Så nemt er det at hacke et smart-tv via gennemhullet NAS-boks

Illustration: leowolfert/Bigstock
Hjemmet er fyldt med net-opkoblet udstyr, og meget af det er fyldt med sikkerhedshuller. Det var i hvert fald, hvad sikkerhedsekspert David Jacoby opdagede, da han satte sig for at hacke sit eget hjem.

Ingen kæde er som bekendt stærkere end det svageste led. Og her er hjemmenetværket og den elektronik,der er koblet på det, bestemt ingen undtagelse. Sikkerhedsekspert David Jacoby fra Kaspersky Lab har 15 års erfaring med it-sikkerhed, og han satte sig for at teste sikkerheden i de enheder, der var koblet på hans eget hjemmenetværk.

Han blev mildest talt overrasket over, hvor dårligt det stod til med sikkerheden.

»Jeg følte mig ret sikker på, at jeg ikke var særlig sårbar. Jeg er en sikkerheds-gut, jeg er aldeles paranoid. Jeg troede virkelig ikke, at jeg havde alt det skidt i mit hjem,« siger han.

Det er værd at bemærke, at David Jacoby, inden han begyndte at hacke sit netværk, havde opdateret sit udstyr med de seneste firmwares fra forskellige producenter. Dermed burde i hvert fald de mest umiddelbare sikkerhedshuller være lukket.
Processen med at opdatere firmware i enhederne var i øvrigt langt fra brugervenlig. Og derfor heller ikke en proces, der henvender sig til den almindelige bruger, bemærker David Jacoby.

Trods den opdaterede firmware lykkedes det ham i løbet af få dage at finde adskillige – og ganske alvorlige – sikkerhedshuller i de NAS-bokse (Network Attached Storage), han havde koblet på sit netværk. Og derfra gik det slag i slag med også at finde sikkerhedshuller i tv’et og flere andre enheder.

David Jacoby ønsker ikke at afsløre, hvilke to fimaer, der står bag NAS-boksene, andet end at det er kendte virksomheder. Han har dog demonstreret flere af de angrebsteknikker, han har anvendt, over for Version2, og det hele virker ganske plausibelt.

En zombie af et botnet

Efter lidt fiflen opdagede han, at han kunne køre kommandoer i det underliggende Linux-system via boksens administrative web-interface. Her var det dog stadig en forudsætning, at han var logget ind i interfacet.

Men så fandt David Jacoby frem til enhedens konfigurationsfil, der kunne fiskes ud af den af alle med adgang til lokalnetværket. Filen indeholder alle hash-værdierne for forskellige adgangskoder til enheden. Og med informationerne i konfiurationsfilen var det muligt at opnå adgang til det administrative interface og dermed sende root-kommandoer til NAS-boksen.

Efter yderligere snusen omkring fandt Jacoby frem til flere sårbarheder, der kunne anvendes til at eksekvere root-kommandoer på enheden uden først at opnå adgang til det administrative interface.

Adgangen udnyttede David Jacoby blandt andet til at forvandle NAS-boksen til en zombie af et botnet.

I storage-enhederne fandt sikkerhedseksperten mere end 14 sårbarheder, der ville gøre en angriber i stand til at eksekvere kode på systemet med de højeste administrative rettigheder. Sikkerhedsproblemerne viste sig ikke bare via webinterfacet, men via svage, indbyggede kodeord, forkert opsatte rettigheder i konfigurationsfilen og passwords i klar tekst. På en af storage-enhederne viste det administrative standardkodeord, der giver root-adgang, sig at være tallet ‘1’.

»Nu kører jeg kommandoer på denne enhed. Det er ikke cool. Men det foregår stadig på det lokale netværk,« siger David Jacoby.

Det med det lokale netværk vil i udgangspunktet sige, at en ondsindet gæst, der eksempelvis er inviteret over til middag, skal sidde i sofaen og hacke løs på NAS-boksen. Ikke umuligt, men hellere ikke videre sandsynligt.

David Jacoby ville gerne demonstrere, at det også vil være muligt for en udefrakommende angriber at kompromittere NAS-boksen. Altså en person, der i denne kontekst befinder sig på den forkerte side af NAT’en (Network Address Translation), og derfor kun kan se en enkelt offentlig ip-adresse og ikke tilgå NAS-boksen eller andre enheder på lokalnettet direkte. Ja, medmindre brugeren ligefrem har gjort web-interfacet tilgængeligt fra internettet – det havde David Jacoby selvsagt ikke.

Og den ringe sikkerhed, der kan være i boksene, taget i betragtning vil det absolut heller ikke være en anbefalelsesværdig manøvre at foretage.

HTML-hjemmeside med sjov video

For at se, om det skulle være muligt at udnytte svaghederne i NAS’en alligevel, satte David Jacoby en HTML-hjemmeside op med en sjov video og noget – set fra ejeren af NAS-boksens synspunkt – knapt så sjovt javascript.

Når en intetanende bruger klikker ind på hjemmesiden og ser videoen, så kører javascriptet i baggrunden på brugerens maskine og tester lokale ip-adresser på hjemmenetværket. Testen afprøver, om de enkelte adresser indeholder en bestemt billedfil. Samme fil, som den sårbare NAS-boks’ webinterface anvender. Hvis billedfilen eksisterer, så taler sandsynligheden for, at der er tale om en sårbar NAS, og javascriptet åbner en bagdør i boksen.

Den kører i øvrigt en version af styresystemet Linux og har flere programmer installeret, og derfor kan den også bringes til at foretage en del handlinger. I dette tilfælde får David Jacoby boksen til at koble op til en ip-adresse, han som angriber kontrollerer. Og da de såkaldte outbound-connections ofte tillades – altså når en enhed kobler op til en ekstern tjeneste – så bliver forbindelsen ikke blokeret af routeren.

Nu kan David Jacoby fra den eksterne ip-adresse sende kommandoer tilbage til routeren, som kører dem med root-rettigheder. Rent teknisk anvender han programmet netcat til at oprette en outbound-connection, som så kan bruges til at fjernstyre boksen med shellkommandoer, der kører med root-rettigheder.

Og som prikken over i’et, om man vil, så ligger den bagdør, David Jacoby installerede på NAS-boksen, ikke sammen med de almindelige brugerfiler. Så selvom boksen bliver nulstillet, vil bagdøren ikke blive slettet, men i stedet blive genindlæst sammen med de øvrige systemfiler, fortæller han.

Wi-fi-opkoblede tv-apparater

Efter at have konstateret, at sikkerheden i de to NAS-bokse mildt sagt er ringe, og at udefrakommende i princippet kan få adgang til de filer, der ligger på dem, fjernstyre dem, indlemme dem i et botnet og så videre, vendte David Jacoby blikket mod det ene af hans to wifi-opkoblede tv-apparater.

De net-opkoblede apparater viste sig umiddelbart ikke at være nær så nemme at knække, som det var tilfældet med storage-enhederne. Men ved at overvåge trafikken på hjemmenettet fandt David Jacoby ud af, at tv-apparatet forbinder til en ekstern server hos producenten og henter billedfiler og javascript-kode, som bliver brugt i forbindelse med widgets på apparatet. Jacoby, der allerede har adgang ind i hjemmenetværket via en heftigt kompromitteret NAS-boks, anvendte nu en angrebsteknik, der kaldes ARP-spoofing.

ARP står for Address Resolution Protocol, og angrebet går kort fortalt og i al sin enkelthed ud på, at få – i dette tilfælde – NAS-boksen til at sende et antal ARPbeskeder ud på netværket. Beskederne bevirker, at boksens MAC-adresse bliver knyttet sammen med den ip-adresse, som ellers tilhører routeren.

Nervøs for at ødelægge sit eget tv

Så næste gang, tv’et forsøger at få fat i leverandørens server for at hente javascript og billedfier, går forbindelsen ikke via routeren, men i stedet via den kompromitterede NAS-boks. Og boksen sender ikke tv’et videre til leverandørens hjemmeside, men fodrer i stedet apparatet med den javascript og de billedfiler, som angriberen ønsker.

David Jacoby gik dog ikke så langt ned ad lige denne sti. Blandt andet fordi, han var nervøs for at ødelægge det tv, han selv havde betalt.

»Hvis jeg ødelagde mit tv, så ville jeg blive ked af det. Og jeg ville ikke kunne forklare til min datter, at hun ikke kunne se Scooby Doo, fordi far havde arbejdet for meget,« siger David Jacoby.

Han har været i kontakt med leverandøren af tv’et, som takker for informationerne og vil se på sagen. Et lille proof-of-koncept har Jacoby dog også lavet. Han har fået tv’ets kalender-widget til at anvende et billede af figuren Borat, spillet af Baron Sasha Cohen. Men som nævnt henter apparatet også javascript, og det kan være noget mere problematisk end billederne.

»Det downloader også javascript. Det betyder, at det kører den javascript, jeg ønsker. Og med javascript kan man også læse lokale filer,« siger David Jacoby og henviser til, at han formentlig ville kunne hive endnu flere oplysninger ud af tv-apparatet, der kunne bruges til yderligere kompromittering.

TIPS TIL SIKRING AF ENHEDER PÅ LOKAL-NETVÆRKET

Sørg for at alle enheder er opdateret med fimware og
sikkerhedsopdateringer. Det kan være en bøvlet proces,
og brugeren får ikke nødvendigvis automatisk besked om
nye opdateringer. Men det er en god ide at undersøge, om
der er opdateringer alligevel, omend ikke andet så for at
blive klar over, om der overhovedet stadig bliver udgivet
opdateringer til et konkret produkt, eller om producenten
har opgivet det.

Sørg for at skift standardkodeord og -brugernavne på
enheden. Også på sådan noget som en satellitmodtager og
en NAS-boks i det omfang, det er muligt.

Brug kryptering på dine (private) fier. Også dem, du
placerer på en NAS. Hvis ikke du har adgang til et krypteringsværktøj, så put dem i en password-beskyttt zip-fi.
Det er ifølge David Jacoby bedre end ingenting.

De fleste routere gør det muligt at inddele lokalnettt i
flere zoner. Så netværksforbundne enheder kan placeres
på en del af nettet, hvorfra de ikke har adgang videre op på
internettet. Så selvom de indeholder sikkerhedshuller, kan
en angriber ikke umiddelbart få adgang til enhederne fra
internettet.

Brug din sunde fornuf og indse, at alting kan hackes –
også dine hardwareenheder.

Hvis du er virkeligt paranoid, så kan du overvåge den
indgående og udgående trafik fra netværket og holde øje
med, om der foregår noget mærkeligt. En anden mulighed
her kan være at begrænse adgangen for visse enheder, så
de kun kan tilgå eksempelvis producentens server.

Kilde: David Jacoby, 'IoT: How I hacked my home'.

David Jacoby har begået en lille rapport om sine opdagelser med titlen ‘IoT: How I hacket my home’, som indeholder
yderligere detaljer om fremgangsmåden samt andre sårbarhedsbeskrivelser i forbrugerelektronikken. Rapporten
kan findes her:

Denne artikel blev første gang bragt i Version2s Insight-magasin: Privacy & Sikkerhed. Download hele pdf-magasinet her.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (8)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Peter Lund

Da den originale blog post fra Jacoby er fra August, skulle det da være muligt at få en opdatering, eller navnene på NAS producenterne, de har haft over 3 måneder til at adressere deres vulnerabilities.

Det er da nytteløst at skrive denne artikel og så ikke specificere hvilken teknologier der testet og fundet udsatte.

  • 2
  • 0
torben ibsen

Der er nok gået mange interessante timer med at hitte ud af alt det, artiklen handler om. Men resultatet er vist blevet en artikel, hvor mange, også V2 læsere, kun kan forholde sig til overskriften. Man kan jo godt anse sig for IT-professionel uden at være netværks-ekspert. På min iMac kan man heller ikke komme længere ned i detaljerne, for når jeg klikker på linket til rapporten, svarer min iMac (Yosemite): "Der er ikke angivet noget program til at åbne URL'en “htts://securelist.com/analysis/publications/66207/iot-how-i-hacked-my-home/”." - Jeg håber, at der kommer en artikel, som kan forstås af en lidt bredere kreds. Gerne også lidt mere konkret, så den kan bruges til noget af mig. Mon min Apple Airport Time Capsule er en NAS?

  • 0
  • 3
Ulrik Suhr

Jeg ville gætte ud fra hvad der er skrevet at det er Synology & Qnap der er tale om, men havde ikke gættet på Apple produkt, men det er værd af overveje om det også er en af de kendte.

Det skal lige sige at Synology som jeg ejer har haft et hav af opdateringer på det seneste. Et par om måneden hvor det normalt måske nok er et par stykker på et år.

  • 0
  • 0
Jimmy Christiansen
  • 0
  • 0
Christopher Bonitz

Som sidste gange denne nyhed blev postet finder jeg ikke særlig meget nyhedsværdi i den,

For det første fordi "private" typisk ikke har åbnet deres udstyr til WAN, hvilket betyder at vi er efterladt med muligheden for at komme på det lokale netværk igennem det trådløse netværk, som sikkert har et let password (efternavn + vejnavn er gode gæt)

Og det kan da også knækkes hvis man gider smide resurser efter det.

Private netværk er bare generelt for kedelige både at beskytte og angribe, så derfor ser vi denne tildens, fuldstændig som i virus mod windows frem for IOS.

  • 0
  • 1
Log ind eller Opret konto for at kommentere