28 июля 2017

Взлом автомойки. Серьезно?

Новости Спецпроекты

Кажется, что нет таких умных устройств, которые бы не взломали хотя бы раз. Но каждый раз обнаруживаются все новые и новые умные штуковины, которые, оказывается, тоже можно взломать. Практически на каждой конференции Black Hat докладчики рассказывают о самых неожиданных устройствах, которым не повезло попасться им под руку.

Попробуйте сходу угадать, что же было взломано на этот раз. Какой-нибудь новейший фитнес-браслет или что-то необычное вроде умных очков Google Glass? Это первое, что приходит на ум, но нет. Скорее всего, вы бы никогда не догадались, но заголовок статьи все выдает.

Взлом автомойки. Серьезно?

Исследователи Билли Райос (Billy Rios) и Джонатан Баттс (Jonathan Butts) обнаружили, что автомойки тоже можно взламывать. Да, знаю, звучит не слишком увлекательно, но это можно рассматривать несколько в другом ключе: исследователи также отметили, что им удалось обнаружить первый эксплойт, который может физически навредить человеку [Взломщики джипов вряд ли согласятся с этим. – прим. ред.].

Райос и Баттс взялись за изучение автомойки PDQ LaserWash, после того как услышали про случай, когда неправильно настроенный механизм ударил автомобиль своим манипулятором и облил водой находившихся внутри людей.

Для автомоек, как и для многих других «умных вещей», очень актуален вопрос: а зачем этому вообще нужен выход в Интернет? Ответ на такой вопрос сходу не придумаешь, однако к Интернету автомойка PDQ LaserWash подключена. Ну и в «лучших традициях» умных вещей у PDQ LaserWash был установлен пароль по умолчанию, подобрать который оказалось совсем несложно.

Как только исследователи зашли в систему, они обнаружили разделы для управления, позволявшие, среди прочего, открывать и закрывать ворота мойки, активировать разбрызгивание воды и отключать инфракрасные датчики. На первый взгляд, это все кажется безобидным, но исследователи продемонстрировали видео, на котором им удалось придавить автомобиль воротами, что может привести к повреждению автомобиля и травмам для находящихся в нем людей. Вишенкой на торте оказалась возможность отправить сообщение с описанием инцидента по электронной почте или выложить его сразу на Facebook.

Еще можно понять, зачем автомойке может быть нужна функция отправки сообщений по электронной почте – скажем, она могла бы пригодиться механикам для отслеживания возникших проблем и получения данных по работе автомойки. Но я до сих пор не могу понять, зачем автомойке возможность постить на Facebook.

Исследователи также отметили, что они указали производителю автомойки на уязвимость, но он так и не выпустил патч (по данным на момент проведения конференции Black Hat 2017).

В целом же исследование, проведенное Райосом и Баттсом, еще раз подчеркивает необходимость смены пароля по умолчанию для каждого устройства и предупреждает о том, что всегда нужно дважды подумать, прежде чем давать устройству доступ в Интернет. И хотя это было испытание безобидной на вид системы, все же автомойка – это, по сути, миниатюрная автоматизированная система управления технологическими процессами (АСУ ТП), а неполадки в таких системах могут привести к тому, что пострадают ни в чем не повинные люди.

Кибербезопасность АСУ ТП: вести с передовой

Надеюсь, это будет последнее необычное устройство, взломанное на Black Hat 2017. Но, как говорят в известном фильме, «что случилось в Вегасе…». Впрочем, нет – ведь мы все равно расскажем вам о том, «что случилось в Вегасе» в нашем блоге Kaspersky Daily и на Facebook.