Alternate Text
Αναζήτηση
Back to All News Posts

Επιθέσεις hacker σε συστήματα θέρμανσης / κλιματισμού

02 Σεπ 2016

Επιθέσεις χάκερ σε συστήματα θέρμανσης / κλιματισμού.


Οι ηλεκτρονικές επιθέσεις κατά της Target, αποκαλύπτουν τον κίνδυνο που κρύβεται στα εξ αποστάσεως προσβάσιμα συστήματα θέρμανσης, εξαερισμού, και κλιματισμού.

Η Qualys αναφέρει ότι περίπου 55.000 συνδεδεμένα με το διαδίκτυο συστήματα θέρμανσης, συμπεριλαμβανομένων και αυτών της Ολυμπιακής αρένας του Sochi στη Ρωσία, δεν έχουν επαρκή ασφάλεια.

Σύμφωνα με μια εταιρεία που ειδικεύεται σε συστήματα ηλεκτρονικής ασφαλείας,  η μαζική παραβίαση της Target –εταιρείας που εδρεύει στο Σικάγο–  έφερε στο φως το γεγονός πως αρκετές εταιρείες, χωρίς να έχουν την κατάλληλη ασφάλεια, χειρίζονται μέσω διαδικτύου συστήματα θέρμανσης, εξαερισμού και κλιματισμού, προσφέροντας έτσι στους hackers μια δυνητική πρόσβαση σε σημεία-κλειδιά των εταιρικών συστημάτων τους.

Η Qualys που εξειδικεύεται στην παροχή υπηρεσιών ασφαλείας στο σύστημα Cloud, ανέφερε πως οι ερευνητές της εντόπισαν ότι τα περισσότερα από τα 55.000 συστήματα θέρμανσης, εξαερισμού και κλιματισμού που είναι συνδεδεμένα με το διαδίκτυο, τα τελευταία δύο χρόνια παρουσιάζουν σοβαρές «διαρροές», τις οποίες μπορούν πολύ εύκολα να εκμεταλλευτούν οι hackers. Στην περίπτωση της Target, οι hackers υπέκλεψαν τα πιστοποιητικά σύνδεσης που ανήκαν σε μια εταιρεία παροχής υπηρεσιών θέρμανσης και κλιματισμού και τα χρησιμοποίησαν για να διεισδύσουν στα συστήματα πληρωμών της Target.

Σύμφωνα με την Qualys, παρόμοια διαδικτυακά συστήματα θέρμανσης, εξαερισμού και κλιματισμού υπάρχουν σε εταιρείες λιανικής, κυβερνητικά κτίρια, ακόμη και νοσοκομεία. Οι προμηθευτές αυτών των συστημάτων αλλά και τρίτα πρόσωπα, συχνά, έχουν άδεια για την εξ αποστάσεως πρόσβαση τους σε αυτά τα συστήματα για λόγους διαχείρισης και υποστήριξης.

Οι hackers μπορούν να εκμεταλλευτούν αυτά τα διαδικτυακά συστήματα, ώστε να αποκτήσουν πρόσβαση σε εταιρικά δίκτυα και να διεισδύσουν σε εταιρικά δεδομένα, όπως  αναφέρει η Qualys.

Η παραβίαση της Target, η οποία είχε ως αποτέλεσμα την κλοπή δεδομένων από 40 εκατομμύρια πιστωτικές και χρεωστικές κάρτες, θεωρείται πως έγινε με αυτό τον τρόπο. Σύμφωνα με τον blogger Brian Krebs, ειδικό σε συστήματα ασφαλείας, ο οποίος ανέφερε πρώτος την μαζική παραβίαση,  οι hackers απέκτησαν πρόσβαση στο δίκτυο της Target χρησιμοποιώντας τους κωδικούς σύνδεσης που υπέκλεψαν από μια εταιρεία παροχής υπηρεσιών θέρμανσης και κλιματισμού.

Η συγκεκριμένη εταιρεία είχε προφανώς άδεια πρόσβασης στα δίκτυα της Target για την διαχείριση λειτουργιών όπως η εξ αποστάσεως παρακολούθηση της ενεργειακής κατανάλωσης και της θερμοκρασίας σε διάφορους χώρους. Οι hackers εκμεταλλεύτηκαν την άδεια πρόσβασης που είχε η εν λόγω εταιρεία  για να διεισδύσουν αρχικά στο σύστημα λιανικής πώλησης της Target και έπειτα να προσπελάσουν τα συστήματα πληρωμών υποκλέπτοντας τα δεδομένα της.

Αυτό που δεν γνωρίζουν οι περισσότερες εταιρείες είναι πως τα συστήματα θέρμανσης/εξαερισμού/κλιματισμού που συνδέονται με το διαδίκτυο, δυνητικά μπορούν να λειτουργήσουν ως πύλες εισόδου σε ευαίσθητα δεδομένα του εταιρικού δικτύου, αναφέρει ο Bill Rios, διευθυντής πληροφοριών της Qualys.

«Η συγκεκριμένη παραβίαση δεν επηρεάζει μόνο την Target. Υπάρχουν ακόμη πολλά συστήματα ελέγχου άλλων εταιρειών που είναι εκτεθειμένα», ανέφερε ο Rios.

Αφού αποκαλύφθηκε ο τρόπος με τον οποίο οι hackers απέκτησαν πρόσβαση στο δίκτυο της Target, η Qualys προχώρησε σε ηλεκτρονική σάρωση του εταιρικού δικτύου και ανακάλυψε πως τα συστήματα θέρμανσης/εξαερισμού/κλιματισμού στα γραφεία όπου βρίσκεται η έδρα της Target εξακολουθούσαν να είναι ορατά στο διαδίκτυο. Το ίδιο συνέβαινε και με τα συστήματα κλιματισμού και ενεργειακής διαχείρισης στο Ολυμπιακό Στάδιο του Sochi, σύμφωνα με τον Rios.

«Το σύστημα της Sochi δεν απαιτεί καν κάποιον κωδικό, οπότε γνωρίζοντας μόνο την διεύθυνση ΙΡ, είστε μέσα. Έχουμε έρθει σε επαφή με τους τεχνικούς για να τους προειδοποιήσουμε για το πρόβλημα», σημείωσε ο Rios

Συχνά, οι εταιρείες που έχουν εγκατεστημένα συστήματα θέρμανσης/κλιματισμού που λειτουργούν εξ αποστάσεως, δεν συνειδητοποιούν πως αυτά αποτελούν εν δυνάμει πύλες εισόδου σε ευαίσθητα εταιρικά δεδομένα. Έτσι, τα μέτρα ασφαλείας που λαμβάνονται είναι συνήθως πολύ χαλαρά. Για παράδειγμα, πολλές εταιρείες παροχής και διαχείρισης τέτοιων συστημάτων χρησιμοποιούν τον ίδιο κωδικό για την πρόσβαση τους στα συστήματα διαφορετικών πελατών.

«Η Qualys συνεργάζεται με την DHS πάνω σε αυτό το θέμα εδώ και τρία χρόνια, επομένως δεν πρόκειται για μια άγνωστη σε όλους απειλή. Απλώς οι περισσότεροι άνθρωποι δεν γνωρίζουν ακόμη σχετικά με αυτή» πρόσθεσε ο Rios.

Ο Boatner Blankestein, ο ανώτερος διευθυντής σε θέματα μηχανικής στην Bogmar, εταιρεία παροχής μέσων για την ασφαλή εξ αποστάσεως διαχείριση συστημάτων, ανέφερε πως η παραβίαση της Target αποκαλύπτει την ανάγκη για την εφαρμογή μέτρων με τα οποία οι εταιρείες θα μπορούν να ελέγχουν τις ενέργειες τρίτων προσώπων πάνω στα δίκτυα τους.

Συχνά, πολλές μεγάλες επιχειρήσεις δίνουν την άδεια σε προμηθευτές software, hardware και σε τρίτα πρόσωπα για την απομακρυσμένη πρόσβαση στο δίκτυο τους. Ωστόσο λίγες από αυτές έχουν μέτρα που να εγγυούνται την ασφάλεια και τη γνησιότητα αυτής της πρόσβασης.

Σύμφωνα με τον Rios, μιλώντας με όρους ασφάλειας, ενώ πολλές εταιρείες θα μπορούσαν τακτικά να έχουν πρόσβαση σε συνεδρίες εξ αποστάσεως, πολύ λίγες μπορούν πράγματι να ελέγξουν αυτή την πρόσβαση.

Ελεύθερη μετάφραση από το computerworld.com

Σχόλια
Αφήστε το σχόλιό σας Κλείσιμο φόρμας