Мой основной блог ZLONOV.ru (RSS-лента) | Презентации и документы: SlideShare | Ссылка на Twitter: @zlonov

21 июня 2017 г.

Дрель с интернет-доступом продемонстрировала достойную защиту Интернета вещей

Беспроводная дрель с доступом в Интернет? По мнению Марка Лавлеса, это настоящее олицетворение кошмара в кибербезопасности. Когда дело доходит до «Интернета вещей», то находится множество примеров, подкрепляющих скептицизм экспертов.

Исследователь из Duo Security думал, что «умные» дрели скорее являются маркетинговой уловкой производителя, которая в конечном счете превращает преимущество продукта в мишень для противников. Но протестировав дрель Milwaukee Tool, он был приятно удивлен, обнаружив, что «мозг» устройства реализован безопасно и ответственно.

«Я не надеялся, что «умная» дрель окажется безопасной. Но после проверки у меня зародилась надежда, что потребительский Интернет вещей может быть реализован правильно», — признался Лавлес.

Дрель, о которой идет речь, называется Milwaukee Tool ONE-KEY M18 Fuel 1/2″ Drill/ Driver, а ее система управления базируется на платформе под названием One-Key. One-Key позволяет владельцам инструментов, используя приложение или веб-сайт, отслеживать местонахождение дрели благодаря технологии GPS, дистанционно настраивать конфигурацию оборудования (например, крутящий момент сверла) или отключать инструмент, если он был украден.

После того, как Лавлес внимательно изучил инструмент, он был впечатлен, обнаружив, что производитель выполнил всестороннее моделирование угроз устройству, использовал надежные криптобиблиотеки с открытым исходным кодом и встроил стойкое SSL-шифрование . «Если бы производители камер видеонаблюдения сделали то же самое, у ботнета Mirai не было бы шансов», — сказал он.

«Это не значит, что всё было идеально», — говорит Лавлес. Он обнаружил «незначительные уязвимости». Одна из них заключалась в том, что пароли были жестко прописаны в приложении для смартфонов. Другая брешь давала возможность потенциальному вору легко разыскать дрель через Bluetooth-сканирование.

Также данные GPS о местонахождении дрели могут быть подделаны. «В принципе, если бы я украл вашу дрель, то мог бы подделать данные GPS так, будто это сосед украл инструмент», — привел пример исследователь.

В конечном счете Duo Security идентифицировала четыре уязвимости, две из которых получили уникальные номера CVE.

Брешь CVE-2017-3214 относится к тому, что «приложение ONE-KEY содержит учетные данные в формате base-64, которые необходимы для получения метки (токена). Метка позволяет читать и записывать информацию, хранящуюся на веб-сайте Milwaukee Tool».

Уязвимость CVE-2017-3215 состоит в том, что приложение One-Key использует метки, которые имеют избыточно большой срок годности – 1 год вместо типичных 1-2 часов, поэтому при краже или компроментации телефона, атакующий может похитить метку и использовать ее, — указано в отчете DUO Security.

«Стоит отметить, что сейчас мы говорим о дрели. Но если бы речь шла о инсулиновой помпе, кардиостимуляторе или охранной сигнализации, то эти уязвимости были бы восприняты более серьезно», — говорит Лавлес.

Лавлес также заключил, что, по его мнению, «умная» дрель Milwaukee Tool является скорее исключением, а не правилом в контексте безопасности IoT/Интернета вещей. «Поскольку конкуренты Milwaukee наступают на пятки, они решили поднять планку и подумали о безопасности ещё при разработке, а не впопыхах после выпуска продукта».


Источник: Threatpost | Новости информационной безопасности