Małe komputery - duży problem

Niewielkie komputery są obecne niemal wszędzie, komunikują się za pomocą sieci, tworząc rozległe struktury. Sterują urządzeniami, od których może zależeć komfort, zdrowie, a nawet życie ludzi.

W dzisiejszej firmie pracuje coraz więcej urządzeń, które do swojej pracy wykorzystują niewielki komputer realizujący własny program. W ten sposób może działać sterowanie oświetleniem, klimatyzacją, kontrola dostępu, zarządzanie windami, a także system alarmowy. Wspólną cechą urządzeń osadzonych jest obecność trudnego w audycie oprogramowania, często nadal własnościowego w urządzeniach, które mają wpływ na ciągłość działania przedsiębiorstwa. Stan bezpieczeństwa takich urządzeń jest nieznany, ale dość często są połączone do sieci i mają istotne luki w bezpieczeństwie, które można wykorzystać.

Przykładem takiego ataku z marca 2001 r. była infiltracja komputera sterującego klimatyzacją w szpitalu North Central Medical Plaza w Dallas, skąd włamywacz uzyskał kontrolę nad innymi komputerami w sieci. Oznacza to, że każdy z komputerów połączonych w sieci może być narażony na atak i może posłużyć w dalszym etapie do infiltracji innych urządzeń w sieci. Przyczółkiem włamywaczy nie musi być stacja robocza, równie dobrze może być to panel kontroli urządzeń wyposażony w osadzoną instalację nieaktualizowanego systemu Windows, kopiarka lub drukarka sieciowa.

Nie tylko Ethernet

Nie trzeba mieć milionów dolarów

Wbrew pozorom, do ataków przeciw komputerom osadzonym wcale nie jest potrzebne kosztowne laboratorium. Dwaj badacze Moyer oraz Keltner pokazali na konferencji Black Hat, że do ataków na sieć liczników wystarczy niedrogi moduł radiowy oraz dostępne za darmo oprogramowanie. Za jego pomocą można znaleźć inteligentne liczniki, połączyć się i obejść prostą ochronę kryptograficzną transmisji. Gdyby intruz chciał zrobić to samo, mógłby podać komendy skutkujące złym raportowaniem danych z urządzenia lub wyłączyć w ten sposób zasilanie niektórym użytkownikom.

Do ataku przeciw komputerom sterującym infrastrukturą techniczną w przemyśle lub w rozwiązaniach "inteligentnych budynków" wystarczy podłączenie do sieci, w której pracują te komputery i wykorzystanie dostępnego za darmo oprogramowania. Jeśli sieć nie jest dostatecznie chroniona, atak można zrealizować zdalnie.

Sieć to niekoniecznie klasyczna sieć LAN połączona z Internetem. Do komunikacji między komputerami korzysta się czasami z linii energetycznych, których protokoły są niedopracowane. Na tegorocznej konferencji Defcon omawiane były ataki kierowane przeciw sieciom wykorzystującym kable sieci zasilającej do szerokopasmowej komunikacji. Za pomocą takiego medium można zrealizować sieć LAN o przepustowości rzędu dziesiątek megabitów, ale także sterować oświetleniem, klimatyzacją, kamerami monitoringu, alarmami. Najczęściej stosowanym protokołem jest X10, który nie obsługuje szyfrowania komunikacji, zatem do przejęcia informacji przesyłanych tą drogą wystarczy zwykły sniffer. Badacze udostępnili dokumentację narzędzi i oprogramowanie w modelu open source, które przeznaczone są do audytu bezpieczeństwa sieci korzystających z X10. W ten sposób można pozyskać informację o różnych systemach, w przykładowej lokalizacji badacze zidentyfikowali sygnały pochodzące z 15 różnych systemów działających w inteligentnych budynkach. Innym protokołem komunikacji za pomocą kabli, który był przez nich analizowany, był Z-Wave. W odróżnieniu od X10, obsługuje on szyfrowanie za pomocą AES, ale bardzo niewiele urządzeń w ogóle korzysta z tej opcji. Jedyne badane komputery inteligentnego budynku, które szyfrowały komunikację, robiły to nieprawidłowo.

Przez analizę informacji przepływających siecią między osadzonymi komputerami można poznać działanie firmy lub domu, w którym je zainstalowano, przy czym niekiedy wystarczy połączenie w sąsiedniej lokalizacji, gdyż sygnał może przenikać poza sieć elektryczną w budynku. Dodatkowo można w ten sposób zakłócić działanie urządzeń, na przykład wyłączając działanie jednego z czujników alarmu lub powodując zmiany w pracy systemu oświetlenia, klimatyzacji czy zasilania.

Sieć z liczników

Prawdopodobieństwo naruszenia bezpieczeństwa sieci jest wprost proporcjonalne do nielegalnych przychodów, które mogą w ten sposób uzyskać włamywacze. Jeśli siecią urządzeń osadzonych będą liczniki energii elektrycznej lub innych mediów, ataki mogą mieć charakter komercyjny, gdyż można będzie zakłócić pracę lub zmienić wskazania tych urządzeń. Podczas tegorocznej konferencji Black Hat w Las Vegas badacze poświęcili szczególną uwagę bezpieczeństwu rozwiązań, w których osadzone komputery i technologia komunikacji wykorzystywana do połączenia ich w dużą sieć stanowią poważne zagrożenie bezpieczeństwa infrastruktury krytycznej dla działania społeczeństwa. Pierwsze testy ataków kierowanych przeciw sieciom smart grid już przeprowadzono - w ubiegłym roku Mike Davis, konsultant związany z IOActive, opracował kod, który był w stanie samoczynnie przenosić się między licznikami energii zlokalizowanymi w różnych domostwach. Kod ten mógł zawierać także komendę wyłączenia zasilania lub całkowitej deaktywacji licznika. Według Jonathana Polleta, założyciela firmy Red Tiger Security, specjalizującej się w bezpieczeństwie infrastruktury krytycznej, sieć smart grid może być podatna na różne ataki. Wśród nich należy wymienić chęć obniżenia wskazań licznika przez klientów, ale także wielkoskalowy atak odmowy obsługi, którego zadaniem jest sparaliżowanie całego miasta przez odłączenie zasilania w wielu licznikach jednocześnie. Zdalny atak nie byłby możliwy bez obecności osadzonych komputerów połączonych w sieć.

Chociaż przedsiębiorstwa z sektora utilities długo mają do czynienia z oszustami modyfikującymi lub obchodzącymi liczniki mediów, obecnie dochodzi jeszcze jedno ważne zjawisko, którym jest nieznana dotąd skala ataku - z jednego miejsca można zaatakować sieć urządzeń zlokalizowanych na terenie całego miasta.

Atak na samochód

Przykładem rozwiązań, w których bezpieczeństwo cyfrowych urządzeń osadzonych może być krytycznie ważne dla zdrowia i życia ludzkiego, jest motoryzacja. Dzisiejsze samochody są skomputeryzowane, mają niejeden , a praca najważniejszych elementów, takich jak silnik i hamulce, jest kontrolowana przez komputery. Nowe samochody można zdalnie uruchomić za pomocą telefonu komórkowego, łączność za pomocą Bluetooth używana do zestawów głośnomówiących, nawigacja satelitarna oraz systemy informacyjno-rozrywkowe (infotainment) zagościły na dobre w nowoczesnych pojazdach. Razem z nimi pojawiło się ryzyko naruszenia bezpieczeństwa komputerów sterujących pracą poszczególnych części pojazdu.

W ubiegłym roku badacze kalifornijskiego uniwersytetu w San Diego we współpracy z naukowcami z Waszyngtonu zademonstrowali atak, polegający na naruszeniu bezpieczeństwa systemów elektronicznych samochodu - do przeprowadzenia takiego ataku niezbędny był jednak fizyczny dostęp do komponentów elektronicznych umieszczonych w kabinie pojazdu. Atak ten, nazwany CarShark, przeprowadzono za pomocą standardowego laptopa, portu szeregowego oraz specjalnie przygotowanego oprogramowania. Ta sama ekipa niedawno opracowała atak, który wykorzystuje bezprzewodową komunikację Bluetooth. Oznacza to, że dalsze ataki z powodzeniem będą mogły ingerować w działanie osadzonych komputerów w samochodach - po odgadnięciu kodu PIN można przeprowadzić atak CarShark, ponadto można zdalnie manipulować zabezpieczeniami takimi jak samochodowe immobilizery. Te ostatnie urządzenia zostały zaprojektowane do ochrony przed złodziejami, ale mogą posłużyć do zdalnego zablokowania samochodów nieświadomym ataku właścicielom. Atak odmowy obsługi polegający na zdalnym zablokowaniu immobilizerów w samochodach został przeprowadzony w ubiegłym roku przez byłego pracownika firmy dealerskiej w USA, który uzyskał dostęp do systemu antykradzieżowego. Zablokował ponad 100 samochodów, włączając przy okazji klaksony.

Zagrożona prywatność

Problemy z systemami osadzonymi dotyczą nie tylko bezpieczeństwa, ale także prywatności użytkowników. W niektórych samochodach montowane są czujniki ciśnienia w oponach, ponadto powszechnie wykorzystywane są tagi RFID, także w oponach. Przechwycenie podobnej komunikacji za pomocą odpowiednio przygotowanej anteny umożliwia zdalne (z około 40 m) rejestrowanie wszystkich przejeżdżających samochodów wyposażonych w takie opony lub urządzenia. Odbywa się to bez wiedzy i zgody właścicieli, a pozyskanych w ten sposób danych nie sposób kontrolować. Na razie nie zanotowano żadnego eksploita, który wykorzystywałby luki w bezpieczeństwie lokalnej komunikacji bezprzewodowej stosowanej w czujniku ciśnienia, ale naruszenie prywatności użytkowników jest na porządku dziennym. To samo dotyczy także rozwiązań osadzonych, które nie są stałym wyposażeniem samochodu.

Od nawigacji do fotoradaru

Firma TomTom, dostawca oprogramowania i urządzeń nawigacji satelitarnej, sprzedawała holenderskim agencjom rządowym agregowane dane o parametrach jazdy swoich klientów, pozyskiwane przez urządzenia. W ten sposób policja w Holandii pozyskała niedostępne dotąd informacje o nawyku kierowców i zainstalowała fotoradary w miejscach, w których prawdopodobieństwo naruszenia ograniczenia prędkości było najwyższe (należy zauważyć, że nie ma to nic wspólnego ze statystyką wypadków w danym miejscu). Chociaż Harold Goddijn, CEO firmy TomTom, przyznaje, że nie podoba mu się takie wykorzystywanie informacji pozyskiwanych z oprogramowania do nawigacji satelitarnej, jednocześnie firma, którą kieruje, sprzedaje dane o przemieszczaniu się abonentów sieci Vodafone, korzystających z usługi informacji o natężeniu ruchu.

W odróżnieniu od ściśle regulowanych danych o lokalizacji abonenta telefonii komórkowej (te dane są chronione przez operatora) informacje o położeniu klientów różnych programów nawigacji satelitarnej czy pozyskiwaniu danych za pomocą czytników RFID nie są tak ostro regulowane przez międzynarodowe przepisy.

Ważne pytania

Przy rozważaniu bezpieczeństwa rozwiązań osadzonych należy zadać pytania, które pomogą oszacować zagrożenie.

- Które systemy są połączone z Internetem lub siecią komórkową i w jaki sposób je zabezpieczono przed dostępem?

- Czy istnieje połączenie między systemami krytycznymi a rozrywkowymi (na przykład nawigacją GPS w samochodzie)?

- W jaki sposób zabezpieczono system łączności radiowej na niewielkie odległości (RFID, Bluetooth)?

- Jakie dane osobiste są gromadzone, gdzie, czy są przekazywane poza urządzenie?

- Czy istnieje system powiadomienia za pomocą narzędzi diagnostycznych o naruszeniu bezpieczeństwa lub integralności systemów osadzonych, w tym ich oprogramowania?

- Czy istnieje w systemie lokalny zasób, w którym zapisuje się informacje pozyskane z połączonych inteligentnych urządzeń? Czy takie informacje w ogóle są pobierane, jeśli tak, to jakie i kiedy?

- Czy istnieje sposób na usunięcie wszelkich personalizowanych informacji, na przykład przy sprzedaży samochodu lub innego urządzenia domowego (telewizor) lub firmowego (kopiarka)? Jak przeprowadza się taki reset do ustawień fabrycznych? Co naprawdę on wykonuje?

- Jaka jest odpowiedzialność operatora (na przykład operatora sieci komórkowej) w przypadku naruszenia bezpieczeństwa komunikacji?

Trudna aktualizacja i ochrona przed atakiem

Urządzenia osadzone są projektowane, by działać przez wiele lat bez wymiany. Niekiedy czas życia takich komputerów ma wynosić do 20 lat (tak są projektowane liczniki energii elektrycznej). Dostarczenie i zastosowanie aktualizacji bezpieczeństwa dla wielu rozproszonych urządzeń w tak długim czasie może być bardzo kosztowne i trudne, gdyż niektóre z nich nie mogą być po prostu wyłączone i przewiezione dla rutynowej konserwacji. Z kolei dystrybucja aktualizacji przez sieć niesie ze sobą kolejne podatności, w tym możliwość podstawienia fałszywego oprogramowania do wielu urządzeń jednocześnie.

Urządzenia dla sieci smart grid wywodzą się ze starszych rozwiązań klasy SCADA, przeznaczonych do pozyskiwania informacji oraz kontroli procesów przemysłowych. Urządzenia te również zawierają komputery, ale w odróżnieniu od sieci lokalnych i stacji roboczych, nie mają odpowiednich mechanizmów ochrony, takich jak zapory sieciowe i ochrona antywirusowa. Komputery w kontrolerach rzadko są projektowane pod kątem bezpieczeństwa, zatem należy się spodziewać wykrycia wielu podatności, z których pewne mogą być bardzo szybko rozpropagowane i wykorzystywane. Z kolei firmy z sektora utilities nie posiadają dużego doświadczenia w dziedzinie bezpieczeństwa rozwiązań sieciowych. Na konferencji Black Hat badacze z różnych organizacji kilkakrotnie podkreślali, że nawet jeśli urządzenia instalowane przez firmy z sektora utilities oferują szyfrowanie połączenia, dokładniejsza analiza wykazywała poważne problemy w implementacji. Przykładem jest sieć ZigBee, która oferuje szyfrowanie połączenia, ale w praktyce nie chroni przed atakiem powtórzenia informacji, ponadto klucz szyfrujący można łatwo uzyskać.

Jeśli urządzenie osadzone staje się częścią firmowej infrastruktury, musi podlegać założeniom spójnej polityki bezpieczeństwa w organizacji. To oznacza konieczność zapewnienia aktualizacji firmware’u, wprowadzenia zabezpieczenia sieci, separacji połączeń za pomocą zapór sieciowych, kontroli urządzeń komunikacji bezprzewodowej, a także odpowiednich procedur minimalizacji skutków awarii.