Podłączone do Internetu myjnie samochodowe jako pułapki bez wyjścia

Podłączone do Internetu myjnie samochodowe jako pułapki bez wyjścia28.07.2017 18:48

Hakowanie podłączonych do Internetu pomp insulinowych już było.Teraz hakerzy znaleźli sposób, by zdalnie przejąć kontrolę nadautomatycznymi myjniami samochodowymi i zamienić je w pułapki bezwyjścia. Jesteście zdziwieni? Nie trzeba. W końcu w takiej myjniteż jest mikroprocesor, a na nim działa stareńkie WindowsCE.

Podczas odbywającej się w Las Vegas konferencji Black Hat możnabyło w ostatnią środę zobaczyć prezentację Billy’ego Riosa,założyciela firmy Whitescope oraz Jonathana Bullsa,przewodniczącego grupy roboczej ds. ochrony kluczowej infrastrukturyw międzynarodowej organizacji IFIP. Dotyczyła ona popularnych wwielu państwach (w tym w Polsce) myjni automatycznych Laserwash,produkowanych przez amerykańską firmę PDQ.

Jak dostać się do myjni samochodowej? No cóż, cały sprzętkontrolowany jest przez komputer z procesorem ARM, na którym działaWindowsCE 5 z autorskim oprogramowaniem sterującym. System tenprzestał być wspierany w 2014 roku, od tej pory znajdziemy w nimwiele niezałatanych przez Microsoft luk w zabezpieczeniach – a żewłamywanie się do niego jest tematem dobrze zbadanym,nie trzeba specjalnie się wysilać.

Sęk w tym, że nie trzeba nawet kombinować z exploitami. Okazałosię, że w oprogramowaniu działa webserwer udostępniający panelsterowania, a cała myjnia podpinana jest do publicznego Internetu,pozwalając jej właścicielom sprawować nad nią zdalny nadzór.Hasło do panelu administracyjnego? Wpiszcie „12345” –zadziała, jak zapewniają Rios i Bulls.

Webowa aplikacja sterująca przeznaczona była przede wszystkim dodiagnostyki, ale najwyraźniej nie tylko – znalazły się w niejmożliwe do wyexploitowania funkcje zdalnego sterowania. Mamy w końcudo czynienia z normalnym systemem sterowania przemysłowego. I tak,dzięki przygotowanym exploitom aplikacji webowej, można byłozmusić myjnię do przytrzaśnięcia drzwi na wjeżdżającym dośrodka aucie, a nawet zmiażdżenia auta (wraz z kierowcą w środku)poprzez obniżenie górnej platformy myjącej. Jak chwalą sięodkrywcy, ma to być pierwszy exploit pozwalający podłączonemuurządzeniu na mechaniczne zaatakowanie ofiary.

Myślicie pewnie, że odkryta luka została już załatana, skoropowiedziano o niej publicznie na konferencji Black Hat? A skądże.Odkrywcy przekazali informacje o zagrożeniu do producenta w lutym2015 roku – i zostali zignorowani. Dopiero gdy ich prezentacjazostała przyjęta do programu wystąpień tegorocznego Black Hata,PDQ się odezwało, by przyznać, że nie jest w stanie załataćodkrytych podatności.

Co więc robić? Do posiadaczy myjni Laserwash rozesłanobiuletyn, informujący o tym, że myjnie muszą być konfigurowane zmyślą o bezpieczeństwie. Oznacza to, że myjnia powinnaznajdować się za firewallem, a wszystkie domyślnehasła powinny zostać zmienione. Producent zapowiada też, żewspółpracuje z zespołem Industrial Control Systems Cyber EmergencyResponse Team (ICS-CERT), by odpowiedzialnie ostrzegać klientów ozagrożeniach i informować o środkach zapobiegawczych.

No cóż, pierwsza automatyczna myjnia samochodowa powstała w1962 roku w Niemczech. 55 lat to dość, by wreszcie myjnie stałysię na tyle nowoczesne, by można było za ich pomocą zdalniemiażdżyć auta.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na