Казино взломали через термостат в аквариуме



    Аквариум у входа в отель-казино Silverton в Лас-Вегасе (примерно такой находился в казино, которое подверглось взлому)

    Если нужно проникнуть в локальную сеть хорошо защищённого казино — что вы предпримете на месте хакера? Постараетесь узнать пароли пользователей и админа? Достанете биографические сведения о сотрудниках, разошлёте им личные письма от имени родственников с персональными аттачментами, которые они обязательно откроют — и поставят себе трояна? Просканируете серверные порты, выставленные наружу? Да, эти методы были эффективны для таргетированных атак в прошлом. Некоторые эффективны и сейчас. Но проблема в том, что компьютерная инфраструктура готова к отражению именно таких атак. Отдел безопасности давно внедрил авторизацию через криптографические токены, так что админский пароль вам ничего не даст.

    Поэтому хакеры ищут новые векторы атак. Огромное подспорье оказывают устройства интернета вещей (IoT). На первый взгляд это безобидные девайсы: беспроводные термостаты, датчики температуры и контроллеры освещения, интеллектуальные счётчики, камеры видеонаблюдения, «умные» кондиционеры и многие другие устройства, подключенные по беспроводной связи к локальной сети и управляемые удалённо. Через них и происходит проникновение. Это не теоретическая, а вполне реальная угроза. Более того, иногда в прессу просачиваются истории успешных взломов, которые состоялись как раз по такому сценарию.

    Исполнительный директор компании Darktrace, которая специализируется на информационной безопасности, Николь Иган (Nicole Eagan) недавно рассказала посетителям лондонской конференции WSJ CEO Council Conference об одном таком случае.

    Хакерам удалось проникнуть в локальную сеть казино и скопировать базу данных хайроллеров (VIP-игроки на высоких ставках). Эта база составляет коммерческую тайну и имеет исключительную ценность для конкурентов. Возможно, операцию заказали как раз-таки конкуренты, чтобы переманить к себе самых богатых клиентов.

    По словам специалиста, злоумышленники получили доступ в сеть через беспроводной термостат, установленный в аквариуме на входе в казино. «Нападавшие использовали это, чтобы закрепиться в системе, — сказала Николь Иган. — Затем нашли базу данных хайроллеров и вытянули её из сети».

    На конференции вместе с Иган выступал Роберт Ханниган (Robert Hannigan), руководитель британского разведывательного агентства GCHQ в 2014-2017 годы. Он согласился, что атаки через устройства IoT становятся всё большей проблемой для компаний: «Интернет вещей порождает тысячи новых устройств. В ближайшие годы их запихнут в интернет, что усложняет ситуацию. Я видел банк, который взломали через камеры видеонаблюдения, потому что эти устройства покупались исключительно из-за низкой стоимости».

    Главная беда — пароли по умолчанию


    Роберт Ханниган считает, что для устройств интернета вещей следует принять минимальные стандарты безопасности, потому что рынок не способен отрегулировать себя самостоятельно рыночными методами. Но даже если это и произойдёт, то впереди ещё несколько лет «хаоса», когда каждый будет защищать себя как может. В течение этого времени у хакеров будет много относительно простых способов взлома.

    Недавно исследователи из Университета Бен-Гуриона (Израиль) опубликовали статью, в которой проанализировали основные уязвимости в домашних «умных» устройствах. Они купили 16 популярных коммерческих гаджетов — и изучили, насколько легко их взломать. Результаты неутешительные: для 14 из 16 устройств удалось подобрать пароль и подключить гаджет к ботнету быстрее чем за 30 минут. Изначально исследователи планировали разбирать приборы и искать слабые места в защите, но выяснилось, что это не нужно. В подавляющем большинстве случаев проще всего оказалось подобрать пароль, установленный по умолчанию.

    Как выяснилось, в большинстве гаджетов для массового рынка установлены простые пароли по умолчанию, которые пользователи редко меняют. Вполне возможно, что история с термостатом в аквариуме казино — как раз такой случай. Возможно, владельцы казино не позаботились о надёжной аутентификации термостата в сети через защищённую платформу PKI для IoT с использованием модулей аппаратного шифрования.

    Специалисты дают такие советы по базовой безопасности интернета вещей:

    1. Покупать устройства IoT только от надёжных производителей и вендоров.
    2. Избегать бывших в использовании устройств.
    3. Собрать в онлайне информацию по каждому устройству — узнать, известен ли пароль по умолчанию для него.
    4. Установить сильный пароль минимум из 16-ти символов.
    5. Не использовать повторно одни и те же пароли.
    6. Регулярно обновлять программное обеспечение.
    7. Внимательно рассмотреть преимущества и риски подключения устройства к интернету.

    Пароль по умолчанию — не единственная точка отказа в системе безопасности при использовании устройств IoT. Злоумышленники могут воспользоваться также уязвимостями в приложениях, через которые осуществляется удалённое управление. Например, несанкционированный доступ к роботу-пылесосу позволяет провести полноценную видеоэкскурсию по дому жертвы.


    Наверняка в ближайшее время мы услышим ещё немало новостей о таких интересных взломах, как кража базы данных казино через термостат в аквариуме.



    Объявляем акцию «Больше киберзащиты спорту»!
    image

    GlobalSign присоединяется к празднованию самого грандиозного события всех спортсменов и футбольных болельщиков – ЧЕМПИОНАТУ МИРА ПО ФУТБОЛУ 2018 и ДАРИТ 1 ГОД SSL ЗАЩИТЫ!*


    Условия акции:
    * При покупке любого однолетнего SSL-сертификата DV, OV или EV уровня, второй год вы получаете в подарок.
    • Акция распространяется на все сайты спортивной тематики.
    • Акция действует только на новые заказы и не распространяется на партнеров.
    • Чтобы воспользоваться предложением, отправьте запрос на сайте с указанием промо-кода: SL003HBFR.

    Акция продлится до 15 июля 2018 г.

    Получить дополнительную информацию по акции вы можете у менеджеров GlobalSign Russia по телефону: +7 (499) 678 2210.

    БОЛЬШЕ ЗАЩИТЫ c GlobalSign!

    GlobalSign

    214,74

    Компания

    Поделиться публикацией
    Комментарии 24
      +1

      Эм… А почему термостат был в общей сети казино, почему админы не изолировали все подобные термостаты и прочие климат контроли в отдельную сетку? Мне кажется, управляемый коммутатор на фоне только этого одного термостата стоит копейки.

      • НЛО прилетело и опубликовало эту надпись здесь
          0

          Ничего не понятно. Зачем аквариуму VPN, что за сервер в Финляндии? Вообще, зачем термостату выход в интернет?

            0
            Как зачем выход в интернет? Сейчас тенденция такая, всем выход в интернет нужен. Чтоб логи и статистику хранить, чтоб работать по хитрым сценариям которые бы легко задавались, обновлять прошивку… У меня сейчас весы в интернет просятся, выключатели sonoff, почти все девайсы умного дома от Xiaomi. И ко всему прочему производитель так распорядился, что все они хотя ещё много чего, например доступ к местоположению и т.д.
              0

              Вот я и не понимаю, зачем им всем интернет. Когда контроллер умного дома хочет в инет, я ещё могу понять, но термостат… И даже то, что термостат полез в инет, непонятно, как он пролез к важной информации казино. Но тут уже действительно, скорее всего, косяк админов, что сеть криво настроили.

            • НЛО прилетело и опубликовало эту надпись здесь
                0

                И каждый день термостат перенастраивают.
                Вообще, с этим "умным" домом, мне кажется, народ потерял суть. Все сейчас зачем-то привязывают свои термостаты и выключатели к облакам, чтобы можно было этими выключателями управлять со смартфона. Но это не умный дом, это выключатель/термостат с управлением через смартфон, что, на мой взгляд, дико неудобно. Уж точно термостат для аквариума должен один раз настраиваться и на всю жизнь аквариума или термостата.

                • НЛО прилетело и опубликовало эту надпись здесь
                    0

                    Хорошо, если отдали на аутсорс, то каким образом надо было настроить сеть, чтобы термостат мог пролезть в сеть с критичной инфой? Это прлучается, что контора обслуживающая аквариум имеет полный доступ в сеть казино? Тогда хакеры это мелочь.

                      0
                      А и не нужно. Достаточно найти или добавить в интерфейсе тычку «скачать протокол» и воткнуть в него что-нибудь уязвимое. Потом инициировать пару-тройку ошибок в поведении термостата. Админ полезет разбираться и скачает отчет вместе с вредоносом.
                0
                Ничего не понятно. Зачем аквариуму VPN, что за сервер в Финляндии?


                Управление аквариумом отдано на аутсорс, чего тут непонятного, всё в тренде.
                Ну или рыбкам надоела блокировки информационная замкнутость и они, так же в тренде, пробросили VPN в более открытую информационно среду.
                  0

                  Чуть выше ответил

                  0

                  Да хотя бы для того, чтобы отписать хотя бы кому нибудь о том, что температура в аквариуме понизилась на полградуса из-за чего любимая рыбка владельца казино, купленная по цене казино, может сдохнуть.

                    0
                    Вообще, зачем термостату выход в интернет?

                    Корм рыбкам заказывал :)
                +14
                Прочитал заголовок, и на мгновение показалось что я уже на Хабре видел похожую статью.
                Нет, не показалось. Вот же она в прошлом году (29 июля 2017)
                GlobalSign_admin вы там хоть проверяйте материал перед публикацией.
                  0
                  Тут картинка красивее, и всё после впечатления не от просто отчета, а от доклада на конференции)
                  Ещё и за год отличные сертификаты аутентификации ИоТ придумали и внедрили)
                  Опять же — китайцы освоили выпуск термостатов… никому не надо домой?)

                  И все недопонимание, скорее всего, от «трудностей перевода»
                  Оно не хочет в интернет, а просто умеет жить по вифи)
                  0
                  А еще через термостат можно смс закинуть и позвонить.
                    0

                    Ну или уху сварить...

                    0
                    BMS сети как минимум живут в своем VLAN, как максимум в физически отдельной сети.
                    ИМХО если это не утка, то термостату «помогли» изнутри (кто то из сотрудников)
                      0
                      Доступ к файлам базы с важной инфой из локальной сети удивляет не менее.
                      • НЛО прилетело и опубликовало эту надпись здесь
                      +1
                      Буква S в аббревиатуре IoT означает Secutiry.
                        0
                        Эта шутка еще очень долго будет смешной, к сожалению. :(
                        0
                        Больше похоже на то, что владельцы казино таким образом вывели часть средств. Человеческий фактор (криворукость), конечно, тут тоже мог иметь место. Но! Это же казино. Их пытаются обмануть, обокрасть, ограбить, взломать, чуть ли не каждый день.

                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                        Самое читаемое