Imaginez une nuit bien remplie à la salle d'urgence. Plusieurs véhicules impliqués ont été impliqués dans un accident, et une petite fille a été amenée par ambulance après avoir subi une perte de sang. Naturellement, transfusions sanguines sont fréquentes à l'ER, donc tout le monde sur le personnel prépare alors qu'une infirmière va à la banque de sang pour attraper quelques unités.
Cependant, quand elle y arrive, elle obtient de très mauvaises nouvelles. Les systèmes de réfrigération des banques de sang ont soudainement mal fonctionné à la fois, rendant toutes les unités de sang stockées inutilisables. Personne ne peut comprendre ce qui a mal tourné. Comme l'infirmière retourne à la salle d'urgence les mains vides, les chances des médecins à sauver la vie de cette petite fille vient d'être sévèrement réduite.
Cela peut sembler un épisode de Grey 's Anatomy, mais il pourrait tout aussi facilement, devenir une réalité pour chacun d'entre nous - comme l'a découvert par des pirates et de militants israéliens Noam Rotem et L Ran, qui travaillent en étroite collaboration avec la détective sécurité Laboratoire de recherche.
En raison d'une violation majeure de la sécurité, à peu près tout le monde peut avoir accès aux systèmes de contrôle de réfrigération et de la température des hôpitaux, grandes chaînes de supermarchés, les sociétés pharmaceutiques et d'autres établissements dans le monde entier. Cela nous met tous en danger de façon la plupart d'entre nous ont probablement jamais imaginés.
L'Internet des choses nous mettre tous à risque?
Gestion des données de ressources, une société écossaise qui fabrique le contrôle et les solutions de surveillance à distance, commercialise ses systèmes de contrôle de la température aux établissements des pays partout dans le monde. Les utilisateurs peuvent contrôler tous les appareils dans leurs systèmes de réfrigération à travers un tableau de bord, y compris les températures de réglage, dégivrage, et de plus.
Comme il s'avère, le piratage de ces systèmes en ligne est aussi facile que un-deux-trois - ou un-deux-trois, quatre, pour être précis. Ils viennent tous avec un nom d'utilisateur par défaut et « 1234 » comme le mot de passe par défaut. Les administrateurs système se soucient rarement de changer ces informations d'identification.
Ces tableaux de bord sont accessibles via un navigateur, en utilisant le protocole HTTP non sécurisée et la 9000 port (ou parfois 8080, 8100, ou même simplement 80). Un terroriste cherche à jouer avec le système de réfrigération d'un hôpital devrait même pas être un hacker particulièrement sophistiqué ou expérimenté. presque tout le monde avec une connexion Internet et le droit URL peut afficher les données et les rapports, modifier les paramètres et les configurations, changer la température du réfrigérateur et du congélateur, ou même cliquer sur un bouton pour un dégivrage complet.
Il est si facile, en fait, que lorsque nous avons demandé à notre secrétaire de bureau sur la façon de trouver les systèmes en ligne, elle a pu trouver des appareils connectés dans une installation de refroidissement en Allemagne et un hôpital au Royaume-Uni dans quelques instants, avec Google seul.
Maintenant, alors que notre secrétaire serait jamais mal à une mouche, un terroriste potentiel ou attaquant pourrait facilement utiliser Shodan, un moteur de recherche pour appareils connectés à Internet, d'identifier des milliers de dispositifs.
La mise en page du site de cet hôpital britannique, par exemple, peut être facilement accessible. Tout le monde peut changer la température de l'un de ces dispositifs de refroidissement. Nous ne pouvons imaginer ce qui pourrait être stocké à l'intérieur. unités de sang? les produits pharmaceutiques sensibles à la température?
Il est une question de vie et de la mort - et la santé publique
Il n'y a pas que les hôpitaux qui sont à risque. Ces systèmes de contrôle sont utilisés par les grandes chaînes de supermarchés partout dans le monde, y compris les marques & Spencer, Ocado, Way sur, et plein d'autres.
Une analyse de base révèle des centaines d'installations au Royaume-Uni, Australie, Israël, Allemagne, les Pays-Bas, Malaisie, Islande, et beaucoup d'autres pays. Comme chaque installation a des dizaines de machines sous ce, nous cherchons à plusieurs milliers de machines vulnérables. Certains d'entre eux pourrait facilement se trouver à votre épicerie préférée.
Ici, nous voyons des données détaillées sur l'une de ces machines - une vitrine à un grand supermarché. Notez comment il est accessible par une URL non sécurisée. Pour dégivrer cette machine, tout ce que vous aurez besoin de faire est de cliquer sur un bouton et entrez le nom d'utilisateur et mot de passe par défaut.
Maintenant, Imaginez une chaîne de supermarchés qui cherchent à détruire la réputation de son plus grand concurrent. Toute personne ayant des connaissances techniques de base pourrait facilement pirater le système de réfrigération du concurrent, décongélation des produits alimentaires congelés et les recongeler encore et.
Pour mess avec les machines à cette branche de Marks and Spencer, par exemple, tout ce que vous aurez besoin de faire est de prendre votre choix de tout appareil sur la liste. En supposant que vous ne savez pas ce qui est en eux, vous pouvez même jouer avec eux tous. Ce système en ligne ne va certainement pas vous arrêter.
Bien sûr, il est non seulement la réputation du concurrent à risque - c'est la santé publique. Notre santé. Toute personne ou entité avec des intentions sinistres pourrait provoquer une épidémie majeure d'intoxication alimentaire avec seulement quelques clics de souris.
Même si nous voulons ne pas croire beaucoup de gens là-bas prêts à se baisser cette faible, nous savons tous le monde des affaires peut obtenir ... bien, sale. Et nous ferions mieux dormir la nuit sachant que toute la nourriture dans notre réfrigérateur a été maintenu dans des conditions appropriées avant d'y arriver.
Le système vous permet également d'accéder et de modifier les données d'utilisateur, systèmes d'alarme, et de plus:
Garde ton calme
Dans cette ère de l'Internet des objets, les administrateurs système doivent prendre des précautions particulières pour sécuriser leurs systèmes à distance, et ne jamais compter sur les valeurs par défaut d'un fabricant. Cela est particulièrement vrai quand il est littéralement une question de vie ou de mort, comme nous l'avons vu dans ces exemples.
Mais pour être honnête, nous nous attendons à des fabricants de systèmes comme ceux-ci à prendre plus de responsabilités, et assurez-vous que tous leurs clients sont au courant des risques de sécurité et la façon dont ils peuvent être évités. Surtout quand leurs clients sont les magasins où nous achetons tous nos aliments et les hôpitaux, nous le savons prendre soin de nous en cas d'urgence.
A propos de l'auteur: Katrina Smith
Katrina est un chercheur en sécurité et développeur web pour SafetyDetective Research Lab.
