bencede
New member
Federal Bilgi Güvenliği Dairesi (BSI), mevsimsel olarak uygun akıllı ısıtma termostatlarını daha yakından inceledi. Amaç, sistemlerin siber güvenliğini incelemekti.
Duyuru
BSI test aralığı on farklı termostat içerir.
(Resim: BSI)
İlk olarak, BSI analizinde, radyatör termostatları gibi akıllı ev cihazlarının kısa geliştirme döngülerine sahip olduğu, “BT güvenliğinin genellikle diğer ürün özelliklerine göre daha düşük önceliğe sahip olduğu. Buna eksik veya yetersiz planlama yaklaşımlarının eşlik ettiği” tartışılıyor. söz konusu. Bu nedenle birçok ürün “hacker saldırılarına karşı etkili koruma sunmuyor”.
Siber güvenlik eksikliği verileri ve üçüncü tarafları riske atıyor
Saldırganlar, kişisel verileri elde etmek için güvenliği ihlal edilmiş cihazları kötüye kullanabilir veya bunları hizmet reddi (dDoS) saldırıları başlatmak için kullanabilir. Yanlış yapılandırmalar, kötü niyetli saldırganlar olmasa bile bilgi sızıntısına yol açabilir. BSI, bu tür cihazların üreticilerini tasarım gereği güvenliği ve geliştirme sırasında varsayılan olarak güvenliği dikkate almaya motive etmek için bu konuda üreticiler ve perakendecilerle görüşmeler gerçekleştirdi. Siber güvenlik otoritesi ayrıca bir kanıt konsepti oluşturduktan sonra on adet akıllı radyatör termostatından oluşan rastgele bir örneği teknik olarak inceletti. Cihazların kendisi ve ilgili uygulamalar, yani ekosistemleri analiz edildi. Güvenlik açıklarının bulunması durumunda BSI, üreticilerle “işbirliğine dayalı işbirliğine” girer ve sorumlu bir açıklama politikası izler.
BSI ağ trafiğini izledi ve analiz etti. Ayrıca uygulamaları statik ve dinamik analizlere tabi tuttu. Ancak program aynı zamanda örneğin elektronik kartların, mikroişlemcilerin ve termostat veri yolu sistemlerindeki iletişimin teknik analizini de içeriyordu.
BSI anketinin sonuçları
Tüm uygulamalar “yüksek güvenlik senaryoları için tasarlanmamıştır.” İki üretici, verileri iOS uygulamasından aktarırken hata yaptı: Veriler şifrelenmemişti. Bir iOS uygulamasında siteler arası komut dosyası çalıştırma güvenlik açığı vardı. Sertifika engelleme genellikle gerçekleştirilmez, bu da ortadaki adam saldırılarını kolaylaştırır. Uygulamaların hiçbiri biyometrik kimlik doğrulama gerektirmedi ve on uygulamadan üçü anahtar deposunda veya güvenli anahtarlıkta belirteçleri ve erişilen verileri saklamadı. Test edilen üç ürün, bir Çin beyaz etiketi olan OEM tasarımına dayanmaktadır. Uygulamalar neredeyse aynı ve yalnızca logolar değiştirilmiş ve bir ürünün donanım kasası biraz değiştirilmiş. Üçünün de çıkarılıp ağ üzerinden cihazla etkileşimde bulunmak için kullanılabilecek gizli bir anahtarı var. BSI, bazı uygulamaların arabellek taşması korumasının etkinleştirilmemiş bileşenleri kullanması gerçeğini eleştiriyor.
Donanım testleri, hata ayıklama arayüzlerinin altı test deneği için erişilebilir olduğunu gösterdi. Bu, bellenimi okumayı ve hatta değiştirmeyi oldukça kolaylaştırdı. Nihai müşteriler için risk yönetilebilir düzeydedir; BSI'ya göre üreticilerin fikri mülkiyeti risk altında. Yine, tüm verileri ağ üzerinden açık metin olarak ileten “neredeyse şifrelenmemiş iletişime” sahip bir üretici keşfedildi. BSI tüketicilerle ilgili neredeyse hiçbir güvenlik açığı bulamadı. İki denek, cihaz yazılımı güncellemelerini şifrelenmemiş kanallar aracılığıyla İnternet'ten indirdi ve güncellemelerin orijinalliğini doğrulamadı.
BSI son olarak şu sonuca varıyor: “Analizler, tüketicilerin akıllı cihazları ve mobil uygulamalarını kullanırken belirli risklerle karşı karşıya olduğunu gösteriyor. Çoğu güvenlik açığı hemen tehdit edici olmasa da, saldırganlar tarafından gerçekten istismar edilirse gizlilik ve güvenlik açısından ciddi sonuçlar doğurabilir.” Üreticilerin “daha yüksek düzeyde koruma sağlamak için” güvenlik önlemlerini iyileştirmeye ve yerleşik standartları uygulamaya devam etmeleri gerekiyor.
93 sayfalık PDF, üreticilere, perakendecilere ve diğer ilgili taraflara, ürün geliştirme sırasında daha iyi BT güvenliğinin nasıl uygulanacağı konusunda çok sayıda kılavuz ve ipucu sağlar. Sonuçlar yalnızca anonim biçimde dahil edilir; Belirli güvenlik açıkları herhangi bir üreticiye veya ürüne atanamaz.
(Bilmiyorum)
Duyuru
BSI test aralığı on farklı termostat içerir.
(Resim: BSI)
İlk olarak, BSI analizinde, radyatör termostatları gibi akıllı ev cihazlarının kısa geliştirme döngülerine sahip olduğu, “BT güvenliğinin genellikle diğer ürün özelliklerine göre daha düşük önceliğe sahip olduğu. Buna eksik veya yetersiz planlama yaklaşımlarının eşlik ettiği” tartışılıyor. söz konusu. Bu nedenle birçok ürün “hacker saldırılarına karşı etkili koruma sunmuyor”.
Siber güvenlik eksikliği verileri ve üçüncü tarafları riske atıyor
Saldırganlar, kişisel verileri elde etmek için güvenliği ihlal edilmiş cihazları kötüye kullanabilir veya bunları hizmet reddi (dDoS) saldırıları başlatmak için kullanabilir. Yanlış yapılandırmalar, kötü niyetli saldırganlar olmasa bile bilgi sızıntısına yol açabilir. BSI, bu tür cihazların üreticilerini tasarım gereği güvenliği ve geliştirme sırasında varsayılan olarak güvenliği dikkate almaya motive etmek için bu konuda üreticiler ve perakendecilerle görüşmeler gerçekleştirdi. Siber güvenlik otoritesi ayrıca bir kanıt konsepti oluşturduktan sonra on adet akıllı radyatör termostatından oluşan rastgele bir örneği teknik olarak inceletti. Cihazların kendisi ve ilgili uygulamalar, yani ekosistemleri analiz edildi. Güvenlik açıklarının bulunması durumunda BSI, üreticilerle “işbirliğine dayalı işbirliğine” girer ve sorumlu bir açıklama politikası izler.
BSI ağ trafiğini izledi ve analiz etti. Ayrıca uygulamaları statik ve dinamik analizlere tabi tuttu. Ancak program aynı zamanda örneğin elektronik kartların, mikroişlemcilerin ve termostat veri yolu sistemlerindeki iletişimin teknik analizini de içeriyordu.
BSI anketinin sonuçları
Tüm uygulamalar “yüksek güvenlik senaryoları için tasarlanmamıştır.” İki üretici, verileri iOS uygulamasından aktarırken hata yaptı: Veriler şifrelenmemişti. Bir iOS uygulamasında siteler arası komut dosyası çalıştırma güvenlik açığı vardı. Sertifika engelleme genellikle gerçekleştirilmez, bu da ortadaki adam saldırılarını kolaylaştırır. Uygulamaların hiçbiri biyometrik kimlik doğrulama gerektirmedi ve on uygulamadan üçü anahtar deposunda veya güvenli anahtarlıkta belirteçleri ve erişilen verileri saklamadı. Test edilen üç ürün, bir Çin beyaz etiketi olan OEM tasarımına dayanmaktadır. Uygulamalar neredeyse aynı ve yalnızca logolar değiştirilmiş ve bir ürünün donanım kasası biraz değiştirilmiş. Üçünün de çıkarılıp ağ üzerinden cihazla etkileşimde bulunmak için kullanılabilecek gizli bir anahtarı var. BSI, bazı uygulamaların arabellek taşması korumasının etkinleştirilmemiş bileşenleri kullanması gerçeğini eleştiriyor.
Donanım testleri, hata ayıklama arayüzlerinin altı test deneği için erişilebilir olduğunu gösterdi. Bu, bellenimi okumayı ve hatta değiştirmeyi oldukça kolaylaştırdı. Nihai müşteriler için risk yönetilebilir düzeydedir; BSI'ya göre üreticilerin fikri mülkiyeti risk altında. Yine, tüm verileri ağ üzerinden açık metin olarak ileten “neredeyse şifrelenmemiş iletişime” sahip bir üretici keşfedildi. BSI tüketicilerle ilgili neredeyse hiçbir güvenlik açığı bulamadı. İki denek, cihaz yazılımı güncellemelerini şifrelenmemiş kanallar aracılığıyla İnternet'ten indirdi ve güncellemelerin orijinalliğini doğrulamadı.
BSI son olarak şu sonuca varıyor: “Analizler, tüketicilerin akıllı cihazları ve mobil uygulamalarını kullanırken belirli risklerle karşı karşıya olduğunu gösteriyor. Çoğu güvenlik açığı hemen tehdit edici olmasa da, saldırganlar tarafından gerçekten istismar edilirse gizlilik ve güvenlik açısından ciddi sonuçlar doğurabilir.” Üreticilerin “daha yüksek düzeyde koruma sağlamak için” güvenlik önlemlerini iyileştirmeye ve yerleşik standartları uygulamaya devam etmeleri gerekiyor.
93 sayfalık PDF, üreticilere, perakendecilere ve diğer ilgili taraflara, ürün geliştirme sırasında daha iyi BT güvenliğinin nasıl uygulanacağı konusunda çok sayıda kılavuz ve ipucu sağlar. Sonuçlar yalnızca anonim biçimde dahil edilir; Belirli güvenlik açıkları herhangi bir üreticiye veya ürüne atanamaz.
(Bilmiyorum)