Specjaliści z zajmującej się bezpieczeństwem sieci firmy Qualys podają, że odnaleźli około 55 000 dziur w zabezpieczeniach podłączonych do Internetu systemów HVAC (Heat, Ventilation, Air Conditioning – ogrzewanie, wentylacja i klimatyzacja), zainstalowanych w ostatnich dwóch latach.

W przypadku ataku na Target, hakerzy dostali się do systemu za pośrednictwem firmy, która zajmowała się obsługą HVAC. Najpierw włamali się do jej systemu, a następnie wykorzystali mechanizmy do zdalnej kontroli i zarządzania systemem HVAC by uzyskać dostęp do systemu płatności firmy będącej ostatecznym celem ataku.

Zobacz również:

• Ta ustawa przybliża moment, w którym TikTok zostanie zablokowany w USA
• Złośliwe oprogramowanie w chmurze - nowy, niebezpieczny trend

Systemy HVAC często są połączone z sieciami w firmach handlowych, budynkach rządowych, a nawet szpitalach. Ich sprzedawcy, bądź niezależne firmy usługowe, mają zdalny dostęp do tych systemów w celach administracyjnych.

Hakerzy mogą to wykorzystać i dostać się do wewnętrznej firmowej sieci, która na ogół nie jest silnie zabezpieczona przed, wydawałoby się mało prawdopodobnym atakiem na "klimatyzację", a z niego wykonać „skok” do interesującego ich celu.

Atak na Target, w wyniku którego wyciekły dany na temat 40 milionów kart kredytowych i debetowych, został przeprowadzony najprawdopodobniej w taki właśnie sposób. Blogger Brian Krebs, który pierwszy doniósł o tym ataku, twierdzi, że hakerzy dostali się do systemu Target, używając uwierzytelnienia ukradzionego z firmy zarządzającej systemem HVAC.

Zdarzenie to wywołało ogromną dyskusję w sieci. Główne pytanie jakie zadawano, to jak to możliwe, że podwykonawca może mieć uwierzytelnienie, które pozwoli mu się dostać tak daleko w głąb systemu.

„Często dzieje się tak, że podwykonawca potrzebuje dostępu do sieci w celu wykonania zadania, a pod presją czasu daje mu się zbyt rozległe uprawnienia, nie zastanawiając się, jakie konsekwencje może to mieć dla bezpieczeństwa sieci” mówi Dwayne Melancon, CTO w Tripwire, firmie zajmującej się bezpieczeństwem danych.

Większość systemów takich jak HVAC jest sterowana przez Internet, aby firmy zarządzające nimi, mogło robić to zdalnie. Okazuje się, że bardzo wiele tych przedsiębiorstw ma w systemach IT luki, które pozwalają w prosty sposób dostać się do ważnych informacji, takich jak uwierzytelnienia używanego do zarządzania systemami HVAC w innych firmach lub instytucjach.

Dlatego ruch z i do serwerów powinien być uważnie monitorowany. Do wykonywania swoich zadań, administratorzy takich rozwiązań, jak HVAC potrzebują dostępu tylko do części systemu. Jeśli ruch byłby odpowiednio monitorowany, włamanie tego typu zostałoby natychmiast wykryte.