Как стать автором
Обновить
96.41
Рейтинг

Казино взломали через термостат в аквариуме

Блог компании GlobalSign Информационная безопасность *Разработка для интернета вещей *


Аквариум у входа в отель-казино Silverton в Лас-Вегасе (примерно такой находился в казино, которое подверглось взлому)

Если нужно проникнуть в локальную сеть хорошо защищённого казино — что вы предпримете на месте хакера? Постараетесь узнать пароли пользователей и админа? Достанете биографические сведения о сотрудниках, разошлёте им личные письма от имени родственников с персональными аттачментами, которые они обязательно откроют — и поставят себе трояна? Просканируете серверные порты, выставленные наружу? Да, эти методы были эффективны для таргетированных атак в прошлом. Некоторые эффективны и сейчас. Но проблема в том, что компьютерная инфраструктура готова к отражению именно таких атак. Отдел безопасности давно внедрил авторизацию через криптографические токены, так что админский пароль вам ничего не даст.

Поэтому хакеры ищут новые векторы атак. Огромное подспорье оказывают устройства интернета вещей (IoT). На первый взгляд это безобидные девайсы: беспроводные термостаты, датчики температуры и контроллеры освещения, интеллектуальные счётчики, камеры видеонаблюдения, «умные» кондиционеры и многие другие устройства, подключенные по беспроводной связи к локальной сети и управляемые удалённо. Через них и происходит проникновение. Это не теоретическая, а вполне реальная угроза. Более того, иногда в прессу просачиваются истории успешных взломов, которые состоялись как раз по такому сценарию.

Исполнительный директор компании Darktrace, которая специализируется на информационной безопасности, Николь Иган (Nicole Eagan) недавно рассказала посетителям лондонской конференции WSJ CEO Council Conference об одном таком случае.

Хакерам удалось проникнуть в локальную сеть казино и скопировать базу данных хайроллеров (VIP-игроки на высоких ставках). Эта база составляет коммерческую тайну и имеет исключительную ценность для конкурентов. Возможно, операцию заказали как раз-таки конкуренты, чтобы переманить к себе самых богатых клиентов.

По словам специалиста, злоумышленники получили доступ в сеть через беспроводной термостат, установленный в аквариуме на входе в казино. «Нападавшие использовали это, чтобы закрепиться в системе, — сказала Николь Иган. — Затем нашли базу данных хайроллеров и вытянули её из сети».

На конференции вместе с Иган выступал Роберт Ханниган (Robert Hannigan), руководитель британского разведывательного агентства GCHQ в 2014-2017 годы. Он согласился, что атаки через устройства IoT становятся всё большей проблемой для компаний: «Интернет вещей порождает тысячи новых устройств. В ближайшие годы их запихнут в интернет, что усложняет ситуацию. Я видел банк, который взломали через камеры видеонаблюдения, потому что эти устройства покупались исключительно из-за низкой стоимости».

Главная беда — пароли по умолчанию


Роберт Ханниган считает, что для устройств интернета вещей следует принять минимальные стандарты безопасности, потому что рынок не способен отрегулировать себя самостоятельно рыночными методами. Но даже если это и произойдёт, то впереди ещё несколько лет «хаоса», когда каждый будет защищать себя как может. В течение этого времени у хакеров будет много относительно простых способов взлома.

Недавно исследователи из Университета Бен-Гуриона (Израиль) опубликовали статью, в которой проанализировали основные уязвимости в домашних «умных» устройствах. Они купили 16 популярных коммерческих гаджетов — и изучили, насколько легко их взломать. Результаты неутешительные: для 14 из 16 устройств удалось подобрать пароль и подключить гаджет к ботнету быстрее чем за 30 минут. Изначально исследователи планировали разбирать приборы и искать слабые места в защите, но выяснилось, что это не нужно. В подавляющем большинстве случаев проще всего оказалось подобрать пароль, установленный по умолчанию.

Как выяснилось, в большинстве гаджетов для массового рынка установлены простые пароли по умолчанию, которые пользователи редко меняют. Вполне возможно, что история с термостатом в аквариуме казино — как раз такой случай. Возможно, владельцы казино не позаботились о надёжной аутентификации термостата в сети через защищённую платформу PKI для IoT с использованием модулей аппаратного шифрования.

Специалисты дают такие советы по базовой безопасности интернета вещей:

  1. Покупать устройства IoT только от надёжных производителей и вендоров.
  2. Избегать бывших в использовании устройств.
  3. Собрать в онлайне информацию по каждому устройству — узнать, известен ли пароль по умолчанию для него.
  4. Установить сильный пароль минимум из 16-ти символов.
  5. Не использовать повторно одни и те же пароли.
  6. Регулярно обновлять программное обеспечение.
  7. Внимательно рассмотреть преимущества и риски подключения устройства к интернету.

Пароль по умолчанию — не единственная точка отказа в системе безопасности при использовании устройств IoT. Злоумышленники могут воспользоваться также уязвимостями в приложениях, через которые осуществляется удалённое управление. Например, несанкционированный доступ к роботу-пылесосу позволяет провести полноценную видеоэкскурсию по дому жертвы.


Наверняка в ближайшее время мы услышим ещё немало новостей о таких интересных взломах, как кража базы данных казино через термостат в аквариуме.



Объявляем акцию «Больше киберзащиты спорту»!
image

GlobalSign присоединяется к празднованию самого грандиозного события всех спортсменов и футбольных болельщиков – ЧЕМПИОНАТУ МИРА ПО ФУТБОЛУ 2018 и ДАРИТ 1 ГОД SSL ЗАЩИТЫ!*


Условия акции:
* При покупке любого однолетнего SSL-сертификата DV, OV или EV уровня, второй год вы получаете в подарок.
• Акция распространяется на все сайты спортивной тематики.
• Акция действует только на новые заказы и не распространяется на партнеров.
• Чтобы воспользоваться предложением, отправьте запрос на сайте с указанием промо-кода: SL003HBFR.

Акция продлится до 15 июля 2018 г.

Получить дополнительную информацию по акции вы можете у менеджеров GlobalSign Russia по телефону: +7 (499) 678 2210.

БОЛЬШЕ ЗАЩИТЫ c GlobalSign!
Теги: казинотермостатIoTстандарты безопасности
Хабы: Блог компании GlobalSign Информационная безопасность Разработка для интернета вещей
Всего голосов 23: ↑14 и ↓9 +5
Комментарии 24
Комментарии Комментарии 24

Похожие публикации

Лучшие публикации за сутки

Информация

Дата основания
1996
Местоположение
Япония
Сайт
www.globalsign.com
Численность
Неизвестно
Дата регистрации

Блог на Хабре