"Inteligentne budynki" podatne na ataki?
- Antoni Steliński,
- 14.05.2013, godz. 11:57
Setki firm, w których siedzibach wykorzystywane są rozwiązania informatyczne do sterowania oświetleniem, ogrzewaniem, klimatyzacją czy kontroli dostępu, mogą być podatne na ataki, wykorzystujące słabości tego oprogramowania. Podczas testów przeprowadzonych w Australii przez specjalistów z firmy Cylance wykryto kilkaset budynków, których funkcjonowanie można było zakłócić przez Internet.
"Wykorzystywanie oprogramowania, które umożliwia bezproblemowe zdalne zarządzanie budynkiem jest bez wątpienia wygodne - ale w pewnych okolicznościach może stanowić poważne zagrożenie. Wiele firm nie ma pojęcia, że do ich systemów można się zdalnie włamać" - wyjaśnia Billy Rios, dyrektor techniczny Cylance. Dodajmy, że Rios kilka dni temu wraz z innym specjalistą z tej firmy (Terry'm S. McCorkle Jr.) ujawnił, że dzięki luce w oprogramowaniu Tridium NiagaraAX udało im się sterować ogrzewaniem w lokalnym biurze Google.
Z przeprowadzonych przez nich analiz wynika, że obecnie na całym świecie wykorzystywanych jest ok. 230 tys. kopii platformy NiagaraAX - opartego na Javie frameworka, używanego jako środowisko do uruchamiania aplikacji obsługujących poszczególne aspekty zarządzania budynkiem (ogrzewanie, klimatyzację, kontrolę dostępu itp.). Problem polega na tym, że w oprogramowaniu tym znajdują się błędy, umożliwiające nieautoryzowane uzyskanie dostępu do modułów sterujących.
Zobacz również:
- Apple ostrzega użytkowników w 92 krajach. Uwaga na ataki szpiegowskie
- VMware wzywa do pilnej aktualizacji oprogramowania Aria for Network Operations
Znalezienie wersji podatnych na błędy było możliwe dzięki wykorzystaniu Shodan (czyli specjalistycznej wyszukiwarki umożliwiającej znajdowanie podłączonych do Internetu urządzeń o określonych parametrach - od serwerów, przez kamery przemysłowe, aż po lodówki, turbiny wiatrowe itp.). Wyniki wyszukiwania wykazały, że NiagaraAX najczęściej wykorzystywana jest w Kanadzie, USA oraz Australii. Co więcej - okazało się, że ok. 3/4 wszystkich aktywnych instalacji jest niezaktualizowana (a że w starszych wydaniach są znane błędy, to ryzyko ataku jest całkiem realne).
Rios i McCorkle w czasie swojego testowego "ataku" na Google wykorzystali lukę umożliwiają zmianę wartości w module odpowiedzialnym za kontrolowanie temperatury - okazało się bowiem, że możliwe jest nieautoryzowane wpisanie wartości wyższej niż zdefiniowana przez administratora. Ten błąd jest znany producentowi oprogramowania, który udostępnił już nawet stosowną aktualizację - problem w tym, że większość użytkowników wciąż jej nie zaktualizowała.
Zdaniem ekspertów, wina w tym przypadku leży głównie po stronie firm, które wdrażają takie rozwiązania w innych przedsiębiorstwach (zwykle operacje takie zleca się zewnętrznym dostawcom), którzy instalują i uruchamiają oprogramowania do zarządzania w wersji aktualnej w danym momencie, ale później nie zajmują się już jego aktualizowaniem.