Podłączone do Internetu myjnie samochodowe jako pułapki bez wyjścia

Podłączone do Internetu myjnie samochodowe jako pułapki bez wyjścia
28.07.2017 18:48
Podłączone do Internetu myjnie samochodowe jako pułapki bez wyjścia

Hakowanie podłączonych do Internetu pomp insulinowych już było.Teraz hakerzy znaleźli sposób, by zdalnie przejąć kontrolę nadautomatycznymi myjniami samochodowymi i zamienić je w pułapki bezwyjścia. Jesteście zdziwieni? Nie trzeba. W końcu w takiej myjniteż jest mikroprocesor, a na nim działa stareńkie WindowsCE.

Podczas odbywającej się w Las Vegas konferencji Black Hat możnabyło w ostatnią środę zobaczyć prezentację Billy’ego Riosa,założyciela firmy Whitescope oraz Jonathana Bullsa,przewodniczącego grupy roboczej ds. ochrony kluczowej infrastrukturyw międzynarodowej organizacji IFIP. Dotyczyła ona popularnych wwielu państwach (w tym w Polsce) myjni automatycznych Laserwash,produkowanych przez amerykańską firmę PDQ.

Jak dostać się do myjni samochodowej? No cóż, cały sprzętkontrolowany jest przez komputer z procesorem ARM, na którym działaWindowsCE 5 z autorskim oprogramowaniem sterującym. System tenprzestał być wspierany w 2014 roku, od tej pory znajdziemy w nimwiele niezałatanych przez Microsoft luk w zabezpieczeniach – a żewłamywanie się do niego jest tematem dobrze zbadanym,nie trzeba specjalnie się wysilać.

Sęk w tym, że nie trzeba nawet kombinować z exploitami. Okazałosię, że w oprogramowaniu działa webserwer udostępniający panelsterowania, a cała myjnia podpinana jest do publicznego Internetu,pozwalając jej właścicielom sprawować nad nią zdalny nadzór.Hasło do panelu administracyjnego? Wpiszcie „12345” –zadziała, jak zapewniają Rios i Bulls.

350202844806539201

Webowa aplikacja sterująca przeznaczona była przede wszystkim dodiagnostyki, ale najwyraźniej nie tylko – znalazły się w niejmożliwe do wyexploitowania funkcje zdalnego sterowania. Mamy w końcudo czynienia z normalnym systemem sterowania przemysłowego. I tak,dzięki przygotowanym exploitom aplikacji webowej, można byłozmusić myjnię do przytrzaśnięcia drzwi na wjeżdżającym dośrodka aucie, a nawet zmiażdżenia auta (wraz z kierowcą w środku)poprzez obniżenie górnej platformy myjącej. Jak chwalą sięodkrywcy, ma to być pierwszy exploit pozwalający podłączonemuurządzeniu na mechaniczne zaatakowanie ofiary.

Myślicie pewnie, że odkryta luka została już załatana, skoropowiedziano o niej publicznie na konferencji Black Hat? A skądże.Odkrywcy przekazali informacje o zagrożeniu do producenta w lutym2015 roku – i zostali zignorowani. Dopiero gdy ich prezentacjazostała przyjęta do programu wystąpień tegorocznego Black Hata,PDQ się odezwało, by przyznać, że nie jest w stanie załataćodkrytych podatności.

Co więc robić? Do posiadaczy myjni Laserwash rozesłanobiuletyn, informujący o tym, że myjnie muszą być konfigurowane zmyślą o bezpieczeństwie. Oznacza to, że myjnia powinnaznajdować się za firewallem, a wszystkie domyślnehasła powinny zostać zmienione. Producent zapowiada też, żewspółpracuje z zespołem Industrial Control Systems Cyber EmergencyResponse Team (ICS-CERT), by odpowiedzialnie ostrzegać klientów ozagrożeniach i informować o środkach zapobiegawczych.

No cóż, pierwsza automatyczna myjnia samochodowa powstała w1962 roku w Niemczech. 55 lat to dość, by wreszcie myjnie stałysię na tyle nowoczesne, by można było za ich pomocą zdalniemiażdżyć auta.

Programy

Aktualizacje
Aktualizacje
Nowości
Oceń jakość naszego artykułuTwoja opinia pozwala nam tworzyć lepsze treści.
Udostępnij:
Wybrane dla Ciebie
Komentarze (21)