Казино взломали через термостат в аквариуме



    Аквариум у входа в отель-казино Silverton в Лас-Вегасе (примерно такой находился в казино, которое подверглось взлому)

    Если нужно проникнуть в локальную сеть хорошо защищённого казино — что вы предпримете на месте хакера? Постараетесь узнать пароли пользователей и админа? Достанете биографические сведения о сотрудниках, разошлёте им личные письма от имени родственников с персональными аттачментами, которые они обязательно откроют — и поставят себе трояна? Просканируете серверные порты, выставленные наружу? Да, эти методы были эффективны для таргетированных атак в прошлом. Некоторые эффективны и сейчас. Но проблема в том, что компьютерная инфраструктура готова к отражению именно таких атак. Отдел безопасности давно внедрил авторизацию через криптографические токены, так что админский пароль вам ничего не даст.

    Поэтому хакеры ищут новые векторы атак. Огромное подспорье оказывают устройства интернета вещей (IoT). На первый взгляд это безобидные девайсы: беспроводные термостаты, датчики температуры и контроллеры освещения, интеллектуальные счётчики, камеры видеонаблюдения, «умные» кондиционеры и многие другие устройства, подключенные по беспроводной связи к локальной сети и управляемые удалённо. Через них и происходит проникновение. Это не теоретическая, а вполне реальная угроза. Более того, иногда в прессу просачиваются истории успешных взломов, которые состоялись как раз по такому сценарию.

    Исполнительный директор компании Darktrace, которая специализируется на информационной безопасности, Николь Иган (Nicole Eagan) недавно рассказала посетителям лондонской конференции WSJ CEO Council Conference об одном таком случае.

    Хакерам удалось проникнуть в локальную сеть казино и скопировать базу данных хайроллеров (VIP-игроки на высоких ставках). Эта база составляет коммерческую тайну и имеет исключительную ценность для конкурентов. Возможно, операцию заказали как раз-таки конкуренты, чтобы переманить к себе самых богатых клиентов.

    По словам специалиста, злоумышленники получили доступ в сеть через беспроводной термостат, установленный в аквариуме на входе в казино. «Нападавшие использовали это, чтобы закрепиться в системе, — сказала Николь Иган. — Затем нашли базу данных хайроллеров и вытянули её из сети».

    На конференции вместе с Иган выступал Роберт Ханниган (Robert Hannigan), руководитель британского разведывательного агентства GCHQ в 2014-2017 годы. Он согласился, что атаки через устройства IoT становятся всё большей проблемой для компаний: «Интернет вещей порождает тысячи новых устройств. В ближайшие годы их запихнут в интернет, что усложняет ситуацию. Я видел банк, который взломали через камеры видеонаблюдения, потому что эти устройства покупались исключительно из-за низкой стоимости».

    Главная беда — пароли по умолчанию


    Роберт Ханниган считает, что для устройств интернета вещей следует принять минимальные стандарты безопасности, потому что рынок не способен отрегулировать себя самостоятельно рыночными методами. Но даже если это и произойдёт, то впереди ещё несколько лет «хаоса», когда каждый будет защищать себя как может. В течение этого времени у хакеров будет много относительно простых способов взлома.

    Недавно исследователи из Университета Бен-Гуриона (Израиль) опубликовали статью, в которой проанализировали основные уязвимости в домашних «умных» устройствах. Они купили 16 популярных коммерческих гаджетов — и изучили, насколько легко их взломать. Результаты неутешительные: для 14 из 16 устройств удалось подобрать пароль и подключить гаджет к ботнету быстрее чем за 30 минут. Изначально исследователи планировали разбирать приборы и искать слабые места в защите, но выяснилось, что это не нужно. В подавляющем большинстве случаев проще всего оказалось подобрать пароль, установленный по умолчанию.

    Как выяснилось, в большинстве гаджетов для массового рынка установлены простые пароли по умолчанию, которые пользователи редко меняют. Вполне возможно, что история с термостатом в аквариуме казино — как раз такой случай. Возможно, владельцы казино не позаботились о надёжной аутентификации термостата в сети через защищённую платформу PKI для IoT с использованием модулей аппаратного шифрования.

    Специалисты дают такие советы по базовой безопасности интернета вещей:

    1. Покупать устройства IoT только от надёжных производителей и вендоров.
    2. Избегать бывших в использовании устройств.
    3. Собрать в онлайне информацию по каждому устройству — узнать, известен ли пароль по умолчанию для него.
    4. Установить сильный пароль минимум из 16-ти символов.
    5. Не использовать повторно одни и те же пароли.
    6. Регулярно обновлять программное обеспечение.
    7. Внимательно рассмотреть преимущества и риски подключения устройства к интернету.

    Пароль по умолчанию — не единственная точка отказа в системе безопасности при использовании устройств IoT. Злоумышленники могут воспользоваться также уязвимостями в приложениях, через которые осуществляется удалённое управление. Например, несанкционированный доступ к роботу-пылесосу позволяет провести полноценную видеоэкскурсию по дому жертвы.


    Наверняка в ближайшее время мы услышим ещё немало новостей о таких интересных взломах, как кража базы данных казино через термостат в аквариуме.



    АКЦИЯ GLOBALSIGN: Wildcard SSL + 1 ГОД В ПОДАРОК
    Защитите все субдомены одним сертификатом!

    Экономьте до 30 тысяч рублей при покупке сертификата Wildcard SSL на 2 года!
    Промо-код: WC001HRFR

    Акция действует для подписчиков блога GlobalSign до 15 июня 2018 г.

    Дополнительную информацию вы можете получить у менеджеров GlobalSign по телефону: +7 (499) 678 2210 либо заполнив форму на сайте с указанием промо-кода.
    GlobalSign 151,83
    Компания
    Поделиться публикацией
    Комментарии 24
    • +1

      Эм… А почему термостат был в общей сети казино, почему админы не изолировали все подобные термостаты и прочие климат контроли в отдельную сетку? Мне кажется, управляемый коммутатор на фоне только этого одного термостата стоит копейки.

      • +1
        Из ссылки ниже:
        Руководство заведения выделило для коммуникаций аквариума VPN-соединение, изолированное от финансовой сети. Тем не менее, когда устройство проверила система обнаружения угроз от Darktrace, были выявлены аномальные трансферы данных.


        Жаль что подробностей крайне мало, на ум приходит только криворукая настройка сети, чем и воспользовались злоумышленники.
        • 0

          Ничего не понятно. Зачем аквариуму VPN, что за сервер в Финляндии? Вообще, зачем термостату выход в интернет?

          • 0
            Как зачем выход в интернет? Сейчас тенденция такая, всем выход в интернет нужен. Чтоб логи и статистику хранить, чтоб работать по хитрым сценариям которые бы легко задавались, обновлять прошивку… У меня сейчас весы в интернет просятся, выключатели sonoff, почти все девайсы умного дома от Xiaomi. И ко всему прочему производитель так распорядился, что все они хотя ещё много чего, например доступ к местоположению и т.д.
            • 0

              Вот я и не понимаю, зачем им всем интернет. Когда контроллер умного дома хочет в инет, я ещё могу понять, но термостат… И даже то, что термостат полез в инет, непонятно, как он пролез к важной информации казино. Но тут уже действительно, скорее всего, косяк админов, что сеть криво настроили.

            • 0
              Возможно аквариум со своей инфраструктурой, типа умных розеток, которые управляются через свой сервер со смартфона. Может они рыбок кормят из приложения на смартфоне :)
              • 0

                И каждый день термостат перенастраивают.
                Вообще, с этим "умным" домом, мне кажется, народ потерял суть. Все сейчас зачем-то привязывают свои термостаты и выключатели к облакам, чтобы можно было этими выключателями управлять со смартфона. Но это не умный дом, это выключатель/термостат с управлением через смартфон, что, на мой взгляд, дико неудобно. Уж точно термостат для аквариума должен один раз настраиваться и на всю жизнь аквариума или термостата.

                • 0
                  Я полностью согласен что большинство «фич» являются оверкилом, но может быть там мега-аквариум другого не предоставляет (сам негодовал что не смог разобрать протокол розеток (умные с wi-fi) для написания своего сервера в интранете, вместо облака производителя — нечего ему делать у меня дома). Не только термостат, но и аэратор, кормежка, освещение, подмешивание воды, мониторинг всего дела. Мало ли что вкладывается в понятие «аквариум», особенно если это инсталляция во всю стену, с десятками тонн воды, кучей разных видов живности. Там одна чистка в копеечку влетит, наверняка обслуживание отдано сторонней конторе, которая, в том числе для себя, внедряет это «управляющее облако».
                  • 0

                    Хорошо, если отдали на аутсорс, то каким образом надо было настроить сеть, чтобы термостат мог пролезть в сеть с критичной инфой? Это прлучается, что контора обслуживающая аквариум имеет полный доступ в сеть казино? Тогда хакеры это мелочь.

                    • 0
                      А и не нужно. Достаточно найти или добавить в интерфейсе тычку «скачать протокол» и воткнуть в него что-нибудь уязвимое. Потом инициировать пару-тройку ошибок в поведении термостата. Админ полезет разбираться и скачает отчет вместе с вредоносом.
              • 0
                Ничего не понятно. Зачем аквариуму VPN, что за сервер в Финляндии?


                Управление аквариумом отдано на аутсорс, чего тут непонятного, всё в тренде.
                Ну или рыбкам надоела блокировки информационная замкнутость и они, так же в тренде, пробросили VPN в более открытую информационно среду.
              • 0

                Да хотя бы для того, чтобы отписать хотя бы кому нибудь о том, что температура в аквариуме понизилась на полградуса из-за чего любимая рыбка владельца казино, купленная по цене казино, может сдохнуть.

                • 0
                  Вообще, зачем термостату выход в интернет?

                  Корм рыбкам заказывал :)
            • +14
              Прочитал заголовок, и на мгновение показалось что я уже на Хабре видел похожую статью.
              Нет, не показалось. Вот же она в прошлом году (29 июля 2017)
              GlobalSign_admin вы там хоть проверяйте материал перед публикацией.
              • 0
                Тут картинка красивее, и всё после впечатления не от просто отчета, а от доклада на конференции)
                Ещё и за год отличные сертификаты аутентификации ИоТ придумали и внедрили)
                Опять же — китайцы освоили выпуск термостатов… никому не надо домой?)

                И все недопонимание, скорее всего, от «трудностей перевода»
                Оно не хочет в интернет, а просто умеет жить по вифи)
              • 0
                А еще через термостат можно смс закинуть и позвонить.
              • 0
                BMS сети как минимум живут в своем VLAN, как максимум в физически отдельной сети.
                ИМХО если это не утка, то термостату «помогли» изнутри (кто то из сотрудников)
                • 0
                  Доступ к файлам базы с важной инфой из локальной сети удивляет не менее.
                  • 0
                    Так не обязательно доступ к самим файлам, достаточно попытаться подобрать пароль на учетку с соответствующими привилегиями (о чем вторая часть статьи).
                • +1
                  Буква S в аббревиатуре IoT означает Secutiry.
                  • 0
                    Эта шутка еще очень долго будет смешной, к сожалению. :(
                  • 0
                    Больше похоже на то, что владельцы казино таким образом вывели часть средств. Человеческий фактор (криворукость), конечно, тут тоже мог иметь место. Но! Это же казино. Их пытаются обмануть, обокрасть, ограбить, взломать, чуть ли не каждый день.

                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                    Самое читаемое