Forestil dig en travl nat på skadestuen. Adskillige køretøjer involveret har været involveret i en ulykke, og en lille pige er blevet bragt ind af ambulance efter at have lidt et tab af blod. Naturligvis, blodtransfusioner er en fælles begivenhed på skadestuen, så alle på personalet forbereder mens en sygeplejerske kører til blodbanken at få fat i et par enheder.
Men, når hun kommer der, hun får nogle meget dårlige nyheder. Blodbanken kølesystemer er pludselig fejlbehæftet på én gang, rendering alle de lagrede blod enheder ubrugelig. Ingen kan finde ud af hvad der gik galt. Som sygeplejersken vender tilbage til skadestuen tomhændet, lægernes chancer på at redde den lille piges liv er netop blevet kraftigt reduceret.
Det kan lyde som en episode af Greys Hvide Verden, men det kunne alt for nemt blive en realitet for nogen af os - som opdaget af israelske hackere og aktivister Noam Rotem og Ran L, der arbejder tæt sammen med Sikkerhed Detective Research lab.
På grund af en større sikkerhedsbrud, bare om nogen kan få adgang til de køle- og temperatur kontrolsystemer hospitaler, store supermarkedskæder, farmaceutiske virksomheder og andre virksomheder rundt omkring i verden. Dette sætter os alle i fare på måder, de fleste af os har sikkert aldrig selv forestillet.
Er tingenes internet sætte os alle i fare?
Ressource Data Management, en skotsk firma, der fremstiller kontrol og fjernovervågning løsninger, markedsfører sine temperatur kontrolsystemer til virksomheder i lande over hele verden. Brugere kan styre alle enheder i deres køleanlæg gennem et betjeningspanel, herunder justering temperaturer, afrimning, og mere.
Da det viser sig,, hacking disse online systemer er lige så let som en-to-tre - eller ét-to-tre-fire, at være præcis. De har alle en standard brugernavn og ”1234” som standard password. Systemadministratorer sjældent gider at ændre disse legitimationsoplysninger.
Disse dashboards er tilgængelige via en browser, anvendelse af usikret HTTP-protokollen og 9000 havn (eller nogle gange 8080, 8100, eller blot 80). En terrorist ønsker at rode med en hospitals kølesystem ville ikke engang at være en særdeles sofistikeret eller erfaren hacker. Stort set alle med en internetforbindelse og den rigtige webadresse kan se data og rapporter, ændre indstillinger og konfigurationer, ændre køleskab og frysertemperaturer, eller endda klikke på en knap for en komplet afrimning.
Det er så nemt, faktisk, at når vi instrueret vores kontor sekretær om hvordan du finder de systemer, online, hun var i stand til at finde tilsluttede enheder i en kølende anlæg i Tyskland og et hospital i England i løbet af få øjeblikke, ved hjælp af Google alene.
Nu, mens vores sekretær aldrig ville skade en flue, en potentiel terrorist eller hacker kan nemt bruge Shodan, en søgemaskine til internet-tilsluttede enheder, at identificere tusindvis af enheder.
Webstedet layout af denne UK-baserede hospital, for eksempel, kan nemt få adgang. Alle kan ændre temperaturen af enhver af disse køleanordninger. Vi kan kun forestille mig, hvad der kunne være gemt inde. blodportioner? Temperaturfølsomme lægemidler?
Det er et spørgsmål om liv og død - og folkesundhed
Det er ikke kun hospitaler, der er i fare. Disse styresystemer anvendes af store supermarkedskæder i hele verden, herunder Marks & Spencer, Ocado, Way-on, og mange andre.
En grundlæggende scanning afslører hundredvis af installationer i Storbritannien, Australien, Israel, Tyskland, Holland, Malaysia, Island, og mange andre lande. Som hvert anlæg har snesevis af maskiner under det, vi kigger på mange tusinde sårbare maskiner. Nogle af dem kunne let være placeret på din favorit købmand.
Her ser vi detaljerede data på en af disse maskiner - en montre på et stort supermarked. Bemærk hvordan det er tilgængeligt via en usikker webadresse. At afrime denne maskine, alt du behøver at gøre, er at klikke på en knap, og indtast standard brugernavn og adgangskode.
Nu, forestille sig en supermarkedskæde søger at ødelægge sin største konkurrent omdømme. Enhver med grundlæggende teknisk viden kunne nemt hacke sig ind konkurrentens kølesystemet, optøning af frosne fødevarer og genfrysning dem igen og igen.
At rode rundt med maskinerne på denne gren af Marks and Spencer, for eksempel, alt du behøver at gøre er at tage din pick af enhver enhed på listen. Forudsat, at du ikke ved, hvad der er indeni dem, du kan endda lege med dem alle. Denne online-system er helt sikkert ikke til at stoppe dig.
Selvfølgelig, det er ikke kun konkurrentens anseelse i fare - det er den offentlige sundhed. Vores helbred. Enhver person eller enhed med skumle hensigter kunne forårsage et større madforgiftning epidemi med blot et par klik med musen.
Mens vi ønsker at tro ikke mange mennesker derude ville være villig til at nedlade denne lave, vi alle kender erhvervslivet kan få ... godt, snavset. Og vi ville sove bedre om natten vel vidende, at samtlige fødevarer i vores køleskab blev holdt under passende forhold, før det kom der.
Systemet giver dig også mulighed for at få adgang til og ændre brugerdata, alarmsystemer, og mere:
Hold din cool
I denne tid med tingenes internet, systemadministratorer nødt til at tage særlig pleje for at sikre deres eksterne systemer, og aldrig stole på en producentens standardindstillinger. Dette er især tilfældet, når det er bogstaveligt talt et spørgsmål om liv og død, som vi har set i disse eksempler.
Men for at være ærlig, vi ville forvente producenter af systemer som disse til at tage mere ansvar, og sikre, at alle deres kunder er opmærksomme på eventuelle sikkerhedsrisici, og hvordan de kan forebygges. Især når deres kunder er de butikker, hvor vi køber alle vores fødevarer og hospitalerne, vi ved vil tage sig af os i nødstilfælde.
Om forfatteren: Katrina Smith
Katrina er en sikkerhed forsker og webudvikler til SafetyDetective Research Lab.
