Интернет вещей разрастается, взломами смартфонов, носимых устройств или даже автомобилей уже никого не удивить. Но всё новые и новые устройства добавляются к сети, и подключение новых устройств, как это обычно бывает, приводит к обнаружению новых уязвимостей. Например, сейчас можно взломать ветровую турбину.
Оказывается, некоторые производители ветряков предлагают их автоматическое подключение к интернету и веб-интерфейс для управления ветряками и мониторинга их работы. Однако не все покупатели даже знают о существовании этих интерфейсов, не говоря уже о том, чтобы обеспечить безопасность доступа или хотя бы поменять пароль по-умолчанию.
17 марта Компьютерная группа реагирования на чрезвычайные ситуации (подразделение Министерства внутренней безопасности США) опубликовало отчёт по обнаруженной группой уязвимости ветряков XZERES 442SR. Эти ветряки предоставляют веб-интерфейс для доступа к системе. Выявленная уязвимость встроенного сервера позволяет получить пароль. В конечном итоге злоумышленник может даже обесточить систему.
Конечно, группа призвала владельцев ветряков пропатчить систему – но кто из них узнает об этом или сможет это сделать самостоятельно? Тем временем веб-интерфейсы этих ветряков можно обнаружить с лёгкостью.
Достаточно обратиться к любимой фанатами информационной безопасности поисковой системе Shodan. Поиск слова «XZERES» в данный момент выдаёт 78 результатов. Пройдя по найденным ссылкам обычным браузером, можно попасть в веб-интерфейс ветряка и понаблюдать за показателями его работы.
Будущее неотвратимо наступает, поэтому пользователям «умных» устройств необходимо не только научиться их включать, но и привыкнуть к основам безопасности при их использовании.
Комментарии (11)
Spin7ion
05.04.2015 13:29Turbine State: Hard Fault. Жаль ветряк.
В орегоне работает: http://oimbturbine.uoregon.edu/main.html
mayorovp
06.04.2015 10:47Интересно, а не подключать ветряк к интернету — в современном обществе как вариант вообще не рассматривается?
shuvaevgl
06.04.2015 12:31Мне кажется, критичные системы, будь то атомные электростанции или локальные системы отопления, энергетики и связи(защищенные) должны быть полностью автономны и никоим образом не подключены к глобальной сети.
grozaman
06.04.2015 17:07ИМХО, просто смотреть показатели ветряка с паролем и через интернет — удобно. А вот управлять им уже другое дело.
shuvaevgl
06.04.2015 18:50Если веб-интерфейс генерируется контроллером зарядки( как правило, это так и делается), то можно, например:
1. Увеличить напряжение заряда аккумуляторов, из-за чего те просто закипят, а могут и взорваться
2. Прекратить заряд аккумуляторов, из-за чего может отключиться жизненно-важная нагрузка
3. Отключить балласт ветряка, из-за чего ветряк может выйти на повышенные обороты с последующим разрушением механической части
4. etc…
DarkByte
14.04.2015 08:52По задумке разработчиков всё нормально, интерфейс без авторизации позволяет посмотреть параметры системы и текущие показания, но для внесения изменений в конфигурацию требуется авторизация. Другое дело, что разработчики прошивок для различной техники крайне редко думают о безопасности, и это особо не требуется, когда для управления железкой требуется физический доступ, но всё больше железок попадает в интернет, а безопасность остаётся на том же уровне. Можно конечно прятать такие устройства в локальную сеть, но это поможет ровно до тех пор, пока злоумышленник в неё не попадёт.
grozaman
Чувствую хабраэффект начался…
teamfighter
Ну дайте на вебморду-то посмотреть) Полштата ведь без электричества оставите)