Если миллионы серверов, маршрутизаторов, коммутаторов и персональных компьютеров широко открыты для отдельных хакеров, сколько еще нужно мошенническим правительствам или спецслужбам? ⁃ TN Editor
Лукас Лундгрен сидел за своим столом, наблюдая, как двери и тюремные камеры в сотнях миль от него открываются и закрываются.
Он мог видеть различные команды, плавающие по экрану в незашифрованном виде. «Я мог бы даже отдать команду вроде« Все блоки открыты », - сказал он в телефонном звонке на прошлой неделе. Не будучи там, он не мог знать наверняка, имели ли его действия последствия в реальном мире.
«Вероятно, я узнаю об этом, только прочитав об этом в газете на следующий день», - сказал Лундгрен, старший консультант по безопасности в IOActive, перед своим выступлением в Black Hat в Лас-Вегасе на прошлой неделе.
Это потому, что двери этих камер контролируются малоизвестным, но популярным протоколом обмена сообщениями с открытым исходным кодом. известный как MQTT, который позволяет датчикам и интеллектуальным устройствам с низким энергопотреблением, подключенным к Интернету (IoT) связываться с центральным сервером, используя небольшую полосу пропускания, позволяя тюремным охранникам удаленно управлять замками на двери камеры. Протокол используется везде - любителями дома, но также и в промышленных системах, таких как датчики и датчики оборудования, электронные рекламные щиты и даже медицинские устройства.
Но слишком часто серверы, которые прослушивают устройства и отправляют команды, не защищены именем пользователя или паролем, что позволяет любому, у кого есть подключение к Интернету, просматривать один из 87,000 незащищенных серверов, согласно данным сканирования портов Лундгрена.
«Это ужасная ситуация», - сказал он. «Мы не только можем читать данные - это уже плохо, - но и записывать в них».
По его словам, Лундгрен видел кардиомониторы и инсулиновые помпы, которые постоянно обновляют данные по протоколу, чтобы врач мог удаленно читать их на веб-странице и вносить изменения. «Если бы я хотел проявить злость, я бы, вероятно, мог изменить инсулин или что-то в этом роде и посмотреть, что произойдет», - сказал он.
Во время сканирования он обнаружил серверы со всего мира, на которых работает все, от домашней автоматизации и систем сигнализации до атомных электростанций, ускорителей частиц и даже нефтепровода.
wpDiscuz