A Xiongmai hókuszpók veszélyei – Avagy noname távolkeleti kütyük és az IT biztonság

Vámos Sándor a passport blog szerzője elgondolkoztató cikkében hívja fel a figyelmet, a távol keleti IoT kütyük, jelen cikkben kamerák IT biztonsági veszélyeire. Figyelmesen olvassuk, mert egészen elborzasztóak a nagyságrendek.

Forrás: passport blog

Forrás: passport blog

Szeretjük a modern kütyüket, ezek fontos fokmérői, hogy hogyan viszonyulunk a technológiai fejlődéshez, azaz mennyire vagyunk menők. Bevallom, ebből a szempontból egyáltalán nem (sem) vagyok menő. Ismerem az egésznek a hátterét, az átviteli protokollokat, a jelszinteket és hogy mitől működik az egész; talán éppen ez az ismeret tesz meglehetősen kétkedővé.

Gond nélkül megvesszük a hangvezérléses asszisztenst, a lakást felügyelő kamerákat és az önszántából árut rendelő szuper kütyüket, aztán meg csodálkozunk. Csodálkozunk, hogy az este az asszonynak privát show keretei között bemutatott helikopterezés (hungarikum!) egy héttel később a napiszaron köszön vissza ránk (szintén hungarikum!).

Persze ilyenkor elgondolkodunk a miérteken, miközben a kamera földi maradványaival megcélozzuk a ház előtti utcán, özvegy Kovácsné mellett éppen a járdára kitárazó tartályforma Bizsu kutyát. Fel sem tűnik, hogy a nagy modernizálás varázsával eltelve teljesen megfeledkezünk az alapvető biztonsági lépésekről, például hogy megnézzük, hogy honnan is származik a csili-vilire pimpelt kamera. Ha van még egy kis türelme, elmondom.

Jó 10-20 éve alapították meg a távol-keleten – Kínában, Fülöp-szigeteken, Thailandon,.. – az első dzsunkacégeket. Ezek eleinte bér-összeszereléssel foglalkoztak, közvetlenül a halpucoló és cápákat uszonytalanító munkások mellett olyan alkatrészeket szereltek össze, amire már a fényes nyugaton senki nem volt hajlandó. Jórészt ezekből a cég-kezdeményekből alakultak ki a mai milliós-milliárdos forgalmú, gyakorlatilag rabszolgasorba kényszerített munkásokkal dolgoztató hatalmas, de többnyire ismeretlen cégek.

Sokat elárul az itteni munkahelyekről az un. Foxconn-háló; a cég a gyártócsarnokaira hálót szereltetett, hogy megakadályozza, hogy a melósai ott öngyilkosok legyenek. Menjenek csak haza, és oldják meg otthon, illetve hát a tömegszállásokon a magánéleti problémáikat.

A hirhedt Foxconn-hálók egyike. A névadó nem biztos, hogy büszke rá.Forrás: passport blog

A hirhedt Foxconn-hálók egyike. A névadó nem biztos, hogy büszke rá.
Forrás: passport blog

Az itt eszméletlen mennyiségben legyártott készüléket aztán konténerekben behajózzák, hogy egy hónapnyi utazás után Rotterdamban vagy Hamburgban kirakodhassák. Nem, ezek így még többnyire nem kerülnek forgalomba, gondos török, pakisztáni vagy szomáliai munkáskezek szakavatott mozdulatokkal átcímkézik és átcsomagolják először ezeket, csak hogy sokszoros áron és hívogató dobozokban kerülhessenek a kereskedelmi óriáscégek polcaira.

Otthon a kicsomagolt IoT kameráknak [IoT] automatikusan engedélyezzük a net-elérést, azok automatikusan csatlakoznak is a felhőjükhöz, és kész. Gondolhatnánk.

Xiongmai kamerák több mint 100 egyéb fantázia márkanév alatt is

Egy ilyen cég a mérvadó szakmai piac által nem jegyzett címadó Xiongmai is; a nevét senki nem ismeri, de komoly esélye van, hogy valamelyik itt gyártott kütyü valahol ott bújik meg az ön asztalán is. Ugyanis a Xiongmai helyett több, mint 100 egyéb márkanéven kerülnek ezek forgalomba (ezeknek a neveknek a jegyzéke itt található).

Sérülékeny eszközök elképesztő nagyságrendben

Ennek a cégnek a termékeit vonta nagyító alá az ismert osztrák biztonságtechnikai cég, a SEC Consultant és találtak is néhány igazán nyugtalanító dolgot; illetve hát szinte csak nyugtalanító dolgokat találtak. A szakértők már az 2016-os Mirai botnet [botnet] támadása kapcsán felismerték, hogy az internetre számolatlanul csatlakozó IoT eszközök [IoT] – kamerák, multimédia-eszközök,.. – nagyon komoly veszélyt jelentenek; a SEC főleg ebből a szempontból vizsgálta meg Xiongmai eszközeit.

A cég kamerái egy saját felhőbe [felhő] csatlakoznak (XMEye P2P Cloud) automatikusan, például innen kapják az automatikus szoftver-frissítéseket. A kutatók a kamerák firmware-nek [firmware] a visszafejtésével és az MAC címek ismeretének [MAC] olyan eljárást fejlesztetek ki, mely megvizsgálta a felhőbe csatlakozó kamerák sérülékenységét.

Csili-vili Xiongmai villanyégőbe integrált, mobil-telefonról elérhető kamera. Biztonság? Ehh, kit érdekel...Forrás: passport blog

Csili-vili Xiongmai villanyégőbe integrált, mobil-telefonról elérhető kamera. biztonság? Ehh, kit érdekel…
Forrás: passport blog

Összesen 16 millió kamerát azonosítottak, ezek közül 9 millió volt folyamatosan a neten, megbecsülték, hogy csak Németországban 1,3 millió ilyen készülék van. A készülékeken a rendszergazda-jelszó üres, és nem is szükséges ezt megadni; a legtöbb felhasználó valószínűleg nem is foglalkozik ezzel. Pedig ennek a jelszónak a birtokában valaki (vö. bárki) a kamera-képen kívül megtekintheti vagy aktiválhatja a videó-felvételeteket, megváltoztathatja az eszköz konfigurációját vagy letölthet firmware-t [firmware] is.

Ráadásul, ha még valaki annyira előrelátó, hogy megváltoztassa a jelszót, csak hamis biztonságérzete lehet, ugyanis van a kameráknak egy nem publikált felhasználója is (default) és a jelszava „tluafed” (default visszafelé), mellyel ugyanezeket a jogokat kapja meg a kamera felett. A firmware megváltoztatása, azaz rosszindulatú behatolóval való kiegészítése bármikor lehetséges, ugyanis a frissítések nem tartalmaznak ellenőrző kódot (aláírást).

Az már csak tényleg hab a tortán, hogy a gyártó a készülékeihez „elfelejtett” saját MAC-cím tartományt [MAC] vásárolni, így néhány német cég (Protechna Herbst GmbH, Koenig & Bauer AG, Metrohm AG) címtartományait adta el sajátként. Ez valami olyasmi a köznapi életben, mint amikor lusta vagyok az új kocsimra rendszámot venni, ezért leszerelem valakiét – mondván, neki úgy sem kell – és azt használom.

Elvileg az un. MAC-címeknek egyedinek kell(ene) lenniük az interneten, mint a fenti hasonlatban a rendszámoknak; de nyilván sok kínai gyártó igencsak hasonló hozzáállása sokat ront az összképen. A SAC mindenesetre felvette a gyártóval a kapcsolatot, akik ígéretet tettek arra, hogy legalább a trükkös „default” felhasználót törlik a firmware-ből.

Fordítsuk le a történetet „emberi” nyelvre; miért is veszélyes a fenti Xiongmai kamerák használata?

  1. Mert bárki benézhet a házunkba a jelszavak ismeretében vagy a már módosított firmware-en keresztül. Videofelvételeket készíthet és érzékeny felvételek esetén megzsarolhat minket (például a napiszarral).
  2. A behatoló – ha még előttünk megváltoztatja a kamera jelszavát – gyakorlatilag kizár minket a saját kameránkból.
  3. A firmware módosításával kameránk egy zombi (vagy ha úgy tetszik bot) lesz egy botnet [botnet] hálózatban.
  4. A hálózaton duplán, vagy sokszorosan jelenlevő MAC-címek azonosítási problémákat eredményezhetnek (jó, ennek meglehetősen csekély a valószínűsége)

A fő probléma viszont ezzel a történettel az, hogy ez csak egy kínai gyártó egy terméke. Teljesen meg tudunk zuhanni az új, tömegével a piacra kerülő kütyüktől, anélkül hogy igazán bármit is tudnánk róluk. Ez csak egy történet volt, aminek szerintem az a tanulsága, hogy igenis megéri egészséges paranoiával közelíteni ezt a szép új világot.

A nyomógombos Nokiám marad.

Forrás: passport.blog.hu