30/08/2018

Badanie inteligentnych miast pod kątem luk w zabezpieczeniach

Biznes SMB

Jedną z moich ulubionych tradycji na konferencjach branżowych jest oczekiwanie na najmodniejsze słowo. Które wyrazy i frazy usłyszymy na niemal każdym stoisku, podczas wykładów i spotkań? Nigdy nie musimy długo czekać, aby się tego dowiedzieć, a tegoroczna konferencja Black Hat nie rozczarowała nas w kwestii inteligentnych miast.

Określenie to nie jest nowe i wydawać by się mogło, że nie ma już nic więcej do omówienia odnośnie tej koncepcji. Inteligentne miasto to takie, które wykorzystuje różne technologie w celu zapewniania swoim mieszkańcom lepszego życia — zapobiega powodziom, zmniejsza korki, automatyzuje odbiór odpadów itp. Brzmi świetnie, prawda?

Jest jednak jedno ALE: dzięki inteligentnym urządzeniom i systemom technologie używane w ramach inteligentnego miasta mają dostęp do internetu — a przy tym mają wiele luk w zabezpieczeniach, które mogą prowadzić do naprawdę poważnych kłopotów.

Gdy mowa o braku bezpieczeństwa Internetu Rzeczy, ludzie albo są obojętni na ten problem, albo przeklinają producentów technologii za to, że ktoś może ich podglądać przez elektroniczną nianię lub zmienić im temperaturę na połączonym z Siecią termostacie. Jednak gdy weźmiesz pod uwagę urządzenia, które kontrolują poziom wód w zaporach lub ostrzegają mieszkańców przed zagrożeniem zalania ulic — czy informują o natężeniu promieniowania w pobliżu elektrowni jądrowej — sprawa wygląda zupełnie inaczej.

W drugim dniu konferencji badacze z organizacji Threatcare i IBM X-Force Red zaprezentowali przeprowadzone wspólnie badanie, w którym opisali luki dnia zerowego, które zidentyfikowali w czterech różnych obszarach technologicznych inteligentnych miast.

Korzystając z silników wyszukiwania Internetu Rzeczy — Shodan i Censys — badacze wykryli urządzenia inteligentne popularne np. w Stanach Zjednoczonych i Europie. Ogólnie znaleziono 17 luk, z których ponad połowę można uważać za krytyczne.

Badanie ukazało również coś znacznie gorszego: zespół badaczy odkrył, że jeden z europejskich krajów używał podatnego na atak urządzenia do wykrywania promieniowania, a inny kraj w USA używał go do sterowania ruchem (badacze poinformowali oczywiście o tym władze i odpowiednie służby).

Luki te nie były jakoś szczególnie skomplikowane. Jak twierdzą badacze, znaleźli je dosyć szybko, a producenci urządzeń bez trudu usunęli większość z nich.

Jak widać, zagrożenie jest realne. Na ich szczęście producenci współpracowali z badaczami i udostępnili łaty eliminujące te luki. Pozostaje pytanie, czy wspomniane gminy zainstalowały te łaty na czas. Tego niestety nie wiemy.

Aby pokazać potencjalnie najgorszy scenariusz, badacze przygotowali model zapory sterowanej przy użyciu jednego z analizowanych urządzeń. Używało ono inteligentnych czujników do sterowania poziomu wody na zaporze. W wyniku ataku, którego przeprowadzenie zajęło im niecałą minutę, woda z zapory została wypuszczona do znajdującej się poniżej rzeki oraz zalała drogi po obu jej stronach.

Warto podkreślić, że użyte urządzenia nie są jakimiś dowolnymi urządzeniami Internetu Rzeczy — to prawdziwy sprzęt, który jest wykorzystywany w prawdziwych miastach. Rządy i gminy wykorzystują je na co dzień. Jeśli badacze bezpieczeństwa bez problemu znaleźli w nich luki, kwestią czasu jest, aż wezmą się za to cyberprzestępcy, którzy mogą znaleźć coś znacznie gorszego.

Możemy się śmiać, że ktoś się boi — jednak z punktu widzenia miast rozsądnie byłoby, gdyby posłuchały porad badaczy cyberbezpieczeństwa. Inteligentne miasta to dynamicznie rozwijający się przemysł, który w ciągu trzech najbliższych lat może osiągnąć wartość 135 miliardów dolarów. Odmiennie niż w przypadku większości urządzeń Internetu Rzeczy, urządzenia te chronią znacznie więcej niż sprzęt, który może zamówić pizzę czy detergent do pralki. One chronią to, co naprawdę ma znaczenie w miastach: ludzi.