Автоматизовані датчики резервуарів (ATG) на АЗС відстежують кількість палива, вичерпання, але ці прилади також попереджають вас про будь-які порушення. Ці пристрої можна знайти майже на кожній зарядній станції в США, а також на десятках тисяч міжнародних свердловин.
ATG зазвичай можна управляти за допомогою вбудованого або адаптованого послідовного порту, факсу або модему, або за допомогою схеми TCP/IP. Типовим є дистанційне управління, де все менше виходить “додому”. Якщо, навпаки, віддалений доступ, чому б не поговорити з контейнером, який не зашифрований на TCP-порту 10001? Ну, це можливо!
Рекламуйте
Згідно з дослідженням Rapid7 від 10 січня, він отримав діагностичні дані приблизно з трьох відсотків АЗС, або 5300 пунктів, без необхідності ідентифікувати себе. За даними Американського бюро статистики, у Сполучених Штатах є 112 000 заправних станцій, але це показник 2012 року, на думку експертів, ми можемо розраховувати на приблизно 150 000 в 2015 році.
Використовуючи інфраструктуру Project Sonar, Rapid7 відсканував весь адресний простір IPv4 (зокрема 6,5 мільйона IP-адрес), якщо виявив, що порт 10001 відкритий, вимагаючи інформації. відповідь включала назву та адресу АЗС, кількість баків, рівень палива та тип палива. Для використання інтерфейсу TCP/IP не потрібні спеціальні інструменти.
Рішення від Veeder-Root, одного з найбільших виробників ATG
Три відсотки, здається, не надто багато, 5800 зарядних станцій тим паче. Але до чого звертається хакер, якщо він уже має доступ до діагностики паливного бака? Зловмисник має можливість скинути схеми сигналізації, перезапустити систему і по суті запобігти використанню певного контейнера. І бак, що працює з помилковими сигналами тривоги та помилковими даними, зрештою не доставить більше пального до ремонту.
Люди Rapid7 не знають, що вразливість було зловживано публічно, хоча вони додають, дуже важко вирішити, чи є цей тип атаки несправністю чи вторгненням.
Звичайно, рішенням може бути зашифрування VPN або зв’язок між інсталятором та ATG. Це може бути тимчасовим рішенням, якщо доступ до пристрою можна отримати лише з певних IP-адрес, або також може допомогти надання пароля для зв’язку через певний порт.
Навколо нас дедалі більше пристроїв, які підключаються до Інтернету та спілкуються з іншими машинами, але не всі звертають увагу на безпеку. Цей тест досліджував лише датчики на певному порту, а не на резервуарах, не підключених безпосередньо до Інтернету. Тож, безумовно, більше 5800 даних ATG можна обдурити з відносною легкістю.
Історія
MegaChat - Dotcom втомився не бути в безпеці
Засновник MegaUpload піде проти Skype із послугою, яка пропонує зв'язок через зашифрований канал. Вам не потрібно завантажувати або встановлювати, програма запускається з браузера.
Отже, який минулого року був найпоширенішим паролем?
Цьогорічний список ледь приніс нічого нового: поєднання, які існують роками, як і раніше залишаються на передньому краї.
Великі також потрапляють у проблеми, використовуючи TLS
Жоден з 8 основних інтернет-магазинів США не отримав хорошого рейтингу під час перевірки безпечного з'єднання. Навіть MIT провалив тест.
Блог кафе 19.01.2015 4
Оновлено: застарілий час може призвести до втрати
Вразливість виявлена в Network Time Protocol. Щоб скористатися цим, не потрібно бути розумним, вмілим чи освіченим. Ще одна щілина в щиті.
Хвилина за хвилиною
ph Наприкінці цього року не лише ми сформували думку незвично.
сьогодні у нас був безглуздий рік, з якого мобільний ринок прекрасно просунувся, навіть якщо було деяке зменшення кількості штук. І тому сталося кілька речей.
ph Прийшло третє покоління настільної версії AMD Ryzen, яка може вигнати останню частину Intel.
сьогодні Знову десяток моделей з Kirin 710, без Google, але з занадто великою кількістю камер. Це ніби є обов’язковим подавати що-небудь протягом даної одиниці часу. Навіть якщо у вас повно горище.
gp У наступному році буде багато нових ігор та продовжень для консолей, мобільних телефонів і, звичайно, ПК.