Злом автомийки PDQ LaserWash
Здається, що немає таких розумних пристроїв, які б не зламали хоча б раз. Але кожен раз виявляються все нові і нові розумні штуковини, які, виявляється, теж можна зламати. Практично на кожній конференції Black Hat доповідачі розповідають про найнесподіваніших пристроях, яким не пощастило потрапити їм під руку.
Спробуйте відразу вгадати, що ж було зламано на цей раз. Який-небудь новий фітнес-браслет або щось незвичайне на зразок розумних очок Google Glass? Це перше, що спадає на думку, але немає. Швидше за все, ви б ніколи не здогадалися, але заголовок статті все видає.
Дослідники Біллі Райос (Billy Rios) і Джонатан Баттс (Jonathan Butts) виявили, що автомийки теж можна зламувати. Так, знаю, звучить не дуже захоплююче, але це можна розглядати дещо в іншому ключі: дослідники також відзначили, що їм вдалося виявити перший експлойт, який може фізично нашкодити людині [ зломщики джипів навряд чи погодяться з цим. - прим. ред. ].
Райос і Баттс взялися за вивчення автомийки PDQ LaserWash, після того як почули про випадок, коли неправильно налаштований механізм вдарив автомобіль своїм маніпулятором і облив водою знаходилися всередині людей.
Для автомийок, як і для багатьох інших «розумних речей», дуже актуальним є питання: а навіщо цьому взагалі потрібен вихід в Інтернет? Відповідь на таке питання відразу не придумаєш, проте до Інтернету автомийка PDQ LaserWash підключена. Ну і в «кращих традиціях» розумних речей у PDQ LaserWash був встановлений пароль за замовчуванням, підібрати який виявилося зовсім нескладно.
Як тільки дослідники зайшли в систему, вони виявили розділи для управління, що дозволяли, серед іншого, відкривати і закривати ворота мийки, активувати розбризкування води і відключати інфрачервоні датчики. На перший погляд, це все здається нешкідливим, але дослідники продемонстрували відео, на якому їм вдалося притиснути автомобіль воротами, що може привести до пошкодження автомобіля і травм для знаходяться в ньому людей. Вишенькою на торті виявилася можливість відправити повідомлення з описом інциденту по електронній пошті або викласти його відразу на Facebook.
Ще можна зрозуміти, навіщо автомийці може бути потрібна функція відправки повідомлень по електронній пошті - скажімо, вона могла б стати в нагоді механікам для відстеження виниклих проблем і отримання даних по роботі автомийки. Але я до сих пір не можу зрозуміти, навіщо автомийці можливість постити на Facebook.
Дослідники також відзначили, що вони вказали виробнику автомийки на вразливість, але він так і не випустив патч (за даними на момент проведення конференції Black Hat 2017).
В цілому ж дослідження, проведене Райосом і Баттс, ще раз наголошує на необхідності зміни пароля за замовчуванням для кожного пристрою і попереджає про те, що завжди потрібно двічі подумати, перш ніж давати пристрою доступ в Інтернет. І хоча це було випробування нешкідливою на вигляд системи, все ж автомийка - це, по суті, мініатюрна автоматизована система управління технологічними процесами (АСУ ТП), а неполадки в таких системах можуть привести до того, що постраждають ні в чому не винні люди.
Кібербезпека АСУ ТП: вести з передової
Сподіваюся, це буде останнє незвичайний пристрій, зламані на Black Hat 2017. Але, як кажуть у відомому фільмі, «що трапилося у Вегасі ...». Втім, немає - адже ми все одно розповімо вам про те, «що трапилося у Вегасі» в нашому блозі Kaspersky Daily і на Facebook.
Який-небудь новий фітнес-браслет або щось незвичайне на зразок розумних очок Google Glass?Для автомийок, як і для багатьох інших «розумних речей», дуже актуальним є питання: а навіщо цьому взагалі потрібен вихід в Інтернет?