É fácil ligar para a pia, mas os atacantes podem complicar bastante a saídaA tecnologia continua a evoluir, dispositivos móveis, eletrodomésticos e sistemas industriais estão se tornando mais inteligentes. Muitos desses sistemas podem ser controlados remotamente, além de receber informações importantes sobre seu status em tempo real. Tudo isso é muito conveniente, mas ao mesmo tempo, e perigoso. Os especialistas em segurança da informação há muito tempo discutem a necessidade de proteção confiável para sistemas e dispositivos que exigem controle remoto.
E não se trata de computadores ou geladeiras inteligentes a partir das
quais as botnets se formam . Os invasores, com a habilidade adequada, podem invadir outros objetos, os quais você não dirá imediatamente que eles podem ser controlados remotamente. O que são esses objetos? Bem, por exemplo, lavagens de carros. Alguns dias atrás, um grupo de especialistas em segurança da informação mostrou a possibilidade de invadir um lava-rápido, transformando-o em uma armadilha para o motorista e os passageiros do carro.
As vulnerabilidades de tal sistema permitem controlar portas de lavagem, manipuladores e outros elementos. Teoricamente, tudo isso permite causar danos não apenas ao carro, mas também às pessoas dentro. "Acreditamos que é a primeira vez que uma vulnerabilidade de sistema é explorada e permite um ataque físico",
disse Billy Rios , fundador da segurança Whitescope. De fato, isso não é inteiramente verdade, pois também pode ser feito através de hackers de carros, drones (com a perseguição de uma vítima em potencial ou caindo de cabeça) e outros sistemas.
Mas, na verdade, ninguém nunca falou sobre invadir um lava-rápido inteligente. Os hackers (no sentido positivo do termo) demonstrarão os resultados de seu trabalho na
conferência Black Hat , que em breve será realizada em Las Vegas.
Este não é o primeiro projeto desse tipo de Rayot e seus colegas. Anteriormente, eles mostraram que os dispositivos médicos, dos quais depende a vida dos pacientes, sistemas de "triagem" de bagagem instalados nos aeroportos, automação de edifícios residenciais e industriais, que controlam o fechamento de portas, alarmes, iluminação, escadas rolantes etc., são vulneráveis às ações externas dos hackers. .
Quanto à lavagem, os especialistas em segurança cibernética estudaram um dos modelos de tais sistemas, a saber - PDQ LaserWash. Tudo é totalmente automatizado aqui, não há escovas rotativas, não há nada que possa tocar a máquina durante o processo de lavagem, exceto jatos de água e detergente. Esses tipos de pias são populares nos Estados Unidos porque não requerem a participação de um operador ou motorista. Alguns dos meus têm portas que se fecham quando o carro entra. O pedido é feito usando uma máquina especial com uma tela de toque. Esses sistemas funcionam no Windows CE. Para configurá-los, use o servidor da web embutido, que pode ser conectado via Internet. E aqui o problema foi descoberto.
Alguns anos
atrás, Billy Ryot
ouviu de seu amigo uma história de que uma dessas pias danificou seu carro e inundou toda a família com água. O problema era que o técnico que estava fazendo a manutenção do sistema o configurou incorretamente.
Há dois anos, Rayot e seus colegas estudaram o software de lavagem e apresentaram os resultados na Kaspersky Security Summit no México. Em 2015. Em seguida, eles não conseguiram encontrar os proprietários da lavagem de carro que concordariam com os testes para verificar se as vulnerabilidades encontradas poderiam realmente ser usadas para controle remoto do sistema.
Obter acesso ao controle de lavagem não foi tão difícil. Sim, o sistema solicita um nome de usuário e senha, mas a implementação da autenticação contém erros, graças aos quais foi possível encontrar uma maneira de contornar a necessidade de autenticação. Nos Estados Unidos, de acordo com especialistas, nem todas as pias desse tipo estão conectadas à Internet. Mas com a ajuda do serviço de busca, Shodan conseguiu encontrar mais de 150 pias desse tipo.
Os hackers, tendo estudado a vulnerabilidade, escreveram um script que acessa automaticamente o controle do sistema, aguarda o carro sair da pia e bate na porta do carro com a porta quando já está na saída. O fato é que o software de lavagem monitora o processo de limpeza do carro e registra o estado atual da lavagem no banco de dados. Consequentemente, tudo isso pode ser monitorado remotamente. Portanto, a maneira mais fácil de infligir danos é bater na porta do carro enquanto o motorista assustado tenta sair do lava-rápido furioso.
Geralmente, para impedir que isso aconteça, um sistema especial é equipado com sensores infravermelhos. Mas, como se viu, esses sensores podem ser desativados. Além disso, é possível controlar o manipulador mecânico que encharca o carro com água. Um atacante, se desejado, pode estabelecer um suprimento constante de água, o que complicará a tarefa de a vítima sair do carro e fugir. É verdade que o teste do controle do manipulador não foi realizado, pois os autores do estudo tiveram medo de danificá-lo. Mas eles dizem que, se desejado, o manipulador pode ser feito para bater no veículo.
Tudo isso dificilmente pode ser chamado de máquina de matar, é claro, mas um sistema invadido pode muito bem causar algum dano ao carro, ao motorista e aos passageiros. Os pesquisadores enviaram os resultados de seu trabalho como fabricante de pias, bem como ao Departamento de Segurança Interna dos EUA.