“Γκρίζες ζώνες” σε θέματα ψηφιακής ασφάλειας έχουν αρκετές δημοφιλείς διασυνδεδεμένες συσκευές οικιακής ψυχαγωγίας, λόγω ευπαθειών στο λογισμικό τους. Οι “παγίδες” ασφαλείας, που κρύβουν οι online συσκευές, οφείλονται - σε ένα μεγάλο βαθμό- στην έλλειψη στοιχειωδών μέτρων ασφάλειας, όπως οι ισχυροί, προεπιλεγμένοι κωδικοί πρόσβασης για τους διαχειριστές και η κρυπτογράφηση της σύνδεσης στο Διαδίκτυο.



Οι παραπάνω διαπιστώσεις ανήκουν στην Kaspersky Lab, η οποία διεξήγαγε ένα ερευνητικό πείραμα κατ’ οίκον, για να διαπιστώσει πόσο ψηφιακά ασφαλές είναι το σπίτι ενός ερευνητή της. Για το σκοπό αυτό, εξέτασε διάφορες συσκευές οικιακής ψυχαγωγίας (π.χ. συνδεδεμένες σε δίκτυο συσκευές αποθήκευσης, Smart TV, router, blu-ray player κ.α.), οι οποίες αποδείχθηκε ότι είναι ευάλωτες σε ψηφιακές επιθέσεις. Κατά την έρευνα, η εταιρεία εντόπισε 14 ευπάθειες στις συσκευές αποθήκευσης, μια ευπάθεια στη Smart TV και διάφορες, πιθανώς, κρυφές λειτουργίες απομακρυσμένου ελέγχου στο router.
Ένα άλλο σημαντικό ζήτημα, που θέτει η εταιρεία, είναι η διάρκεια ζωής των συσκευών. Με βάση διάφορες συζητήσεις με κατασκευαστές, προκύπτει ότι μερικές εταιρείες δεν θα αναπτύξουν patch ασφάλειας για μια ευπαθή συσκευή, όταν ο κύκλος ζωής της φτάνει στο τέλος του. Συνήθως, ο κύκλος αυτός καλύπτει ένα ή δύο χρόνια, ενώ η πραγματική διάρκεια ζωής των συσκευών - για παράδειγμα, των συνδεδεμένων συσκευών αποθήκευσης - είναι πολύ μεγαλύτερη.

Οι ευπάθειες
Οι πιο σοβαρές ευπάθειες εντοπίστηκαν στις συνδεδεμένες σε δίκτυο συσκευές αποθήκευσης. Αρκετές από αυτές θα επέτρεπαν σε έναν εισβολέα να εκτελέσει απομακρυσμένα εντολές, έχοντας μάλιστα τα υψηλότερα δυνατά προνόμια διαχείρισης ενός συστήματος. Επίσης, οι προεπιλεγμένοι κωδικοί πρόσβασης γι’ αυτές τις συσκευές ήταν “αδύναμοι”, πολλά από τα αρχεία ρυθμίσεων είχαν λάθη στις εξουσιοδοτήσεις, ενώ περιείχαν τους κωδικούς πρόσβασης σε μορφή απλού κειμένου.
Εξετάζοντας το επίπεδο ασφάλειας της Smart TV, η Kaspersky Lab ανακάλυψε ότι δεν χρησιμοποιείται κρυπτογράφηση στην επικοινωνία μεταξύ της τηλεόρασης και των servers του κατασκευαστή. Αυτό, πιθανώς, να ανοίγει το δρόμο για επιθέσεις “Man-in-the-Middle”, οι οποίες θα μπορούσαν να έχουν ως αποτέλεσμα ο χρήστης να μεταφέρει χρήματα σε απατεώνες, όταν προσπαθεί να αγοράσει περιεχόμενο μέσω Smart TV.

Οι ερευνητές ανακάλυψαν, επίσης, ότι η “έξυπνη” τηλεόραση μπορεί να εκτελέσει κώδικα Java που - σε συνδυασμό με τη δυνατότητα παρεμβολής στην ανταλλαγή δεδομένων μεταξύ τηλεόρασης και Διαδικτύου - θα μπορούσε να οδηγήσει σε κακόβουλες επιθέσεις με βάση ευπάθειες.

Κατασκοπευτικές λειτουργίες σε router
Στο μεταξύ, το DSL που παρείχε ασύρματη σύνδεση στο Διαδίκτυο σε όλες τις υπόλοιπες οικιακές συσκευές, περιλάμβανε διάφορα επικίνδυνα χαρακτηριστικά, που ήταν κρυφά από τον ιδιοκτήτη του. Σύμφωνα με τον ερευνητή, μερικές από αυτές τις κρυφές λειτουργίες θα μπορούσαν να προσφέρουν στον Πάροχο Διαδικτυακών Υπηρεσιών (ISP) απομακρυσμένη πρόσβαση σε κάθε συσκευή που βρίσκεται εντός ενός ιδιωτικού δικτύου.

Πιο σημαντικό από αυτό, όμως, είναι το γεγονός ότι ο ιδιοκτήτης της συσκευής δεν μπορεί να δει ή να προσαρμόσει μέρη του web interface του router με τις ονομασίες “Web Cameras”, “Telephony Expert Configure”, “Access Control”, “WAN-Sensing” και “Update”, όπως έδειξε η έρευνα. Η πρόσβαση σε αυτά τα μέρη έγινε δυνατή μόνο μέσα από την εκμετάλλευση μιας ευπάθειας, η οποία επέτρεψε την περιήγηση σε διάφορα μέρη του interface (στην πραγματικότητα πρόκειται για ιστοσελίδες, καθεμία από τις οποίες διαθέτει μια αλφαριθμητική διεύθυνση).

Νατάσα Φραγκούλη