Imagine uma noite movimentada na sala de emergência. Vários veículos envolvidos ter sido envolvido em um acidente, e uma menina foi trazido de ambulância depois de sofrer uma perda de sangue. Naturalmente, Transfusões de sangue são uma ocorrência comum no ER, para que todos na equipe se prepara, enquanto uma enfermeira corre para o banco de sangue para pegar um par de unidades.
Contudo, quando ela chega lá, ela recebe algumas notícias muito ruins. Os sistemas de refrigeração de banco de sangue, de repente, um mau funcionamento de uma só vez, tornando todas as unidades de sangue armazenadas inutilizável. Ninguém pode descobrir o que deu errado. Como os enfermeira retorna para o ER de mãos vazias, chances dos médicos em salvar vidas que menina apenas ter sido severamente reduzida.
Isto pode soar como um episódio de Anatomia de Grey, mas poderia por demais facilmente tornar-se uma realidade para qualquer um de nós - como descoberto por hackers israelenses e ativistas Noam Rotem e correu L, que trabalham em estreita colaboração com o Detective segurança laboratório de pesquisa.
Devido a uma falha grave na segurança, apenas sobre qualquer um pode ter acesso aos sistemas de refrigeração e de controle de temperatura de hospitais, grandes cadeias de supermercados, empresas farmacêuticas e outros estabelecimentos em todo o mundo. Isso nos coloca todos em risco de maneira a maioria de nós provavelmente nunca sequer imaginado.
É a Internet das coisas colocando-nos todos em risco?
Gerenciamento de Dados de Recursos, uma empresa escocesa que fabrica soluções de monitoramento remoto e controle de, comercializa seus sistemas de controle de temperatura para estabelecimentos em países de todo o mundo. Os usuários podem controlar todos os dispositivos em seus sistemas de refrigeração através de um painel, incluindo temperaturas de ajuste, descongelar, e mais.
Como se vê, Hacker, estes sistemas on-line é tão fácil como um-dois-três - ou um-dois-três-quatro, para ser mais preciso. Todos eles vêm com um nome de usuário padrão e “1234” como a senha padrão. Os administradores de sistema raramente se preocupam em mudar essas credenciais.
Estes painéis são acessíveis através de qualquer navegador, utilizando o protocolo e os protocolos HTTP não segura 9000 porta (ou às vezes 8080, 8100, ou mesmo simplesmente 80). Um terrorista olhando para mexer com sistema de refrigeração de um hospital não teria sequer a ser um hacker particularmente sofisticado ou experiente. muito qualquer bonita com uma conexão à internet e a URL correta pode visualizar os dados e relatórios, definições e configurações de mudança, mudança frigorífico e temperaturas de congelação, ou até mesmo clicar em um botão para um degelo completo.
É tão fácil, de fato, que quando instruído a nossa secretária do escritório sobre como encontrar os sistemas on-line, ela foi capaz de encontrar dispositivos conectados em uma instalação de arrefecimento na Alemanha e um hospital no Reino Unido dentro de alguns instantes, usando o Google sozinho.
Agora, enquanto o nosso secretário nunca machucaria uma mosca, um terrorista em potencial ou invasor pode facilmente usar Shodan, um motor de busca para dispositivos conectados à Internet, para identificar milhares de dispositivos.
O layout do site deste hospital baseada no Reino Unido, por exemplo, pode ser facilmente acessado. Qualquer um pode alterar a temperatura de qualquer um destes dispositivos de refrigeração. Só podemos imaginar o que poderia ser armazenado dentro. unidades de sangue? produtos farmacêuticos sensíveis à temperatura?
É uma questão de vida e morte - e Saúde Pública
Não são apenas os hospitais que estão em risco. Esses sistemas de controle são usados por grandes cadeias de supermercados em todo o mundo, incluindo marcas & Spencer, Ocado, Way-on, e muitos outros.
Uma varredura básica revela centenas de instalações no Reino Unido, Austrália, Israel, Alemanha, Os Países Baixos, Malásia, Islândia, e muitos outros países. Como cada instalação tem dezenas de máquinas sob ele, nós estamos olhando para muitos milhares de máquinas vulneráveis. Alguns deles poderiam ser facilmente localizado em sua mercearia favorita.
Aqui vemos dados detalhados sobre uma dessas máquinas - uma vitrine em um grande supermercado. Observe como ele é acessível através de um URL não seguro. Para descongelar esta máquina, tudo o que você precisa fazer é clicar em um botão e digite o nome de usuário e senha padrão.
Agora, imaginar uma cadeia de supermercados olhando para destruir a reputação seu maior concorrente. Qualquer pessoa com conhecimentos técnicos básicos poderia facilmente invadir sistema de refrigeração do concorrente, descongelar alimentos congelados e recongelamento los mais e mais.
Para mexer com as máquinas neste ramo da Marks and Spencer, por exemplo, tudo o que você precisa fazer é fazer a sua escolha de qualquer dispositivo na lista. Supondo que você não sabe o que está dentro deles, você pode até mesmo brincar com todos eles. Este sistema on-line certamente não vai impedi-lo.
Claro, não é apenas a reputação do concorrente em risco - é a saúde pública. nossa saúde. Qualquer pessoa física ou com intenções sinistras poderia causar uma grande epidemia de intoxicação alimentar com apenas alguns cliques de um mouse.
Enquanto nós queremos acreditar que muitas pessoas não lá fora, estaria disposto a se inclinar esta baixa, todos nós sabemos que o mundo dos negócios pode obter ... bem, sujo. E nós dormir melhor à noite sabendo que toda a comida do nosso frigorífico foi mantido em condições adequadas antes de chegar lá.
O sistema também permite o acesso e os dados do usuário Modificar, sistemas de alarme, e mais:
Mantenha-se bem
Nesta era da Internet das Coisas, administradores de sistemas precisam ter um cuidado especial para garantir os seus sistemas remotos, e nunca confiar em padrões de um fabricante. Isto é particularmente verdadeiro quando é literalmente uma questão de vida ou morte, como temos visto nestes exemplos.
Mas para ser honesto, que seria de esperar fabricantes de sistemas como estes a assumir mais responsabilidade, e garantir que todos os seus clientes estão cientes de quaisquer riscos de segurança e como eles podem ser evitados. Especialmente quando seus clientes são as lojas onde comprar toda a nossa comida e os hospitais sabemos que irá cuidar de nós em caso de emergência.
Sobre o autor: Katrina Smith
Katrina é um pesquisador de segurança e desenvolvedor web para SafetyDetective Research Lab.