnerstvom.
Ne zanima nas javno sramotenje proizvajalcev naprav.
Namesto tega želimo izboljšati varnost in zaš?ito naših bralcev, ki uporabljajo naprave.
V današnjem ?asu je skoraj vsaka naprava seznanjena z internetom, od dimnih alarmov do pametnih žarnic.
In proizvajalci naprav ne razmišljajo nujno o tem, da bi varnost postavili na prvo mesto, tudi v napravah, kot so kamere, katerih cilj je je varnost.
Mo?an pregled varnostne rde?e ekipe skoraj vedno povzro?i težave, ki jih mora proizvajalec odpraviti.
V PCMagu bomo še naprej opozarjali na naprave, ki jih bo Bitdefenderjeva ekipa ocenila ter poro?ala o tem, kaj je bilo najdenega in popravljenega.
