Imagínese una noche ocupada en la sala de emergencias. Varios vehículos involucrados han estado involucrados en un accidente, y una niña ha sido llevado en ambulancia tras sufrir una pérdida de sangre. Naturalmente, transfusiones de sangre son una ocurrencia común en el ER, por lo que todo el personal se prepara mientras que una enfermera corre al banco de sangre para tomar un par de unidades.
Sin embargo, cuando llegue allí, se pone muy malas noticias. Los sistemas de refrigeración del banco de sangre de repente han funcionado correctamente todos a la vez, representación de todas las unidades de sangre almacenadas inutilizable. Nadie puede averiguar lo que salió mal. A medida que la enfermera regresa a la sala de emergencias con las manos vacías, posibilidades de los médicos a salvar la vida de esa niña solo se han reducido severamente.
Esto puede sonar como un episodio de Anatomía de Grey, pero podría con demasiada facilidad convertido en una realidad para cualquiera de nosotros - como fue descubierta por los hackers y activistas israelíes Noam Rotem y Ran L, que trabajan en estrecha colaboración con la El detective de seguridad laboratorio de investigación.
Debido a un fallo de seguridad importante, casi cualquier persona puede tener acceso a los sistemas de refrigeración y control de temperatura de los hospitales, grandes cadenas de supermercados, compañías farmacéuticas y otros establecimientos de todo el mundo. Esto nos pone a todos en riesgo de maneras la mayoría de nosotros probablemente nunca siquiera imaginado.
Es la Internet de las cosas nosotros Poniendo en riesgo?
Gestión de datos de recursos, una compañía escocesa que fabrica soluciones de monitorización remota y control de, comercializa sus sistemas de control de temperatura a los establecimientos en países de todo el mundo. Los usuarios pueden controlar todos los dispositivos en sus sistemas de refrigeración a través de un tablero de instrumentos, incluyendo temperaturas de ajuste, antihielo, y más.
Pues resulta que, piratería estos sistemas en línea es tan fácil como uno, dos, tres - o uno-dos-tres-cuatro, para ser preciso. Todas están equipadas con un nombre de usuario por defecto y “1234” como contraseña por defecto. Los administradores del sistema rara vez se molestan en cambiar estas credenciales.
Estos cuadros de mando son accesibles a través de cualquier navegador, utilizando el protocolo HTTP no segura y la 9000 puerto (o algunas veces 8080, 8100, o incluso simplemente 80). Un terrorista mirando a meterse con el sistema de refrigeración de un hospital ni siquiera tendría que ser un hacker particularmente sofisticado o con experiencia. Prácticamente cualquier persona con una conexión a Internet y la dirección URL correcta puede ver datos e informes, cambiar los ajustes y configuraciones, cambiar la temperatura del refrigerador y congelador, o incluso haga clic en un botón para una descongelación completa.
Es tan fácil, De hecho, que cuando se ha dado instrucciones a nuestra secretaria de la oficina sobre cómo encontrar los sistemas en línea, ella era capaz de encontrar los dispositivos conectados en una instalación de refrigeración en Alemania y un hospital en el Reino Unido dentro de unos momentos, a través de Google solo.
Ahora, mientras que nuestra secretaria no dañaría una mosca, un terrorista potencial o atacante podría utilizar simplemente Shodan, un motor de búsqueda de dispositivos conectados a Internet, para identificar miles de dispositivos.
El diseño del sitio de este hospital en el Reino Unido, por ejemplo, se puede acceder fácilmente. Cualquier persona puede cambiar la temperatura de cualquiera de estos dispositivos de refrigeración. Sólo podemos imaginar lo que podría ser almacenado en el interior. Las unidades de sangre? productos farmacéuticos sensibles a la temperatura?
Es una cuestión de vida o muerte - y Salud Pública
No solo los hospitales están en riesgo. Estos sistemas de control son utilizados por las principales cadenas de supermercados en todo el mundo, incluidas las marcas & Spencer, Ocado, Camino-a, y muchos otros.
Una exploración básica revela cientos de instalaciones en el Reino Unido, Australia, Israel, Alemania, los Países Bajos, Malasia, Islandia, y muchos otros países. Como cada instalación cuenta con decenas de máquinas debajo de ella, estamos buscando a muchos miles de máquinas vulnerables. Algunos de ellos podrían ser fácilmente localizado en su supermercado favorito.
Aquí vemos los datos detallados sobre una de esas máquinas - una vitrina en un gran supermercado. Tenga en cuenta cómo es accesible a través de una URL no segura. Para descongelar esta máquina, todo lo que tenía que hacer es pulsar un botón e introduzca el nombre de usuario y contraseña por defecto.
Ahora, imaginar una cadena de supermercados que buscan destruir la reputación de su mayor competidor. Cualquier persona con conocimientos técnicos básicos podría fácilmente introducirse en el sistema de refrigeración del competidor, descongelar productos alimenticios congelados y volver a congelar una y otra vez.
Para perder el tiempo con las máquinas en esta rama de Marks & Spencer, por ejemplo, todo lo que se necesita hacer es tomar su selección de cualquier dispositivo en la lista. Suponiendo que usted no sabe lo que hay dentro de ellos, incluso se podría jugar con todos ellos. Este sistema en línea sin duda no va a dejar de.
Por supuesto, no es sólo la reputación del competidor en riesgo - es la salud pública. Nuestra salud. Cualquier persona o entidad con siniestras intenciones podrían causar una importante epidemia de intoxicación alimentaria con sólo unos pocos clics de ratón.
Mientras que queremos creer que no mucha gente por ahí estarían dispuestos a rebajarse esta baja, todos sabemos que el mundo de los negocios puede conseguir ... bueno, sucio. Y nos gustaría dormir mejor por la noche sabiendo que toda la comida en nuestra nevera se mantuvo en condiciones adecuadas antes de que se haya.
El sistema también le permite acceder y modificar los datos de usuario, sistemas de alarma, y más:
Mantén tu humor
En esta era de la Internet de las cosas, los administradores de sistemas deben tener especial cuidado para asegurar sus sistemas remotos, y nunca confiar en los valores predeterminados de un fabricante. Esto es particularmente cierto cuando es literalmente una cuestión de vida o muerte, como hemos visto en estos ejemplos.
Pero honestamente, es de esperar que los fabricantes de sistemas como estos para tomar más responsabilidad, y asegurarse de que todos sus clientes son conscientes de los riesgos de seguridad y cómo se pueden prevenir. Especialmente cuando sus clientes son las tiendas donde compramos todos nuestros alimentos y los hospitales que sabemos que cuidar de nosotros en caso de emergencia.
Sobre el Autor: Katrina Smith
Katrina es un investigador de seguridad y desarrollador web para SafetyDetective Laboratorio de Investigación.
