Ciemna strona IoT: atak hakerski może pozbawić cię wody
2018-09-17 11:19
System nawadniający © Nebojsa - Fotolia.com
Internet Rzeczy daje użytkownikom coraz więcej możliwości. Nic zatem dziwnego, że wielu z nas już zdążyło się zachwycić np. możliwością sterowania wodą czy energią elektryczną z poziomu smartfona. Euforia euforią, ale nie wolno zapominać o kwestiach związanych z bezpieczeństwem. Luki kryjące się w zabezpieczeniach urządzeń IoT mogą narażać użytkownika na zwiększone koszty i potencjalnie prowadzić do marnowania zasobów całego miasta. Warto też mieć świadomość, że zastosowanie IoT nie ogranicza się tylko do domu.
Przeczytaj także: 7 sposobów na bezpieczny Internet Rzeczy
W tym miesiącu światło dzienne ujrzał naukowy artykuł poświęcony rozproszonemu modelowi ataku ukierunkowanego na inteligentne, służące zautomatyzowaniu nawadniania ogrodów lub trawników, systemy irygacyjne. Naukowcy z Uniwersytetu Ben Guriona wzięli pod lupę trzy inteligentne tryskacze i doszli do wniosków, że nie brakuje w nich usterek, dzięki którym ktoś niepowołany może z łatwością przejąć kontrolę nad przepływem wody.Analizie poddano działanie inteligentnych tryskaczy GreenIQ i BlueSpray. Badacze dostrzegli, że ich połączenie z serwerem wirtualnym (serwerem w chmurze obliczeniowej) nie zostało zaszyfrowane. A to już prosta droga, aby umożliwić atakującemu, mającemu dostęp do tej samej sieci lokalnej, przechwycenie ruchu w sieci i zmianę poleceń przekazywanych systemowi irygacyjnemu w tak zwanym ataku kryptologicznym (ang. man-in-the-middle).
Dostęp do lokalnej sieci wcale nie jest trudny. Naukowcy twierdzą, że atakujący mógłby wydzierżawić usługi botnetu, aby stworzyć sieć fałszywych urządzeń, których zadaniem jest wyszukiwanie inteligentnych tryskaczy. „Jeśli nie zostaną znalezione tryskacze podłączone do systemu irygacyjnego, bot niszczy sam siebie, aby zatrzeć po sobie ślady” – dodano w dokumencie badawczym.
Inteligentny zraszacz Rainmachine może automatycznie dostosować operacje i parametry nawadniania, zgodnie z danymi otrzymanymi z serwisów prognozy pogody Norweskiego Instytutu Meteorologicznego. Po przeanalizowaniu oprogramowania sprzętowego (ang. firmware) tryskaczy, naukowcy byli w stanie sfałszować prognozę pogody, ponieważ usługa dostarczała ją przez nieszyfrowane połączenie.
fot. Nebojsa - Fotolia.com
System nawadniający
Cele ataku zostały wykryte w sieci lokalnej dzięki analizie połączenia między serwerem wirtualnym a każdym z trzech systemów nawadniających. Cały proces trwał 15 minut, poczynając od momentu zainicjowania wyszukiwania atakowanych urządzeń. Było to możliwe, ponieważ producenci zraszaczy nie oferują innych produktów IoT co zdecydowanie zawęziło pole poszukiwań.
Naukowcy twierdzą, że atakowanie zautomatyzowanych systemów nawadniających może mieć wpływ na zaopatrzenie miasta w wodę. Zgodnie z ich obliczeniami, botnet składający się z 1.355 zraszaczy mógłby opróżnić standardową wieżę ciśnień w mniej niż godzinę; 23.866 pracujących przez sześć godzin opróżniłoby mały zbiornik przeciwpowodziowy.
Obecnie tryskacze GreenIQ szyfrują komunikację z serwerem wirtualnym. Zamknięto też port SSH, który może być wykorzystany przez atakującego do uruchomienia złośliwego kodu. Norweski Instytut Meteorologiczny wprowadził także aktualizację, która szyfruje połączenia z klientami.
"Internet Rzeczy (IoT) obok sztucznej inteligencji, big data i blockchain to technologie które zmieniają świat i podnoszą jakość życia. W niedalekiej przyszłości Internet Rzeczy dotknie praktycznie wszystkich gałęzi gospodarki. Gartner prognozuje, że do 2020 roku do sieci będzie podłączonych 20,4 mld urządzeń. W IoT drzemie olbrzymi potencjał, trzeba jednak mieć świadomość, że zagrożenia które dotychczas dotyczyły głównie przestrzeni wirtualnej, przenoszą się do naszego życia codziennego" - komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken.
Przeczytaj także:
Jak platformy SASE wzmacniają bezpieczeństwo IoT?
oprac. : eGospodarka.pl
Więcej na ten temat:
Internet Rzeczy, bezpieczny internet, bezpieczeństwo w internecie, ataki hakerów, zagrożenia w internecie, IoT
Przeczytaj także
Skomentuj artykuł Opcja dostępna dla zalogowanych użytkowników - ZALOGUJ SIĘ / ZAREJESTRUJ SIĘ
Komentarze (0)