23.02.2015 | 06:44

Adam Haertle

Maszyny atakują czyli hakowanie myjni samochodowych

Powoli kończy się nam lista urządzeń, które jeszcze nie zostały podłączone do internetu i po drodze zhakowane. Dzisiaj do kategorii incydentów Internetu Rzeczy dopisujemy zdalne sterowanie myjnią samochodową.

W trakcie konferencji Kaspersky Security Analyst Summit znany badacz bezpieczeństwa systemów przemysłowych, Billy Rios, zaprezentował wyniki swojego badania poziomu bezpieczeństwa myjni samochodowych. Do badania zainspirował go znajomy pracownik sieci stacji benzynowych, który opowiedział mu ciekawą historię. W trakcie mycia jednego z pojazdów myjnia była zdalnie serwisowana przez obsługę. Na skutek jej błędu ramię myjni uderzyło w pojazd uszkadzając go, a spanikowany kierowca ruszył i wyjeżdżając przez zamknięte drzwi uszkodził poważnie zarówno myjnię jak i samochód. Billy postanowił sprawdzić, czy dostęp do zarządzania myjnią jest dobrze zabezpieczony. Wynik tego eksperymentu można było z góry przewidzieć.

Panel zarządzania myjnią

Billy Rios do tej pory specjalizował się w bezpieczeństwie systemów SCADA, systemów medycznych i lotniskowych skanerów bezpieczeństwa, jednak postanowił spojrzeć także na inne kategorie urządzeń, a konkretnie automatyczne myjnie samochodowe LaserWash firmy PDQ.

Myjnia Laserwash

Myjnia Laserwash

Skan internetu pozwolił badaczowi namierzyć kilkaset takich myjni. Można je poznać po serwerze WWW służącym do monitoringu i zarządzania wystawionym na publicznym adresie IP. Z założenia interfejs WWW ma służyć właścicielowi do analizy danych o działaniu myjni, liczby klientów, zarobków itp, a z kolei obsłudze może pomóc w identyfikacji i usuwaniu problemów oraz konfiguracji sposobu działania urządzenia. Serwer WWW stanowi jedynie nakładkę na prawdziwy system zarządzania myjnią, oparty o Windows CE i architekturę ARM. Z reguły udostępniany jest także telnet. Badacz odkrył, że do obu interfejsów zalogować się może używając domyślanego 5-literowego loginu i hasła. Co prawda nie podaje jego treści, ale 5 liter i domyślne hasło kojarzy się nam jednoznacznie z admin:admin.

Poszczególne wywołania w serwerze WWW przekazywane są do odpowiednich bibliotek DLL, które z kolei komunikują się za pomocą protokołu Modbus bezpośrednio z wyposażeniem myjni. Badacz opisał kilka przykładowych funkcji, które bez problemu mógł wywołać z poziomu interfejsu administratora:

  • rozpoczęcie dowolnego programu mycia jednym żądaniem GET, czyli darmowa myjnia dla każdego znającego adres IP, login i hasło,
  • wyłączenie czujników bezpieczeństwa na bramie wjazdowej i wyjazdowej, dzięki czemu może on uderzyć w człowieka lub samochód,
  • sterowanie bramami myjącymi oraz wózkami, dzięki czemu można fizycznie uszkodzić samochód znajdujący się w myjni,
  • odbieranie i wysyłanie wiadomości poczty elektronicznej (tak, da się myjni założyć konto na Facebooku).

Poważniejsza kategoria zagrożeń

Z reguły w opisywanych przez nas do tej pory przypadkach osoba, która uzyskała nieautoryzowany dostęp do zdalnie sterowanych urządzeń mogła płatać psikusy w rodzaju wyłączania światła czy sterowania żaluzjami, ale sytuacja z myjniami pokazuje, że możemy także mieć do czynienia z innym poziomem zagrożeń. Jeśli oddamy w cudze ręce możliwość sterowania urządzeniami dysponującymi ruchomymi częściami, w zasięgu pracy których znajdują się ludzie, może dojść do realnego zagrożenia zdrowia czy życia. W tego typu przypadkach poziom zabezpieczeń powinien odpowiadać możliwym zagrożeniom. A jak jest w rzeczywistości? Oddajmy głos badaczowi:

Zdalny dostęp zmienia model ryzyka. Szczerze mówiąc nie sądzę, byśmy mogli ufać twórcom tych urządzeń. Ludzie, którzy zaprojektowali tę myjnię, nie rozumieją o czym mówimy. Nie znają pojęć takich jak atak SQL injection czy buffer overflow. Mamy do czynienia z dużym poziomem asymetrii. Wiedza atakujących jest duża, w przeciwieństwie do wiedzy osób, które powinny bronić systemów.

Trudno się nie zgodzić z opinią badacza. Niestety nie spodziewamy się, by sytuacja w tym obszarze uległa jakiejkolwiek poprawie – prędzej usłyszymy o pierwszych ofiarach niż o tym, że producenci urządzeń postawili na bezpieczeństwo dostępu i jakość oprogramowania.

Źródło: Dark Reading, threatpost

Powrót

Komentarze

  • 2015.02.23 14:42 steppe

    Dopóki pęd do podłączania wszystkiego do Internetu będzie wyprzedzał edukację twórców, chyba niewiele się zmieni. Jeśli pominąć ignorowanie potrzeby odpowiedniego zaprojektowania systemy, może to być kolejny przypadek ukazujący niedobór na rynku specjalistów z dziedziny bezpieczeństwa.

    Odpowiedz
  • 2015.02.23 17:18 dfgvrfdg

    szkoda, że kiblami w sejmie nie można zarządzać przez neta, jakieś śmieszki wessałyby do ścieków pewnych polityków

    Odpowiedz
    • 2015.02.24 14:08 mpan

      @dfgvr…cośtamcośtam
      Można. Na Nocy Muzeów jest darmowe i proste wejście do Sejmu. Co prawda podczas oprowadzania klopów nie pokazują, ale są chwile nic-nie-robienia. Wystarczająco długie, żeby sobie zobaczyć, gdzie poseł piechotą chodzi. Spróbuj — możesz zapisać się w historii jako ten, który jako pierwszy zhakował spłuczkę sejmową, montując w niej zdalny spust. Chyba że po otwarciu spłuczki znajdziesz tam mikrofony… wtedy nie będziesz pierwszy, ale na pociesenie możesz zacząć śpiewać „Łubu dubu, łubu dubu…” ;).

      Odpowiedz
  • 2015.02.24 19:39 niki

    Pytanie laika.
    Taki zdalny dostęp do kamerek internetowych, mikrofonów, drukarek, skanerów,
    przytaczaliście w artykułach całą masę takich przypadków.
    A pytanie brzmi.

    Taki Serwer WWW ma chyba swoje logi aktywności i chyba spis IP z którymi się łączył.
    Policji to wystarczy do namierzenia dowcipnisia? Czy lepiej kamerki w laptopach zaklejać plastrem?

    Odpowiedz
    • 2015.02.25 21:23 Zibi

      Jeśli ktoś na poważnie będzie się chciał zalogować jako intruz, to z pewnością pomyśli o własnym bezpieczeństwie, co nie jest trudne by się zalogować np. poprzez TOR-a lub z czyjegoś niezabezpieczonego wifi.

      Odpowiedz
  • 2015.02.27 22:32 niki

    aha
    Czyli jednak zaklejać plastrem :)

    Odpowiedz

Zostaw odpowiedź do dfgvrfdg

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Maszyny atakują czyli hakowanie myjni samochodowych

Komentarze