Bezpieczeństwo

Wizytę w takiej myjni mógłbyś przypłacić życiem. Oto dlaczego

JS
Jakub Szczęsny
4

Pamiętam swoje początki na Antywebie, gdy wielu z Was - czytelników wskazywało na to, że "usmartowienie" dosłownie wszystkiego to ogromne zagrożenie. Bo przecież owe "wszystko" będzie można złamać i obrócić przeciwko Wam. I wiecie co? Mieliście rację. O ile inteligentna myjnia to ciekawe rozwiązanie, tak w niesprzyjających dla nas okolicznościach może nam nawet wyrządzić krzywdę.

Okazało się, że amerykańscy eksperci ds. cyberbezpieczeństwa znaleźli podatności w inteligentnych maszynach przeznaczonych do myjni automatycznych sprzedawanych przez firmę PDQ. Wykazano, że owe błędy w oprogramowaniu mogły spowodować nawet obrażenia u klientów placówek wyposażonych w takie urządzenia, albo u obsługujących je pracowników. Co ciekawe, takie zagrożenia znaleziono już 2 lata temu, ale odpowiedzialna za sprzęty firma zwyczajnie je zignorowała, nawet po ich obszernym opisaniu w internecie. Podatności dotyczą trzech modeli maszyn: LaserJet, ProTouch oraz LaserWash, które były instalowane nie tylko w Stanach Zjednoczonych, ale również w innych krajach.

Maszyny sprzedawano wraz z serwerem, który zawierał w sobie poważne podatności. Wykorzystanie takiego rozwiązania pozwalało na zarządzanie nimi przez internet. Już w 2015 roku w trakcie konferencji Black Hat wykazano, że można złamać system zabezpieczeń panelu administracyjnego, przez co można było uzyskać dostęp do zaawansowanych ustawień maszyny. Na szczęście, nie wykorzystano tych możliwości - prawdopodobnie dlatego, że cyberprzestępcy nie widzieli w tego typu atakach korzyści dla siebie. Spowodowanie uszczerbku na zdrowiu klientów lub pracowników obsługujących urządzenia nie jest celem osób, które "zawodowo" zajmują się wykorzystywaniem podatności w systemach informatycznych. Przede wszystkim liczy się zysk.

Zagrożenie było jednak duże. To cena między innymi za uczynienie wszystkiego "smart"

 

Maszynę można było tak skonfigurować, aby zamykała drzwi w momencie, gdy między nimi znajdował się jakiś obiekt. Mogło to spowodować albo uszkodzenia samochodów, albo nawet obrażenia u ludzi. Dodatkowo, możliwe było wdrożenie takich ustawień ramion czyszczących, by te zawadzały samochody i co gorsze - spowodować nawet uwięzienie ludzi w środku.

Producent myjni automatycznych zapowiedział stosowne poprawki w serwerach odpowiadających za konfigurowanie swoich urządzeń. Stało się to dopiero po tym, jak nieco więcej organizacji zainteresowało się tą sprawą. A co by było, gdyby doszło do tragicznego wypadku spowodowanego przez atak cybernetyczny? Tutaj mamy do czynienia przede wszystkim z ludzkimi zaniedbaniami. Ale nie w każdej sytuacji tak to wygląda - czasami nie sposób przewidzieć pewnego ataku. Przy takim założeniu musimy cały czas zakładać, że możemy stać się ofiarami działania cyberprzestępców. Ci najczęściej skupiają się na zarabianiu pieniędzy na nieuczciwych praktykach. Nie można jednak wykluczać, że na fali cały czas pogłębiających się kryzysów społecznych oraz politycznych okaże się, że do ataku terrorystycznego nie będzie trzeba wykorzystać materiałów wybuchowych, lecz... komputerów. Moda na "smart" może nas do tego doprowadzić.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu