كاسبرسكي تساعد في القضاء على ثغرات حرجة في وحدة للتحكم بالمنزل الذكي

الأحد 04 أغسطس 2019

دبي - مينا هيرالد:

حدّد باحثون في كاسبرسكي يحققون في وحدة للتحكّم بمنظومة نشطة للمنزل الذكي، وجود العديد من الثغرات الحرجة في هذه الوحدة. وتشمل هذه ثغرات أخطاء برمجية في البنية التحتية السحابية وقدرة على تنفيذ شيفرة برمجية عن بُعد قد تسمح لطرف خارجي بالحصول على قدرة تحكّم فائقة بوحدة التحكّم والتلاعب بالبنية التحتية للمنزل الذكي. وقد أطْلعت كاسبرسكي شركة "فيبارو" المصنّعة لمنظومة المنزل الذكي، على النتائج التي وصلت إليها فعالجتها على الفور، وأجرت التحديث المطلوب على بروتوكولات الأمن.

مرّت سنوات منذ أن بدأ النظر للمرة الأولى في مسألة أمن إنترنت الأشياء، ومع استمرار مشهد إنترنت الأشياء في التوسّع والتطوّر، تظلّ أهمية النظر في أمن الأجهزة قائمة وملحّة، لا سيما مع ظهور تهديدات جديدة تواكب المنتجات والحلول الجديدة، ما يعرّض سلامة المستخدمين للخطر.

وكان أحد موظفي كاسبرسكي تحدّى زملاءه من باحثي الشركة لإخضاع نظام منزله الذكي للاختبار، فمنح الباحثين إمكانية الوصول إلى وحدة التحكّم الذكية بمنزله، نظراً لكونه يربط بين العمليات الشاملة في جميع أنحاء المنزل الذكي ويشرف عليها، ولأن الاختراق الناجح من شأنه أن يسمح للمهاجم الإلكتروني بالتطفّل على المنظومة المنزلية بأكملها لتحقيق جميع الأغراض المنشودة، من التجسّس والسرقة إلى التخريب المادي.

وقادَت مرحلة البحث الأولي الخاصة بجمع المعلومات الخبراء إلى العديد من نواقل الهجوم المحتملة؛ أحدها عبر بروتوكول الاتصالات اللاسلكية Z-Wave المستخدم على نطاق واسع في التشغيل الآلي للمنزل، وآخر عبر واجهة الويب الخاصة بلوحة إدارة المنظومة، وثالث عبر البنية التحتية السحابية. وكان هذا الأخير أكثر نواقل الهجوم فعالية؛ إذ كشف فحص الأساليب المستخدمة لمعالجة الطلبات من الجهاز عن وجود ثغرة أمنية في عملية التخويل تتيح إمكانية تنفيذ شيفرات برمجية عن بُعد.

ومن شأن نواقل الهجوم هذه مجتمعة، أن تسمح لأطراف خارجية بالوصول إلى جميع النسخ الاحتياطية التي جرى تحميلها على السحابة من جميع المراكز الرئيسية التابعة لشركة "فيبارو"، وتحميل نسخ احتياطية مصابة إلى السحابة ثم تنزيلها على وحدة تحكم معينة - بالرغم من عدم وجود حقوق تسمح بذلك في النظام.

ونفّذ خبراء كاسبرسكي، من أجل إتمام التجربة، هجوماً اختبارياً على وحدة التحكم أعدوا له نسخة احتياطية محددة مع برمجية نصية منفصلة ومحمية بكلمة مرور. وأرسل الخبراء تالياً رسالة بريد إلكتروني ورسائل نصية إلى صاحب الجهاز الخاضع للاختبار عبر السحابة، لحثه على تحديث البرمجية الثابتة الخاصة بوحدة التحكم. حسب الطلب، وافق المستخدم "الضحية" على النسخة الاحتياطية المصابة ونزّلها. وقد مكّن هذا الاختبار الباحثين من الحصول على حقوق استخدام فائقة لوحدة التحكم في المنزل الذكي، ما أتاح لهم التلاعب في المنظومة المنزلية. وقد غيّر خبراء كاسبرسكي صوت رنّة المنبه لإثبات اقتحامهم الناجح للمنظومة، فاستيقظ موظف كاسبرسكي في اليوم التالي على بعض الموسيقى الصاخبة.

ومن غير المرجّح أن يقصُر مجرم إلكتروني يحظى بالقدرة على الوصول إلى مركز التحكّم بالمنزل الذكي، هجومه على "مزحة منبه" بحسب تعليق بافل تشيريموشكن الباحث الأمني في فريق الاستجابة لحالات الطوارئ الإلكترونية في نظم الرقابة الصناعية لدى كاسبرسكي، الذي أوضح أن إحدى المهام الرئيسة للوحدة التي خضعت للاختبار كانت "دمج جميع "الأشياء الذكية" حتى يتمكن مالك المنزل من إدارتها من مركز منزلي واحد"، وقال: "استهدف نظاماً توظيفه منتشر، ومع أن معظم الأبحاث كانت في السابق تتمّ في ظروف مخبرية محددة، فقد أظهر الاختبار أنه ما زالت هناك قضايا يتعيّن معالجتها على الرغم من الوعي المتزايد بأمن إنترنت الأشياء. كذلك فإن الأجهزة التي درسناها يتم إنتاجها على نطاق واسع وتوظيفها في شبكات منزلية ذكية عاملة أصلاً". وتقدّم الخبير في فريق الاستجابة لحالات الطوارئ الإلكترونية لدى كاسبرسكي بالشكر لشركة "فيبارو" على "موقفها المسؤول تجاه هذه المسألة المهمة، مع علمنا بحرص الشركة على الأمن الإلكتروني واهتمامها به، لجعل منزل زميلنا أكثر أمناً مما كان عليه قبل الاختبار".

من جانبه، أكّد كرزيستوف باناسياك كبير مسؤولي المنتجات لدى "فيبارو"، أن البنية التحتية لإنترنت الأشياء تتطلب "نظاماً معقداً يعمل بإتقان على العديد من المستويات"، موضحاً أن هذا النظام ينطوي على الكثير من الأعمال التنفيذية والبُنيوية، وقال: "نقدر بحث كاسبرسكي وجهودها التي ساعدتنا على حماية منتجاتنا وخدماتنا حتى تخلّصنا من الثغرات المحتمل استغلالها في منتجاتنا، ونوصي بشدّة مستخدمي "فيبارو" بتثبيت التحديثات، والتحقّق دائماً من توافق رسائل البريد الإلكتروني مع إعلاناتنا المنشورة على موقعنا الرسمي؛ فالتحديثات تعمل على زيادة وظائف النظام كما تصعّب على المتسلّلين سرقة البيانات الخاصة".

وتنصح كاسبرسكي المستخدمين باتباع التدابير التالية للحفاظ على سلامة أجهزتهم:

على المستخدم التفكير في المخاطر الأمنية عند تحديد الجوانب التي سيضفي عليها سمات الذكاء.
قبل شراء أحد أجهزة إنترنت الأشياء، على المستخدم البحث في الإنترنت عن أخبار تتعلق بأية ثغرات أمنية مكتشفة في الجهاز المنشود.
إلى جانب الأخطاء البرمجية التي يجدها المستخدم في المنتجات المطروحة حديثاً، قد يجد أن هذه المنتجات تواجُه مشاكل أمنية لم يكتشفها باحثو الأمن حتى الآن. ولذلك فإن الخيار الأفضل يبقى متمثلاً بشراء المنتجات التي شهدت تحديثات برمجية بدلاً من أحدث المنتجات التي تم طرحها في السوق.
التأكد من تحديث جميع الأجهزة بجميع تحديثات الأمن والبرمجيات الثابتة.
البدء في استخدام الحلّ Kaspersky Security Cloud الذي يحمي حسابات المستخدم الإلكترونية وشبكات الإنترنت اللاسلكية المنزلية، ما يحافظ على خصوصية الاتصال بالإنترنت، وسيخبر هذا الحلّ المستخدم بالضيوف غير المرحّب بهم الذين يحاولون الاتصال بشبكته، متيحاً الحماية لأجهزة إنترنت الأشياء المنزلية، مع التنبيه تلقائياً بوجود تهديدات أمنية مع تقديم مشورة الخبراء عند الحاجة إلى اتخاذ إجراءات ضرورية.