Dziura w czarnej skrzynce

Urządzenia wbudowane od dawna stanowią część infrastruktury IT, ale zbyt mało uwagi poświęca się ich bezpieczeństwu. Zaniedbania mogą przynieść katastrofalne skutki.

Dziura w czarnej skrzynce

Rozwiązania wbudowane (ang. embedded, czasami nazywane także osadzonymi) składają się z niewielkiego komputera oraz własnego oprogramowania i są przystosowane do wykonania konkretnych zadań. Zagrożenia występujące w takich rozwiązaniach ograniczano dotąd do ataków odmowy obsługi, które miały na celu wyłączenie urządzeń. Obecnie urządzenia te bywają na tyle rozbudowane, że da się z ich pomocą przeprowadzić całą serię ataków, przy czym większość z nich dotyczy urządzeń sieciowych, takich jak routery, przełączniki, punkty dostępowe sieci bezprzewodowych czy serwery wydruku.

Główne zagrożenia obejmują przechwycenie informacji przechodzącej przez dane urządzenie (sniffing), przekazanie strumienia danych na zewnątrz, modyfikacja danych w locie, umieszczenie konia trojańskiego umożliwiającego późniejszy dostęp do infrastruktury firmy, modyfikację parametrów pracy urządzenia (często spotykane w licznikach energii, przy kontroli dostępu) oraz odmowę obsługi.

Przechwycenie przepływającej informacji i instalacja konia trojańskiego jest jednym z prostszych zadań dla włamywacza, wystarczy zmodyfikować firmware urządzenia i umieścić niewielki fragment kodu. To samo dotyczy przekazania strumienia na zewnątrz, ale niekiedy wystarczy drobna zmiana parametrów routingu, bez zmian w samym kodzie wbudowanego oprogramowania. Należy pamiętać, że napastnicy mogą atakować nie tylko urządzenia sieciowe. Czasami opłaca się włamanie do instalacji izolowanych, jeśli tylko sprzyjają celowi ataku.

Tam nikt nie zagląda

Urządzenia wbudowane są rozwiązaniami zamkniętymi, które rzadko podlegają diagnostyce. Producenci dostarczają jedynie firmware, które należy wgrać do urządzenia. Mało sprzętu posiada automatyczną aktualizację firmware'u, a jeśli już, to sam proces aktualizacji musi być dobrze przemyślany. Producent musi przewidzieć możliwość powrotu do poprzedniej wersji, odzyskania kontroli nad urządzeniem w przypadku błędu, a także weryfikacji autentyczności i poprawności pobranego pliku. Każde urządzenie powinno zawierać testy integralności wbudowanego oprogramowania, wraz z modułem jego przywracania. Takie rozwiązania są stosowane w niektórych zaporach sieciowych, znacząco podwyższając poziom bezpieczeństwa instalacji. Jeśli to tylko możliwe, należy wprowadzić ograniczenia ruchu kierowanego z takich urządzeń na zewnątrz sieci (np. do Internetu) za pomocą odpowiednich założeń polityki ruchu, egzekwowanej na zaporze sieciowej.

Jednym z poważniejszych błędów instalacji urządzeń wbudowanych jest brak zapisu logów generowanych przez urządzenie. Logi należy zapisywać, a także regularnie analizować pod kątem wystąpienia sygnałów o problemach. Standardem jest usługa Syslog, znana z systemów typu UNIX.

Małe skrzynki są wszędzie

Do najczęściej wykorzystywanych urządzeń wbudowanych w firmach, należą routery, serwery druku oraz punkty dostępowe Wi-Fi. Przez nie przechodzą wrażliwe dane, z których tylko niewielka część jest szyfrowana. Niektóre z tych urządzeń są wprost odpowiedzialne za bezpieczeństwo firmy, gdyż to w nich odbywa się szyfrowanie danych czy filtrowanie połączeń. Wbrew pozorom, nawet urządzenia, które tylko okazjonalnie łączą się z siecią, mogą być narażone na atak, jeśli luka to umożliwia. Przypadek ten dotyczy wielu urządzeń bezprzewodowych, na przykład niektórych liczników energii elektrycznej, termostatów i rozwiązań kontroli dostępu. "Niekiedy urządzenia takie są zasilane bateryjnie i minimalizują częstotliwość pracy modułu bezprzewodowej łączności. W takim przypadku wystarczy odpowiednio często nawiązywać połączenie, by spowodować przedwczesne wyczerpanie baterii. Jeśli projektant nie wprowadził ograniczeń pracy modułu bezprzewodowego oraz systemu powiadomień o niskim poziomie energii, można przeprowadzić atak odmowy obsługi, który może mieć dość poważne skutki" - mówi Philip Koopman, profesor Carnegie Melon University.

Wyszperać konsolę

Niewysoka cena wielu takich urządzeń sprawia, że są one często wykorzystywane w firmach. Ze względu na niższe koszty oraz łatwość obsługi, prawie wszystkie są zdalnie zarządzane za pomocą przeglądarki internetowej. Istotnym błędem administratora jest otwarcie interfejsu administracyjnego dla dowolnego adresu IP - a jest to dość częsta praktyka u niektórych operatorów internetowych, którzy w ten sposób zarządzają swoimi modemami.


TOP 200