Podłączone do Internetu myjnie samochodowe jako pułapki bez wyjścia

Hakowanie podłączonych do Internetu pomp insulinowych już było.Teraz hakerzy znaleźli sposób, by zdalnie przejąć kontrolę nadautomatycznymi myjniami samochodowymi i zamienić je w pułapki bezwyjścia. Jesteście zdziwieni? Nie trzeba. W końcu w takiej myjniteż jest mikroprocesor, a na nim działa stareńkie WindowsCE.

Podczas odbywającej się w Las Vegas konferencji Black Hat możnabyło w ostatnią środę zobaczyć prezentację Billy’ego Riosa,założyciela firmy Whitescope oraz Jonathana Bullsa,przewodniczącego grupy roboczej ds. ochrony kluczowej infrastrukturyw międzynarodowej organizacji IFIP. Dotyczyła ona popularnych wwielu państwach (w tym w Polsce) myjni automatycznych Laserwash,produkowanych przez amerykańską firmę PDQ.

Jak dostać się do myjni samochodowej? No cóż, cały sprzętkontrolowany jest przez komputer z procesorem ARM, na którym działaWindowsCE 5 z autorskim oprogramowaniem sterującym. System tenprzestał być wspierany w 2014 roku, od tej pory znajdziemy w nimwiele niezałatanych przez Microsoft luk w zabezpieczeniach – a żewłamywanie się do niego jest tematem dobrze zbadanym,nie trzeba specjalnie się wysilać.

Sęk w tym, że nie trzeba nawet kombinować z exploitami. Okazałosię, że w oprogramowaniu działa webserwer udostępniający panelsterowania, a cała myjnia podpinana jest do publicznego Internetu,pozwalając jej właścicielom sprawować nad nią zdalny nadzór.Hasło do panelu administracyjnego? Wpiszcie „12345” –zadziała, jak zapewniają Rios i Bulls.

Webowa aplikacja sterująca przeznaczona była przede wszystkim dodiagnostyki, ale najwyraźniej nie tylko – znalazły się w niejmożliwe do wyexploitowania funkcje zdalnego sterowania. Mamy w końcudo czynienia z normalnym systemem sterowania przemysłowego. I tak,dzięki przygotowanym exploitom aplikacji webowej, można byłozmusić myjnię do przytrzaśnięcia drzwi na wjeżdżającym dośrodka aucie, a nawet zmiażdżenia auta (wraz z kierowcą w środku)poprzez obniżenie górnej platformy myjącej. Jak chwalą sięodkrywcy, ma to być pierwszy exploit pozwalający podłączonemuurządzeniu na mechaniczne zaatakowanie ofiary.

Myślicie pewnie, że odkryta luka została już załatana, skoropowiedziano o niej publicznie na konferencji Black Hat? A skądże.Odkrywcy przekazali informacje o zagrożeniu do producenta w lutym2015 roku – i zostali zignorowani. Dopiero gdy ich prezentacjazostała przyjęta do programu wystąpień tegorocznego Black Hata,PDQ się odezwało, by przyznać, że nie jest w stanie załataćodkrytych podatności.

Co więc robić? Do posiadaczy myjni Laserwash rozesłanobiuletyn, informujący o tym, że myjnie muszą być konfigurowane zmyślą o bezpieczeństwie. Oznacza to, że myjnia powinnaznajdować się za firewallem, a wszystkie domyślnehasła powinny zostać zmienione. Producent zapowiada też, żewspółpracuje z zespołem Industrial Control Systems Cyber EmergencyResponse Team (ICS-CERT), by odpowiedzialnie ostrzegać klientów ozagrożeniach i informować o środkach zapobiegawczych.

No cóż, pierwsza automatyczna myjnia samochodowa powstała w1962 roku w Niemczech. 55 lat to dość, by wreszcie myjnie stałysię na tyle nowoczesne, by można było za ich pomocą zdalniemiażdżyć auta.