28/07/2017

Hakowanie myjni samochodowej?

Informacje Projekt specjalny

Myślałem, że słyszałem już wszystko, jeśli chodzi o hakowanie urządzeń połączonych z internetem. Jednak gdy na tegorocznej konferencji Black Hat znów pojawił się ten temat, zacząłem się zastanawiać, który incydent związany z Internetem Rzeczy zaskoczył mnie najbardziej.

Pewnie na myśl przychodzą Wam najnowsze lub największe urządzenia do noszenia, a może Google Glass… Niestety — pudło. Ponieważ nie jest to rzecz łatwa do wymyślenia, daję małą podpowiedź: przeczytajcie ponownie tytuł tego posta.

Badacze Billy Rios i Jonathan Butts odkryli, że można zhakować myjnię samochodową. Chociaż nie brzmi to jakoś szczególnie ekstremalnie, prawdopodobnie odkryli oni pierwszego exploita, który może wyrządzić ludziom szkody fizyczne.

Gdy doświadczeni badacze usłyszeli, że źle skonfigurowana maszyna uderzyła w auto mechanicznym ramieniem i zmoczyła ludzi wodą, postanowili zbadać urządzenia firmy PDQ LaserWash.

Podobnie jak wiele urządzeń i maszyn należących do Internetu Rzeczy, myjnie samochodowe to rzeczy, o których nigdy byśmy nie pomyśleli, że muszą mieć łączność z internetem. I podobnie jak wiele innych urządzeń, myjnia LaserWash miała ustawione hasła domyślne, które zdaniem badaczy bardzo łatwo było odgadnąć.

Po przedostaniu się do systemu badacze uzyskali dostęp do jego funkcji sterujących, takich jak otwieranie i zamykanie drzwi zatoki, rozpylanie wody czy wyłączanie czujników wykorzystujących podczerwień. Na pierwszy rzut oka może to nie wydawać się szkodliwie, lecz mężczyźni pokazali film, na którym widać, jak drzwi zatoki uderzają w auto — taka sytuacja mogłaby poważnie uszkodzić samochód i stanowić zagrożenie dla przebywających w nim osób. Jeśli hakerzy byliby bardzo wyrafinowani, mogliby wysłać wiadomość e-mail ze szczegółowym opisem wypadku lub umieścić stosowny post na Facebooku.

Wyobrażam sobie, że funkcja wysyłania wiadomości e-mail może być przydatna dla właścicieli firm i pomocy technicznej — może ona pomóc w identyfikacji problemów oraz dostarczać informacji na temat użytkowania myjni. Jednak nie rozumiem, dlaczego taki obiekt musi mieć możliwość publikowania na Facebooku.

Badacze podkreślili również, że mimo przekazania producentowi informacji na temat znalezionej luki, wciąż nie została udostępniona dla niej żadna łata (stan na dzień konferencji Black Hat 2017).

Doświadczenie przeprowadzone przez Riosa i Buttsa potwierdza konieczność zmiany haseł domyślnych oraz dokładnego przemyślenia decyzji o podłączeniu urządzenia do internetu. Chociaż był to tylko test na pozornie nieszkodliwym systemie, w rzeczywistości myjnia samochodowa jest małym przemysłowym systemem sterowania, który w przypadku niewłaściwego użytkowania może sprawić ból i cierpienie niewinnym ludziom.

Mam nadzieję, że była to już ostatnia nietypowa rzecz, jaka została zhakowana. Jak to mówią: Co stało się w Vegas… Ale nie tym razem — śledźcie nasze wpisy.