Szerző: Hlács Ferenc

2015. augusztus 8. 15:30

Kritikus biztonsági rést találtak a Zigbee szabványban

A teljes hálózat felett átvehetik az uralmat a támadók, a ZigBee vezeték nélküli szabványban fellelt legújabb sebezhetőséget kihasználva. A Cogonsec által demonstrált kritikus hiba számos gyártó IoT termékeit érinti.

HIRDETÉS

Kritikus sebezhetőséget találtak a Cognosec biztonsági szakértői a ZigBee vezeték nélküli kommunikációs szabványban. A számos IoT eszköz által használt technológiában felbukkant biztonsági rést a kutatók Las Vegas-i Black Hat konferencián demonstrálták - azt kihasználva támadók az adott hálózaton lévő összes készülék fölött átvehetik az uralmat.

A probléma abból ered, hogy a szabványt használó eszközök a kapcsolatlétesítés elején egy nem biztonságos kulcsátvitelt végeznek, amelynek során a gyártók egy alapértelmezett kulcsot használnak - ennek birtokában a támadók egyszerűen csatlakozhatnak az adott hálózathoz, majd a rajta lévő eszközöket felkutatva parancsokat is adhatnak azoknak. A ZigBee hálózaton ugyanis a csatlakozott készülékek, a kommunikációhoz különböző alkalmazásprofilokat használnak, amelyeken a szabvány által definiált parancsok küldhetők. Miután ezek előre meghatározott, ismert utasítások (például a hőmérséklet szabályozására vagy egy lámpa felkapcsolására) a támadók egy-egy hálózatba bejutva könnyedén igába hajthatják azokat, például az okosotthon-kiegészítők feletti irányítás átvételére.

Egészségbiztosítási program, külföldbiztos kódolás, átlátható drótváz (x)

A MediHelp költséghatékonyan, egyszerűen nyújt nemzetközi egészségbiztosítást.

Egészségbiztosítási program, külföldbiztos kódolás, átlátható drótváz (x) A MediHelp költséghatékonyan, egyszerűen nyújt nemzetközi egészségbiztosítást.

A Cognosec szerint elsősorban azért kerülnek piacra sebezhető IoT eszközök tömegei, mert a vállalatok könnyű kezelhetőséget kezelik a legfontosabb tényezőként - gyakran a biztonság rovására. Az egyes cégek termékeinek ráadásul a felhasználóbarát működéshez egymással is kompatibilisnek kell lenniük, a gyártók emellett az árakat is igyekeznek alacsonyan tartani. A kutatók szerint épp a költségek leszorítása lehet a fő oka a hasonló biztonsági hibák megjelenésének. A ZigBee-t egyébként többek között a Samsung, a Philips, a Motorola és a Texas Instruments is használja termékeiben.

A biztonsági szakértők tesztjeik során sikerrel vették át a kontrollt okosvillanykörték, -hőmérők, sőt ajtózárak fölött is - bár egy villogó lámpa még nem jelent komolyabb veszélyt, azt valószínűleg nem kell ecsetelni, hogy a ZigBee-t használó okoszárak a frissen felfedezett sebezhetőség fényében milyen biztonsági kockázatot hordoznak. Az eszközöket továbbá a felhasználóknak nem is áll módjában biztonságosabbá tenni, az okosotthon-kiegészítő IoT termékek döntő többsége semmilyen opcionálisan választható, plusz biztonsági funkciót nem tartalmaz.

A kutatók eredményeiről az érdeklődők részletesebben is olvashatnak, a Cognosec a témában megjelent tanulmányában.

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.

a címlapról

Hirdetés

FinOps: a fájdalommentes diéta titka a felhőben

2021. december 7. 22:57

Sokan szembesülnek a cloudos számlájuk elhízásával. Mint ahogyan a test számára is lehetséges egy jó étrend kialakítása a súlyfelesleg elkerülése érdekében, úgy egy kis tervezéssel a felhő költségei optimalizálhatók. Többek között ilyen témákkal foglalkozik a december 9-i HWSW meetup.