Hvis millioner af servere, routere, switchers og personlige computere er åben for individuelle hackere, hvor meget mere skal man rogue regeringer eller efterretningsbureauer? ⁃ TN Editor
Lucas Lundgren sad ved sit skrivebord, da han så fængselsdørene hundreder af miles væk fra ham åbne og lukke.
Han kunne se de forskellige kommandoer svæve over hans skærm i ukrypteret almindelig tekst. ”Jeg kunne endda udstede kommandoer som 'alle celleblokke åbner'," sagde han i et telefonopkald i sidste uge. Uden at være der kunne han ikke vide med sikkerhed, om hans handlinger ville have haft virkelige virkninger.
”Jeg ville sandsynligvis kun vide det ved at læse om det i avisen næste dag,” sagde Lundgren, senior sikkerhedskonsulent hos IOActive, forud for sin Black Hat-tale i Las Vegas i sidste uge.
Det er fordi disse celledøre styres af en lidt kendt, men populær open source messaging-protokol kendt som MQTT, som lader IOT-sensorer med lav strømforsyning (IoT) og smarte enheder kommunikere med en central server ved hjælp af lille båndbredde - så fængselsvagter fjernstyrer låsen på en celledør. Protokollen bruges overalt - af hobbyister derhjemme, men også i industrielle systemer som målere og udstyrssensorer, elektroniske reklametavler og endda medicinsk udstyr.
Men alt for ofte er serverne, der lytter til enheder og sender kommandoer, ikke beskyttet med et brugernavn eller en adgangskode, hvilket gør det muligt for alle med en internetforbindelse at se på en af de 87,000 ubeskyttede servere, ifølge Lundgrens portscanninger.
”Det er en skræmmende situation,” sagde han. "Vi kan ikke kun læse dataene - det er dårligt nok - men vi kan også skrive til dataene."
Lundgren har set hjertemonitorer og insulinpumper, der konstant opdaterer data over protokollen, så en læge kan læse det eksternt på en webside og foretage ændringer, sagde han. ”Hvis jeg ville være ondsindet, kunne jeg sandsynligvis ændre insulin eller noget og se, hvad der sker,” sagde han.
Gennem sine scanninger fandt han servere fra hele verden, der kørte alt fra hjemmeautomatisering og alarmsystemer til atomkraftværker, en partikelaccelerator - og endda en olierørledning.
wpDiscuz