Es ist einfach, an der Spüle anzurufen, aber Angreifer können den Ausgang erheblich erschwerenDie Technologie entwickelt sich weiter, mobile Geräte, Haushaltsgeräte und industrielle Systeme werden intelligenter. Viele solcher Systeme können ferngesteuert werden und erhalten in Echtzeit wichtige Informationen über ihren Status. All dies ist sehr praktisch, aber gleichzeitig und gefährlich. Spezialisten für Informationssicherheit diskutieren seit langem die Notwendigkeit eines zuverlässigen Schutzes für Systeme und Geräte, die eine Fernsteuerung erfordern.
Und es geht nicht um Computer oder intelligente Kühlschränke, aus
denen sich Botnetze bilden . Angreifer können mit der richtigen Fähigkeit in andere Objekte hacken, von denen Sie nicht sofort sagen, dass sie ferngesteuert werden können. Was sind diese Objekte? Nun, zum Beispiel Autowaschanlagen. Vor einigen Tagen hat eine Gruppe von Experten für Informationssicherheit die Möglichkeit aufgezeigt, in eine Autowaschanlage einzubrechen und sie in eine Falle für Fahrer und Passagiere des Autos zu verwandeln.
Sicherheitslücken eines solchen Systems ermöglichen die Steuerung von Waschtüren, Manipulatoren und anderen Elementen. Theoretisch können Sie damit nicht nur dem Auto, sondern auch den Personen im Inneren Schaden zufügen. "Wir glauben, dass dies das erste Mal ist, dass eine Systemschwachstelle ausgenutzt wird, die einen physischen Angriff ermöglicht",
sagte Billy Rios , Gründer von Whitescope Security. Tatsächlich ist dies nicht ganz richtig, da dies auch durch Hacken von Autos, Drohnen (mit der Verfolgung eines potenziellen Opfers oder einem Sturz auf den Kopf) und anderen Systemen geschehen kann.
Aber wirklich, niemand hat jemals darüber gesprochen, in eine intelligente Autowaschanlage einzubrechen. Hacker (im positiven Sinne des Wortes) werden die Ergebnisse ihrer Arbeit auf der
Black Hat-Konferenz demonstrieren, die bald in Las Vegas stattfinden wird.
Dies ist nicht das erste Projekt dieser Art von Rayot und seinen Kollegen. Zuvor zeigten sie, dass medizinische Geräte, von denen das Leben der Patienten abhängt, auf Flughäfen installierte Gepäckkontrollsysteme, automatische Geräte für Wohn- und Industriegebäude, die Türschließungen, Alarme, Beleuchtung, Rolltreppen usw. steuern, anfällig für externe Aktionen von Hackern sind. .
Beim Waschen untersuchten Cybersicherheitsexperten eines der Modelle solcher Systeme, nämlich - PDQ LaserWash. Hier ist alles vollautomatisch, es gibt keine rotierenden Bürsten, es gibt nichts, was die Maschine während des Waschvorgangs berühren würde, außer Wasser- und Reinigungsmittelstrahlen. Diese Arten von Spülen sind in den USA beliebt, da sie nicht die Teilnahme eines Bedieners oder Fahrers erfordern. Einige von mir haben Türen, die sich schließen, wenn das Auto einfährt. Die Bestellung erfolgt über eine spezielle Maschine mit Touchscreen. Solche Systeme funktionieren unter Windows CE. Verwenden Sie zum Konfigurieren den integrierten Webserver, der über das Internet verbunden werden kann. Und hier wurde das Problem gerade entdeckt.
Vor einigen Jahren
hörte Billy Ryot von seinem Freund die Geschichte, dass eines dieser Waschbecken sein Auto beschädigte und die ganze Familie mit Wasser überflutete. Das Problem war, dass der Techniker, der das System gewartet hat, es falsch eingerichtet hat.
Vor zwei Jahren haben Rayot und seine Kollegen Waschsoftware studiert und die Ergebnisse auf dem Kaspersky Security Summit in Mexiko vorgestellt. Im Jahr 2015. Dann konnten sie die Besitzer der Autowaschanlage nicht finden, die den Tests zustimmen würden, um zu prüfen, ob die gefundenen Schwachstellen tatsächlich für die Fernsteuerung des Systems verwendet werden könnten.
Der Zugang zur Waschkontrolle war nicht so schwierig. Ja, das System fragt nach einem Benutzernamen und einem Kennwort, aber die Authentifizierungsimplementierung enthält Fehler, dank derer ein Weg gefunden wurde, um die Notwendigkeit einer Authentifizierung zu umgehen. In den Vereinigten Staaten sind Experten zufolge nicht alle Senken dieses Typs mit dem Internet verbunden. Mit Hilfe des Suchdienstes gelang es Shodan jedoch, mehr als 150 solcher Waschbecken zu finden.
Nachdem Hacker die Sicherheitsanfälligkeit untersucht hatten, schrieben sie ein Skript, das automatisch auf die Steuerung des Systems zugreift, darauf wartet, dass das Auto das Waschbecken verlässt, und mit der Tür gegen die Autotür schlägt, wenn es sich bereits am Ausgang befindet. Tatsache ist, dass die Waschsoftware den Reinigungsprozess des Autos überwacht und den aktuellen Status der Wäsche in der Datenbank aufzeichnet. Dementsprechend kann dies alles fernüberwacht werden. Daher ist es am einfachsten, Schaden zuzufügen, wenn Sie gegen die Autotür schlagen, während der verängstigte Fahrer versucht, die wütende Autowäsche zu verlassen.
Um dies zu verhindern, ist normalerweise ein spezielles System mit Infrarotsensoren ausgestattet. Wie sich herausstellte, können diese Sensoren jedoch deaktiviert werden. Zusätzlich ist es möglich, den mechanischen Manipulator zu steuern, der das Auto mit Wasser übergießt. Falls gewünscht, kann ein Angreifer eine konstante Wasserversorgung herstellen, was die Aufgabe für das Opfer erschwert, aus dem Auto auszusteigen und wegzulaufen. Zwar wurde das Testen der Manipulatorsteuerung nicht durchgeführt, da die Autoren der Studie Angst hatten, sie zu beschädigen. Aber sie sagen, dass der Manipulator auf Wunsch dazu gebracht werden kann, das Fahrzeug zu schlagen.
All dies kann natürlich kaum als Tötungsmaschine bezeichnet werden, aber ein gehacktes System könnte dem Auto, seinem Fahrer und seinen Passagieren Schaden zufügen. Die Forscher schickten die Ergebnisse ihrer Arbeit als Hersteller von Spülen sowie an das US-Heimatschutzministerium.