Stel je een drukke nacht op de spoedafdeling. Meerdere voertuigen betrokken betrokken zijn geweest bij een ongeval, en een klein meisje is in gebracht door de ambulance na het lijden van een verlies van bloed. Naturally, bloedtransfusies schering en inslag in het ER, zodat iedereen op het personeel bereidt terwijl een verpleegster loopt naar de bloedbank om een paar eenheden te grijpen.
Echter, toen ze krijgt er, ze krijgt een aantal zeer slecht nieuws. De bloedbank koelsystemen hebben opeens defect in een keer, waardoor alle opgeslagen bloed eenheden onbruikbaar. Niemand kan achterhalen wat er mis ging. Als de verpleegkundige terug naar de ER met lege handen, de kansen van de artsen op het redden van het leven dat kleine meisje hebben net sterk zijn verminderd.
Dit klinkt misschien als een aflevering van Grey's Anatomy, maar het zou al te gemakkelijk een realiteit voor ieder van ons geworden - zoals ontdekt door de Israëlische hackers en activisten Noam Rotem en Ran L, die nauw samenwerken met de veiligheid Detective onderzoekslab.
Als gevolg van een grote inbreuk op de beveiliging, zowat iedereen toegang tot de koeling en klimaatbeheersing systemen van de ziekenhuizen kan krijgen, grote supermarktketens, farmaceutische bedrijven en andere instellingen over de hele wereld. Dit brengt ons allemaal in gevaar op een manier die de meesten van ons hebben waarschijnlijk nog nooit gedacht.
Is het internet der dingen Putting Us All at Risk?
Resource Data Management, een Schots bedrijf dat controle en bewaking op afstand oplossingen fabriceert, verkoopt haar temperatuurregeling systemen om vestigingen in landen over de hele wereld. Gebruikers kunnen alle apparaten in hun koelsystemen te controleren door middel van een dashboard, waaronder aanpassing temperaturen, ontdooien, en.
Zoals het blijkt, hacken van deze online systemen is net zo eenvoudig one-two-three - of één-two-drie tot vier, precies zijn. Ze beschikken allemaal over een standaard gebruikersnaam en “1234”, zoals het standaard wachtwoord. Systeembeheerders zelden de moeite om deze referenties te veranderen.
Deze dashboards zijn toegankelijk via elke browser, via het onbeveiligde HTTP-protocol en 9000 port (of soms 8080, 8100, of zelfs gewoon 80). Een terrorist op zoek te knoeien met een ziekenhuis koelsysteem zou niet eens een bijzonder verfijnde of ervaren hacker. Vrijwel iedereen met een internetverbinding en de juiste URL kan gegevens en rapporten te bekijken, instellingen wijzigen en configuraties, veranderen koelkast en vriezer temperaturen, of zelfs klik op een knop voor een volledige ontdooiing.
Het is zo makkelijk, in feite, dat wanneer we de opdracht ons kantoor secretaresse op hoe de systemen te vinden online, ze was in staat om aangesloten apparaten te vinden in een koeling faciliteit in Duitsland en een ziekenhuis in het Verenigd Koninkrijk binnen een paar ogenblikken, met behulp van Google alleen.
Nu, terwijl onze secretaresse nooit zou vlieg kwaad, een potentiële terrorist of een aanvaller kan gemakkelijk gebruik maken van Shodan, een zoekmachine voor -Internet aangesloten apparaten, tot duizenden apparaten te identificeren.
De site lay-out van deze UK-based ziekenhuis, bijvoorbeeld, is eenvoudig te bereiken. Iedereen kan de temperatuur van een van deze koeling apparaten veranderen. We kunnen alleen maar voorstellen wat er in zou kunnen worden opgeslagen. Blood units? Temperatuurgevoelige farmaceutische?
Het is een kwestie van leven en dood - en Volksgezondheid
Niet alleen ziekenhuizen lopen risico. Deze systemen worden gebruikt door grote supermarktketens over de hele wereld, met inbegrip van Marks & Spencer, Ocado, Way-on, en vele anderen.
Een eenvoudige scan onthult honderden installaties in het Verenigd Koninkrijk, Australië, Israël, Duitsland, Nederland, Maleisië, IJsland, en vele andere landen. Aangezien elke installatie heeft tientallen machines eronder, we kijken naar vele duizenden kwetsbare machines. Sommigen van hen kan gemakkelijk worden gevestigd op uw favoriete supermarkt.
Hier zien we gedetailleerde gegevens over een van die machines - een vitrine bij een grote supermarkt. Merk op hoe het is toegankelijk via een onbeveiligde URL. Om deze machine te ontdooien, alles wat je zou moeten doen is op een knop klikken en voer de standaard gebruikersnaam en wachtwoord.
Nu, stel je een supermarktketen op zoek naar de reputatie van zijn grootste concurrent te vernietigen. Iedereen met fundamentele technische kennis kan gemakkelijk hacken van de concurrent koelsysteem, ontdooien van bevroren voedingsmiddelen en opnieuw in te vriezen ze steeds.
Om te prutsen met de machines in deze tak van Marks and Spencer, bijvoorbeeld, alles wat je nodig hebt om te doen is een keuze van een apparaat in de lijst. Ervan uitgaande dat je niet weet wat er in hen, je zou zelfs kunnen spelen met hen allen. Dit online systeem is zeker niet van plan om je te stoppen.
Natuurlijk, het is niet alleen de reputatie van de concurrent in gevaar - het is voor de volksgezondheid. Onze gezondheid. Elk individu of entiteit met sinistere bedoelingen zou een belangrijke voedselvergiftiging epidemie veroorzaken met slechts een paar klikken van de muis.
Terwijl we willen geloven niet veel mensen die er zijn bereid om deze lage bukken zou zijn, we weten allemaal dat de wereld van het bedrijfsleven te krijgen ... goed, vuil. En we zouden beter slapen 's nachts weten dat al het voedsel in onze koelkast in de juiste omstandigheden werd gehouden voordat het daar kwam.
Het systeem maakt het ook mogelijk om toegang te krijgen en gebruikersgegevens wijzigen, alarmsystemen, en:
Blijf kalm
In dit tijdperk van het internet van de dingen, systeembeheerders moeten speciale voorzorgsmaatregelen nemen om hun systemen op afstand te beveiligen, en nooit vertrouwen op de standaardinstellingen van de fabrikant. Dit geldt met name wanneer het is letterlijk een kwestie van leven en dood, zoals we hebben gezien in deze voorbeelden.
Maar om eerlijk te zijn, we verwachten de fabrikanten van systemen zoals deze om meer verantwoordelijkheid te nemen, en zorg ervoor dat al hun klanten op de hoogte zijn van eventuele veiligheidsrisico's en hoe ze kunnen worden voorkomen. Vooral wanneer hun klanten zijn de winkels waar we kopen al ons voedsel en de ziekenhuizen die we kennen, zullen voor ons zorgen in geval van nood.
Over de auteur: Katrina Smith
Katrina is een security-onderzoeker en web-ontwikkelaar voor SafetyDetective Research Lab.
