Foto: Getty
Sikkerhed forskere afslørede fredag, at den temperatur kontrol systemer, der anvendes i frysere i tusindvis af steder lige fra dagligvarebutikker til hospitaler, til farmaceutiske virksomheder, der er omfattet af simple sabotage. At raise hell, alle, nogen ville behøver at vide er, hvor de skal lede, og de systemer,’ dumt guessable standard password.
Den sårbarhed, siger forskere, påvirker internet-tilsluttet termostater lavet af Ressourcer og Data Management (RDM), der leverer til virksomheder over hele verden. Sikkerhed embedsmænd på research lab Sikkerhed Detektiv hævder i deres rapport, at de var i stand til at identificere 7,419 anlæg af RDM ‘ s produkter med store svagheder. Forskerne siger, at hver installation styrer snesevis af maskiner, og at RDM har efterladt mange af sine kunder sårbart over for angreb fra ikke kræver en ændring af standard password.
Ved hjælp af Shodan ‘ s søgemaskine til internet-tilsluttede enheder, fandt forskerne, at det var bemærkelsesværdigt nemt at få adgang til en RDM system og justere temperatur, alarm indstillinger, og endda få plantegninger for de faciliteter, hvor køleanlæg er placeret. I tilfælde af en fødevare, opbevaring facilitet på Island, for eksempel, sabotage, som en dårlig skuespiller, kunne teoretisk set resultere i et enormt spild af produkter, butikker samt skader til frysere sig selv, siger forskere. I tilfælde af et hospital i den BRITISKE eller den største farmaceutiske selskab i Malaysia, manipulation med de systemer, der kunne teoretisk set have livstruende konsekvenser.
Plantegningen af en uidentificeret hospital i STORBRITANNIEN, at forskere hævder, at de var i stand til at få adgang til via RDM ‘ s usikrede system.Skærmbillede: Sikkerhed DetektivI deres rapport, forskerne hævder:
Disse systemer bruger alle usikker HTTP-protokollen og 9000-port (eller nogle gange 8080, 8100, eller endda blot 80). De alle kommer med en standard brugernavn og “1234” som default password, som sjældent ændres af systemadministratoren. Alle screenshots er taget i denne rapport ikke kræver indtastning af bruger og password , men det kom til vores kendskab, at næsten alle enheder, der anvendes standard password.
Mens forskerne hævder, at det er nemt at finde den rette WEBADRESSE til at få adgang til et af disse systemer, de ikke gå i yderligere detaljer i et forsøg på at beskytte RDM. Det er bemærkelsesværdigt, at RDM ikke synes meget interesserede i at beskytte sine egne kunder. Sikkerhed Detektiv rapport, der skitserer de trin, det tog at afbøde dette problem før afsløre det offentligt og siger sin indsats blev afvist af virksomheden. Forskerne hævder, at deres første e-mail, der forklarer situationen forblev ubesvarede, så de fortsatte med at kontakte RDM gennem sociale medier kanaler og modtaget følgende svar:
Tak for din e-mail og tilgang. Efter at have kigget på dine tjenester, de er ikke af interesse for vores virksomhed.
Som senior team medlem i virksomheden kan jeg venligst bede dig om at afholde dig fra at kontakte os videre, om nogen af individuelle eller generelle e-mail-konti. Det ville også være meget værdsat, hvis du kan afstå fra at tagging os på indlæg på sociale medier.
Virksomheden tilsyneladende indset, at dens svar var utilstrækkelig, og senere sendt et mere detaljeret kommentar. En RDM talsmand forklarede forskere, at det var kundens ansvar at foretage nogen ændringer af adgangskode, og det kan gøre software opdateringer på afstand uden kundens tilladelse. De sagde, at RDM “vil skrive til alle vores kendte kunder, Installatører og distributører i dag at minde dem om vigtigheden af at ændre standard brugernavne og adgangskoder og er en del af deres installation og opsætning.” Desværre, mange admins synes at være at springe det valgfrie trin for at ændre den adgangskode, noget, der er helt forudsigeligt.
Vi spurgte RDM, hvis der er nogen særlig grund til at det ikke blot kræver en ændring af en adgangskode, før systemet kan fungere, og en talsmand sendte os den samme sætning, der blev leveret til sikkerhed forskere. “Vi har ingen kontrol over, hvordan vores systemer er sat op af montøren, og vi foreslår, at din artikel er rettet mod de brugere og montører af vores udstyr,” skrev de. Så, øh, RDM kunder, hvis du lytter, jeg tror, du skal kigge ind i det.
Som TechCrunch påpeger, Californien for nylig vedtaget en lov, der forbyder, at standard passwords på ny forbrugerelektronik, der begynder i 2020. Skotland-baseret RDM kan ikke være særlig bekymret for, om Californien, men Eu er også eyeing nye regler for IoT produkter. Selvfølgelig, hvis RDM ‘s kunder oplever store spørgsmål, den fabrikant’ s hovedpine kan begynde, længe før nogen regler er gennemført.
[Sikkerhed Detektiv research lab via TechCrunch]
Dele Denne Historie