Когда вместо медвежатников в наши дома полезут хакеры?

  • 20 апреля 2016
бмс Правообладатель иллюстрации Thinkstock
Image caption Эксперты считают, что взломать доступ в здание, напичканное электроникой, сейчас чрезвычайно просто

В 2013 году корпорация Google подверглась необычному компьютерному взлому.

Необычность состоит в том, что взломан был не поисковый сайт корпорации, не ее рекламная платформа, и даже не ее социальная сеть Google+. Взломано было одно из зданий, принадлежащих Google.

Два эксперта в области кибербезопасности сумели проникнуть в компьютерную систему, управляющую зданием Wharf 7 в австралийском Сиднее.

Один из них, Билли Риос, рассказывает, что ему удалось обнаружить уязвимости в поисковике Shodan, составляющем перечень всех устройств, подключенных к интернету. Затем он проанализировал данные с помощью собственной программы, чтобы установить, кому принадлежит здание.

Правообладатель иллюстрации Thinkstock
Image caption По мнению одного из экспертов, системы управления зданиями постоянно привлекают внимание хакеров

В данном случае эксперты, найдя хозяина офиса, сразу сообщили Google о факте взлома и о найденных ими уязвимых местах в компьютерной системе управления зданием.

Как рассказывает Риос, который владеет компанией Whitescope, в мире в настоящее время имеется около 50 тысяч зданий, подключенных к интернету, в том числе - научные центры, церкви и больницы. Две тысячи компьютерных систем этих зданий не защищены даже паролем.

"Речь идет о двух тысячах зданий, в которых вы можете легко получить доступ, например, к системам контроля температуры, а потенциально - и к системам дверных замков", - рассказывает Риос.

Такие компьютеризированные здания обычно имеют подсистемы, которые контролируют отопление, освещение и видеонаблюдение. Они передают соответствующие данные по корпоративной сети через интернет.

Эндрю Келли, главный консультант оборонной компании QinetiQ, указывает, что такие системы являются весьма эффективными в снижении расходов на эксплуатацию здания.

"Только на сокращении затрат на обогрев помещения можно снизить расходы на 20-50%", - говорит он.

Правообладатель иллюстрации Thinkstock
Image caption Хакер, овладевший управлением системами отопления или освещения в больнице, может причинить немало вреда

Но такие системы делают здания и более уязвимыми. Имеются различные сценарии возможного развития событий в случае взлома систем управления.

Можно представить себе, что случится с обитателями дома престарелых, если злоумышленники зимой выведут из строя систему отопления.

Или же представьте себе положение в больнице, где хакеры взламывают систему освещения.

Еще проще вообразить грабителей, отключающих систему видеонаблюдения в доме, который они решили ограбить.

В 2013 году министерство внутренней безопасности США сообщило, что хакеры получили доступ к системе управления отоплением в одном из его зданий, и в буквальном смысле дали жару его сотрудникам, повысив температуру воздуха в офисе.

Правообладатель иллюстрации Reuters
Image caption Украинская электростанция недавно стала жертвой хакеров

А в 2014 году консультант в сфере компьютерной безопасности Хесус Молина сообщил на профильной конференции о том, что он сумел получить доступ к компьютерным системам в 200 номерах одной из гостиниц города Шэньжэнь в Китае.

Хакерская атака на известную сеть американских магазинов Target, в результате которой были похищены данные о кредитных картах миллионов пользователей, стала возможной благодаря уязвимости ее систем управления отоплением и вентиляцией.

В начале этого года взлому подверглась система управления электростанцией на Украине, когда почти 80 тысяч человек остались без электричества.

Правда, в данном случае взлом был произведен методом "фишинга", то есть обмана человека, имевшего доступ в систему и открывшего на своем компьютере зараженное вредоносной программой электронное сообщение.

"Мы знаем о случаях взлома компьютеров злоумышленниками, которые кодируют доступ к ним и требуют от компаний выкупа для предоставление кода доступа. Очень просто представить себе подобную атаку на систему управления зданием, когда завод или больница становятся неуправляемыми, а хакеры требуют выкупа", - говорит Эндрю Келли.

Правообладатель иллюстрации Thinkstock
Image caption Самым слабым звеном в системах безопасности выступают сами люди

Недавно Келли провел обследование ряда компьютеризированных зданий самого разного размера - от небольших контор до гигантских комплексов, где работают тысячи людей.

"Во всех случаях, без всякого исключения, системы управления этими зданиями были спроектированы без учета соображений безопасности. Мы видели системы, в который использовался пароль по умолчанию, который очень просто взломать", - утверждает он. Келли рекомендует отказаться от использования корпоративных сетей такими системами, поскольку обеспечить надежность кода в таких системах практически невозможно.

Обман на стадионе

В случае взлома здания, принадлежащего корпорации Google, эксперимент, проведенный экспертами, показал, что даже самые продвинутые в техническом смысле компьютерные компании могут легко стать жертвами уязвимости систем, управляющих зданиями.

Правообладатель иллюстрации Thinkstock
Image caption Оказалось, что на некоторых стадионах результат матча на табло можно подправить, не выходя из дома

Билли Риос в своем докладе приводит пример футбольного стадиона в штате Алабама, который имеет совершенно незащищенную систему управления, позволяющую злоумышленникам не только управлять освещением стадиона, но даже изменять показания информационного табло.

"Вообразите, что произойдет, если какой-нибудь болельщик сможет, сидя у себя дома на диване, менять счет матча на таком табло", - замечает он.

Новости по теме