Es fácil llamar al fregadero, pero los atacantes pueden complicar mucho la salidaLa tecnología continúa evolucionando, los dispositivos móviles, los electrodomésticos y los sistemas industriales se están volviendo más inteligentes. Muchos de estos sistemas se pueden controlar de forma remota, así como recibir información importante sobre su estado en tiempo real. Todo esto es muy conveniente, pero al mismo tiempo, y peligroso. Los especialistas en seguridad de la información han estado discutiendo durante mucho tiempo la necesidad de una protección confiable para los sistemas y dispositivos que requieren control remoto.
Y no se trata de computadoras o refrigeradores inteligentes a partir de los
cuales se forman botnets . Los atacantes, con la habilidad adecuada, pueden piratear otros objetos, que no dirás de inmediato que pueden controlarse de forma remota. ¿Qué son estos objetos? Bueno, por ejemplo, lavados de autos. Hace unos días, un grupo de expertos en seguridad de la información mostró la posibilidad de irrumpir en un lavado de autos y convertirlo en una trampa para el conductor y los pasajeros del automóvil.
Las vulnerabilidades de dicho sistema permiten controlar el lavado de puertas, manipuladores y otros elementos. Teóricamente, todo esto le permite causar daños no solo al automóvil, sino también a las personas que están dentro. "Creemos que esta es la primera vez que se explota una vulnerabilidad del sistema que permite un ataque físico",
dijo Billy Rios , fundador de la seguridad de Whitescope. De hecho, esto no es del todo cierto, ya que también se puede hacer hackeando autos, drones (con la búsqueda de una víctima potencial o cayendo sobre su cabeza) y otros sistemas.
Pero realmente, nadie ha hablado nunca sobre irrumpir en un lavado de autos inteligente. Los hackers (en un sentido positivo del término) demostrarán los resultados de su trabajo en la
conferencia Black Hat , que pronto se realizará en Las Vegas.
Este no es el primer proyecto de este tipo de Rayot y sus colegas. Anteriormente, demostraron que los dispositivos médicos, de los que depende la vida de los pacientes, los sistemas de "inspección" de equipaje instalados en los aeropuertos, la automatización de edificios residenciales e industriales, que controla el cierre de puertas, alarmas, iluminación, escaleras mecánicas, etc., son vulnerables a las acciones externas de los piratas informáticos. .
En cuanto al lavado, los expertos en ciberseguridad estudiaron uno de los modelos de dichos sistemas, a saber, PDQ LaserWash. Aquí todo está completamente automatizado, no hay cepillos giratorios, no hay nada que pueda tocar la máquina durante el proceso de lavado, excepto chorros de agua y detergente. Este tipo de sumideros son populares en los Estados Unidos porque no requieren la participación de un operador o conductor. Algunos de los míos tienen puertas que se cierran cuando entra el automóvil. El pedido se realiza utilizando una máquina especial con pantalla táctil. Tales sistemas funcionan en Windows CE. Para configurarlos, use el servidor web incorporado, que puede conectarse a través de Internet. Y aquí se acaba de descubrir el problema.
Hace unos años
, Billy Ryot
escuchó de su amigo una historia de que uno de estos sumideros dañó su automóvil e inundó de agua a toda la familia. El problema era que el técnico que estaba reparando el sistema lo configuró incorrectamente.
Hace dos años, Rayot y sus colegas estudiaron el software de lavado y presentaron los resultados en Kaspersky Security Summit en México. En 2015. Entonces no pudieron encontrar a los propietarios del lavado de autos que aceptarían las pruebas para verificar si las vulnerabilidades encontradas realmente podrían usarse para el control remoto del sistema.
Obtener acceso al control de lavado no fue tan difícil. Sí, el sistema solicita un nombre de usuario y una contraseña, pero la implementación de autenticación contiene errores, gracias a los cuales fue posible encontrar una forma de evitar la necesidad de autenticación. En los Estados Unidos, según los expertos, no todos los sumideros de este tipo están conectados a Internet. Pero con la ayuda del servicio de búsqueda, Shodan logró encontrar más de 150 sumideros de este tipo.
Después de estudiar la vulnerabilidad, los piratas informáticos escribieron un script que accede automáticamente al control del sistema, espera a que el auto salga del fregadero y golpea la puerta del auto con la puerta cuando ya está en la salida. El hecho es que el software de lavado monitorea el proceso de limpieza del automóvil y registra el estado actual del lavado en la base de datos. En consecuencia, todo esto se puede controlar de forma remota. Por lo tanto, la forma más fácil de infligir daños es golpear la puerta del automóvil mientras el conductor asustado intenta abandonar el furioso lavado de autos.
Por lo general, para evitar que esto suceda, un sistema especial está equipado con sensores infrarrojos. Pero, como resultó, estos sensores se pueden desactivar. Además, es posible controlar el manipulador mecánico que empapa el automóvil con agua. Un atacante, si lo desea, puede establecer un suministro constante de agua, lo que complicará la tarea de que la víctima salga del auto y salga corriendo. Es cierto que no se realizó la prueba del control del manipulador, ya que los autores del estudio tenían miedo de dañarlo. Pero dicen que si se desea, se puede hacer que el manipulador golpee al vehículo.
Todo esto difícilmente se puede llamar una máquina de matar, por supuesto, pero un sistema pirateado podría causar algún daño al automóvil, a su conductor y a sus pasajeros. Los investigadores enviaron los resultados de su trabajo como fabricantes de sumideros, así como al Departamento de Seguridad Nacional de EE. UU.