r   e   k   l   a   m   a
r   e   k   l   a   m   a

Podłączone do Internetu myjnie samochodowe jako pułapki bez wyjścia

Strona główna AktualnościBEZPIECZEŃSTWO

Hakowanie podłączonych do Internetu pomp insulinowych już było. Teraz hakerzy znaleźli sposób, by zdalnie przejąć kontrolę nad automatycznymi myjniami samochodowymi i zamienić je w pułapki bez wyjścia. Jesteście zdziwieni? Nie trzeba. W końcu w takiej myjni też jest mikroprocesor, a na nim działa stareńkie WindowsCE.

Podczas odbywającej się w Las Vegas konferencji Black Hat można było w ostatnią środę zobaczyć prezentację Billy’ego Riosa, założyciela firmy Whitescope oraz Jonathana Bullsa, przewodniczącego grupy roboczej ds. ochrony kluczowej infrastruktury w międzynarodowej organizacji IFIP. Dotyczyła ona popularnych w wielu państwach (w tym w Polsce) myjni automatycznych Laserwash, produkowanych przez amerykańską firmę PDQ.

Jak dostać się do myjni samochodowej? No cóż, cały sprzęt kontrolowany jest przez komputer z procesorem ARM, na którym działa WindowsCE 5 z autorskim oprogramowaniem sterującym. System ten przestał być wspierany w 2014 roku, od tej pory znajdziemy w nim wiele niezałatanych przez Microsoft luk w zabezpieczeniach – a że włamywanie się do niego jest tematem dobrze zbadanym, nie trzeba specjalnie się wysilać.

r   e   k   l   a   m   a

Sęk w tym, że nie trzeba nawet kombinować z exploitami. Okazało się, że w oprogramowaniu działa webserwer udostępniający panel sterowania, a cała myjnia podpinana jest do publicznego Internetu, pozwalając jej właścicielom sprawować nad nią zdalny nadzór. Hasło do panelu administracyjnego? Wpiszcie „12345” – zadziała, jak zapewniają Rios i Bulls.

Webowa aplikacja sterująca przeznaczona była przede wszystkim do diagnostyki, ale najwyraźniej nie tylko – znalazły się w niej możliwe do wyexploitowania funkcje zdalnego sterowania. Mamy w końcu do czynienia z normalnym systemem sterowania przemysłowego. I tak, dzięki przygotowanym exploitom aplikacji webowej, można było zmusić myjnię do przytrzaśnięcia drzwi na wjeżdżającym do środka aucie, a nawet zmiażdżenia auta (wraz z kierowcą w środku) poprzez obniżenie górnej platformy myjącej. Jak chwalą się odkrywcy, ma to być pierwszy exploit pozwalający podłączonemu urządzeniu na mechaniczne zaatakowanie ofiary.

Myślicie pewnie, że odkryta luka została już załatana, skoro powiedziano o niej publicznie na konferencji Black Hat? A skądże. Odkrywcy przekazali informacje o zagrożeniu do producenta w lutym 2015 roku – i zostali zignorowani. Dopiero gdy ich prezentacja została przyjęta do programu wystąpień tegorocznego Black Hata, PDQ się odezwało, by przyznać, że nie jest w stanie załatać odkrytych podatności.

Co więc robić? Do posiadaczy myjni Laserwash rozesłano biuletyn, informujący o tym, że myjnie muszą być konfigurowane z myślą o bezpieczeństwie. Oznacza to, że myjnia powinna znajdować się za firewallem, a wszystkie domyślne hasła powinny zostać zmienione. Producent zapowiada też, że współpracuje z zespołem Industrial Control Systems Cyber Emergency Response Team (ICS-CERT), by odpowiedzialnie ostrzegać klientów o zagrożeniach i informować o środkach zapobiegawczych.

No cóż, pierwsza automatyczna myjnia samochodowa powstała w 1962 roku w Niemczech. 55 lat to dość, by wreszcie myjnie stały się na tyle nowoczesne, by można było za ich pomocą zdalnie miażdżyć auta.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.