Stellen Sie sich eine belebte Nacht in der Notaufnahme. Mehrere Fahrzeuge in einen Unfall verwickelt beteiligt waren, und ein kleines Mädchen wurde mit dem Krankenwagen nach dem Leiden einen Verlust von Blut gebracht. Natürlich, Bluttransfusionen sind ein gemeinsames Auftreten in der ER, so dass jeder auf dem Personal bereitet, während eine Krankenschwester an die Blutbank läuft ein paar Einheiten zu greifen.
Jedoch, wenn sie dort ankommt, sie bekommt einige sehr schlechte Nachrichten. Die Blutbank Kälteanlagen haben plötzlich alle auf einmal versagte, Rendering alle gespeicherten Bluteinheiten unbrauchbar. Niemand kann herausfinden, was schief gelaufen ist. Als die Krankenschwester zurück in der Notaufnahme mit leeren Händen, der Ärzte Chancen auf das kleine Mädchen das Leben zu retten haben stark reduziert gerade.
Das klingt wie eine Episode von Grey 's Anatomy, aber es könnte allzu leicht zu einer Realität für jeden von uns wird - wie von israelischen Hackern und Aktivisten Noam Rotum entdeckt und Ran L, die eng mit der Sicherheit Detective Forschungslabor.
Aufgrund umfangreicher Sicherheitsverletzungen, nur etwa jeder kann Zugriff auf die Kälte- und Temperaturkontrollsysteme von Krankenhäusern gewinnen, große Supermarktketten, Pharma-Unternehmen und andere Einrichtungen auf der ganzen Welt. Dies versetzt uns alle in Gefahr in einer Weise, die meisten von uns haben wahrscheinlich noch nie gedacht.
Ist das Internet der Dinge uns alle in Gefahr?
Ressourcendatenmanagement, ein schottisches Unternehmen, die Lösung Steuerung und Fernüberwachung herstellt, vermarktet seine Temperaturkontrollsysteme für Betriebe in Ländern auf der ganzen Welt. Benutzer können alle Geräte in ihren Kühlsystemen steuern durch ein Armaturenbrett, einschließlich Einstellen Temperaturen, Abtauen, und vieles mehr.
Wie sich herausstellt, Hacker diese Online-Systeme ist so einfach wie eins, zwei, drei - oder eins-zwei-drei bis vier, um genau zu sein. Sie sind alle mit einem Standard-Benutzername und „1234“ als Standard-Passwort. Systemadministratoren nur selten die Mühe, diese Anmeldeinformationen zu ändern.
Diese Dashboards sind über jeden Browser, mit dem ungesicherten HTTP-Protokoll und der 9000 Port (oder manchmal 8080, 8100, oder auch einfach 80). Ein Terrorist zu verwirren sucht mit einem Kühlsystem des Krankenhauses müßte ein besonders anspruchsvoller oder erfahrene Hacker nicht einmal sein. So ziemlich jeder mit einer Internetverbindung und der richtigen URL kann Daten und Berichte anzeigen, Ändern von Einstellungen und Konfigurationen, ändern Kühl- und Gefriertemperaturen, oder sogar eine Taste für eine vollständige Abtauung klicken.
Es ist so einfach, tatsächlich, dass, wenn wir unser Büro Sekretärin auf instruiert, wie die Systeme online finden, sie war in der Lage angeschlossene Geräte in einer Kühleinrichtung in Deutschland und ein Krankenhaus in Großbritannien in wenigen Augenblicke zu finden, Verwendung von Google allein.
Jetzt, während unsere Sekretärin schaden würde nie eine Fliege, ein potenzieller Terrorist oder Angreifer könnte leicht Shodan verwenden, eine Suchmaschine für Internet verbundenen Geräte, Tausende von Geräten zu identifizieren.
Die Website das Layout dieser UK-basierten Krankenhaus, beispielsweise, leicht zugegriffen werden kann. Jeder kann die Temperatur von jedem dieser Kühlvorrichtungen ändern. Wir können nur vorstellen, was im Inneren gespeichert werden könnten,. Blutkonserven? Temperaturempfindlichen Pharmazeutika?
Es ist eine Frage von Leben und Tod - und Public Health
Nicht nur Krankenhäuser sind gefährdet. Diese Kontrollsysteme werden von den großen Supermarktketten auf der ganzen Welt verwendet,, einschließlich Marks & Spencer, Ocado, Way-on, und viele andere.
Eine grundlegende Scan zeigt Hunderte von Installationen in Großbritannien, Australien, Israel, Deutschland, die Niederlande, Malaysia, Island, und viele andere Länder. Da jede Installation hat darunter Dutzende von Maschinen, wir suchen bei vielen Tausenden von gefährdeten Maschinen. Einige von ihnen leicht an Ihrem Lieblingslebensmittelgeschäft gefunden werden konnte.
Hier sehen wir detaillierte Daten auf einem dieser Maschinen - eine Vitrine in einem großen Supermarkt. Beachten Sie, wie es durch eine ungesicherte URL zugänglich ist. Zum Abtauen dieser Maschine, alles, was Sie brauchen würde, zu tun, ist eine Schaltfläche klicken und den Standard-Benutzernamen und das Passwort eingeben.
Jetzt, vorstellen, eine Supermarktkette sucht seinen größten Konkurrenten Ruf zu zerstören. Jeder mit grundlegendem technischen Wissen könnte leicht hacken in das Kühlsystem des Wettbewerbers, gefrorene Lebensmittel Abtauen und sie immer und immer wieder eingefroren.
Kampf mit den Maschinen in diesem Zweig von Marks and Spencer, beispielsweise, alles, was Sie tun müssen, würden, ist Ihre Wahl von jedem Gerät auf der Liste nehmen. Vorausgesetzt, dass Sie nicht wissen, was in ihnen ist, Sie könnten sogar mit ihnen spielen, um allen. Das Online-System ist sicherlich nicht dabei, Sie zu stoppen.
Natürlich, es ist nicht nur die Reputation gefährdet Mitbewerbers - es ist die öffentliche Gesundheit. Unsere Gesundheit. Jede natürliche oder juristische Person mit finsteren Absichten könnte eine große Lebensmittelvergiftung Epidemie mit nur wenigen Mausklicks verursachen.
Während wir nicht viele Leute da sein würde, um glauben wollen bereit, diese niedrig zu bücken, wir alle wissen, die Welt der Wirtschaft bekommen ... gut, schmutzig. Und wir würden schlafen nachts besser zu wissen, dass das Essen in unserem Kühlschrank in artgerecht gehalten wurde, bevor es dort ankamen.
Das System ermöglicht es Ihnen auch auf Benutzerdaten zuzugreifen und ändern, Alarmanlagen, und vieles mehr:
Bleib ruhig
In dieser Ära des Internet der Dinge, Systemadministratoren müssen besonders darauf achten, ihre Remote-Systeme zu sichern, und verlassen sich nie auf eine Herstellervorgaben. Dies gilt insbesondere, wenn es buchstäblich eine Frage von Leben und Tod, wie wir haben in diesen Beispielen gesehen.
Aber um ehrlich zu sein, wir würden die Hersteller von Systemen wie diese erwarten, mehr Verantwortung zu übernehmen, und stellen Sie sicher, dass alle ihre Kunden über etwaige Sicherheitsrisiken sind und wie sie verhindert werden. Vor allem, wenn ihre Kunden sind die Geschäfte, in denen wir alle unsere Lebensmittel kaufen und die Krankenhäuser wissen wir kümmern uns im Notfall.
Über den Autor: Katrina Smith
Katrina ist ein Sicherheitsforscher und Web-Entwickler für SafetyDetective Research Lab.
