Il est facile d'appeler à l'évier, mais les attaquants peuvent grandement compliquer la sortieLa technologie continue d'évoluer, les appareils mobiles, les appareils électroménagers et les systèmes industriels deviennent plus intelligents. Beaucoup de ces systèmes peuvent être contrôlés à distance et recevoir des informations importantes sur leur état en temps réel. Tout cela est très pratique, mais en même temps, et dangereux. Les spécialistes de la sécurité de l'information discutent depuis longtemps de la nécessité d'une protection fiable pour les systèmes et les appareils qui nécessitent un contrôle à distance.
Et il ne s'agit pas d'ordinateurs ou de réfrigérateurs intelligents à partir
desquels se forment les réseaux de zombies . Les attaquants, avec les compétences appropriées, peuvent pirater d'autres objets, dont vous ne direz pas immédiatement qu'ils peuvent être contrôlés à distance. Quels sont ces objets? Eh bien, par exemple, les lave-autos. Il y a quelques jours, un groupe d'experts en sécurité de l'information a montré la possibilité de s'introduire dans un lave-auto en le transformant en piège pour le conducteur et les passagers de la voiture.
Les vulnérabilités d'un tel système permettent de contrôler les portes de lavage, les manipulateurs et autres éléments. Théoriquement, tout cela vous permet de nuire non seulement à la voiture, mais aussi aux personnes à l'intérieur. «Nous pensons que c'est la première fois qu'une vulnérabilité du système est exploitée qui permet une attaque physique», a
déclaré Billy Rios , fondateur de Whitescope security. En fait, ce n'est pas entièrement vrai, car cela peut également être fait en piratant des voitures, des drones (avec la poursuite d'une victime potentielle ou en tombant sur sa tête) et d'autres systèmes.
Mais vraiment, personne n'a jamais parlé de s'introduire dans un lave-auto intelligent. Les hackers (dans un sens positif du terme) présenteront les résultats de leur travail lors de la
conférence Black Hat , qui se tiendra prochainement à Las Vegas.
Ce n'est pas le premier projet de ce genre de Rayot et ses collègues. Auparavant, ils ont montré que les dispositifs médicaux, dont dépend la vie des patients, les systèmes de «filtrage» des bagages installés dans les aéroports, les équipements automatiques pour les bâtiments résidentiels et industriels, qui contrôlent les fermetures de portes, les alarmes, l'éclairage, les escaliers mécaniques, etc., sont vulnérables aux actions extérieures des pirates. .
Quant au lavage, les experts en cybersécurité ont étudié l'un des modèles de tels systèmes, à savoir - PDQ LaserWash. Tout est entièrement automatisé ici, il n'y a pas de brosses rotatives, il n'y a rien qui puisse toucher la machine pendant le processus de lavage, à l'exception des jets d'eau et de détergent. Ces types d'éviers sont populaires aux États-Unis car ils ne nécessitent pas la participation d'un opérateur ou d'un chauffeur. Un certain nombre des miennes ont des portes qui se ferment lorsque la voiture entre. La commande est effectuée à l'aide d'une machine spéciale à écran tactile. Ces systèmes fonctionnent sous Windows CE. Pour les configurer, utilisez le serveur Web intégré, qui peut être connecté via Internet. Et ici, le problème vient d'être découvert.
Il y a quelques années
, Billy Ryot a
appris de son ami que l'un de ces éviers avait endommagé sa voiture et inondé toute la famille à l'intérieur avec de l'eau. Le problème était que le technicien qui effectuait l'entretien du système l'avait mal configuré.
Il y a deux ans, Rayot et ses collègues ont étudié les logiciels de lavage et présenté les résultats au Kaspersky Security Summit au Mexique. En 2015. Ensuite, ils n'ont pas pu trouver les propriétaires du lave-auto qui accepteraient les tests pour vérifier si les vulnérabilités trouvées pouvaient vraiment être utilisées pour le contrôle à distance du système.
Accéder au contrôle du lavage n'était pas si difficile. Oui, le système demande un nom d'utilisateur et un mot de passe, mais la mise en œuvre de l'authentification contient des erreurs, grâce auxquelles il a été possible de trouver un moyen de contourner le besoin d'authentification. Aux États-Unis, selon les experts, tous les puits de ce type ne sont pas connectés à Internet. Mais avec l'aide du service de recherche, Shodan a réussi à trouver plus de 150 éviers de ce type.
Après avoir étudié la vulnérabilité, les pirates ont écrit un script qui accède automatiquement au contrôle du système, attend que la voiture quitte l'évier et frappe la porte de la voiture avec la porte lorsqu'elle est déjà à la sortie. Le fait est que le logiciel de lavage surveille le processus de nettoyage de la voiture et enregistre l'état actuel du lavage dans la base de données. En conséquence, tout cela peut être surveillé à distance. Par conséquent, le moyen le plus simple d'infliger des dommages est de frapper la portière de la voiture pendant que le conducteur effrayé essaie de quitter le lave-auto furieux.
Habituellement, pour éviter que cela ne se produise, un système spécial est équipé de capteurs infrarouges. Mais, il s'est avéré que ces capteurs peuvent être désactivés. De plus, il est possible de contrôler le manipulateur mécanique qui arrose la voiture avec de l'eau. Un attaquant, s'il le souhaite, peut établir un approvisionnement constant en eau, ce qui compliquera la tâche de la victime de sortir de la voiture et de s'enfuir. Certes, le test du contrôle du manipulateur n'a pas été effectué, car les auteurs de l'étude avaient peur de l'endommager. Mais ils disent que si on le souhaite, le manipulateur peut être amené à battre le véhicule.
Tout cela peut difficilement être qualifié de machine à tuer, bien sûr, mais un système piraté pourrait bien nuire à la voiture, à son conducteur et à ses passagers. Les chercheurs ont envoyé les résultats de leurs travaux en tant que fabricant d'éviers, ainsi qu'au département américain de la Sécurité intérieure.