Aktualizované: Výskumníci odhalili nespočetné množstvo chýb zero-day, ktoré možno použiť na zabitie našich kritických mestských systémov.
IBM objavilo 17 zero-day zraniteľností v systémoch inteligentných miest, ktoré by mohli oslabiť základné služby.
Bezpečnosť
- 8 návykov vysoko bezpečných vzdialených pracovníkov
- Ako nájsť a odstrániť spyware z telefónu
- Najlepšie služby VPN: Ako sa porovnáva 5 najlepších?
- Ako zistiť, či ste zapojený do porušenia ochrany údajov - a čo robiť ďalej
Na konferencii Black Hat v Las Vegas v pondelok tím spoločnosti X-Force Red pre kybernetickú bezpečnosť testeri a hackeri ukázali, ako hrozby zo starej školy ohrozujú mestá budúcnosti súčasnosť.
Predpokladá sa, že výdavky na technológie inteligentných miest tento rok dosiahnu 80 miliárd USD a do roku 2021 vzrastú až na 135 miliárd USD. Vodné a filtračné systémy, inteligentné osvetlenie, dopravné kontroléry, inžinierske siete a ďalšie prepletené v inteligentných mestách, ktorých cieľom je, aby bol život v mestách energeticky efektívnejší, šetrnejší k životnému prostrediu a zvládnuteľné.
Spojenie všetkých týchto kritických prvkov však môže mať zničujúce účinky, ak by sa niečo pokazilo – ako napríklad úspešný kybernetický útok.
Už sme videli, aké škody môžu byť spôsobené, keď sa aktéri hrozieb zameriavajú na hlavné systémy krajín, ako napr prípad ukrajinskej elektrickej sietea pokiaľ sa nebude brať do úvahy bezpečnosť na každom kroku, každé budúce mesto bude vystavené podobnej úrovni rizika.
Preskúmajte inteligentné mesto Fujisawa od spoločnosti Panasonic
Spolu s výskumníkmi z Threatcare, Objavila sa IBM X-Force Red že systémy inteligentných miest vyvinuté spoločnosťami Libelium, Echelon a Battelle boli zraniteľné voči útoku.
Libelium je výrobca hardvéru bezdrôtových senzorových sietí, zatiaľ čo Echelon sa špecializuje na priemyselný internet vecí a nezisková Battelle vyvíja a komercializuje súvisiace technológie.
Podľa výskumníka IBM X-Force Red Daniela Crowleyho zo 17 predtým neznámych zraniteľností objavených v systémoch používaných v štyroch inteligentných mestách je osem považovaných za kritických z hľadiska závažnosti.
Bohužiaľ, veľa chýb bolo spôsobených zlými, laxnými bezpečnostnými postupmi - ako napríklad používanie predvolených hesiel, obchádzanie autentifikácie a injekcie SQL.
Pozri tiež: Súd nariadil komunitnú službu pre prevádzkovateľov ransomvéru CoinVault
Celkovo výskumníci odhalili štyri prípady kritických nedostatkov predautentizačného vstrekovania v bezdrôtovej senzorovej sieti Libelium, Meshlium.
TechRepublic: Inteligentné mestá: Cheat sheet
Okrem toho Echelon i. 100 LON/i. LON SmartServer a i. SmartServery LON 600, ktoré sa používajú na úsporu energie, obsahovali dve kritické chyby autentifikácie, problémy s nešifrovanou komunikáciou, používali sa predvolené prihlasovacie údaje a odhalili sa heslá v obyčajnom texte.
Pokiaľ ide o Battelle, neziskový V2I (Vehicle-to-Infrastructure) Hub, verzia 2.5.1, tiež chýbal, pokiaľ ide o primerané zabezpečenie.
Najhoršou zistenou zraniteľnosťou bol pevne zakódovaný administrátorský účet, po ktorom nasledoval povolený prístup k citlivým osobám funkčnosť bez autentifikácie, predvolené API kľúče a overenie bypass, SQL injekcie bezpečnostné chyby a odráža Problémy XSS.
CNET: Sprievodca Smart City
Po zhromaždení chýb, ktoré boli okamžite zrejmé v rôznych systémoch inteligentných miest, tím zistil že desiatky – av niektorých prípadoch stovky – zariadení dodávateľov boli vystavené vzdialenému prístupu online.
„Keď sme našli odhalené zariadenie, pomocou niektorých štandardných internetových vyhľadávaní sme v niektorých dokázali určiť inštancie, kto si zariadenia zakúpil, a čo je najdôležitejšie, na čo zariadenia používajú,“ vedci pridané.
Zistenia boli oznámené spoločnostiam Libelium, Echelon a Battelle. IBM tvrdí, že všetky tri boli „responzívne“ a boli vydané bezpečnostné záplaty na vyriešenie týchto nedostatkov.
Aktualizácia 16.06 BST: Hovorca Libélia pre ZDNet povedal:
„Pred niekoľkými týždňami spoločnosť IBM informovala spoločnosť Libelium o niektorých webových zraniteľnostiach, ktoré sa našli v systéme Meshlium Manager. Keďže Libelium považuje bezpečnosť za základný a základný kľúčový prvok všetkých svojich rozvojových projektov, okamžite sa prijali nové opatrenia.
V reakcii na záväzok spoločnosti Libelium k bezpečnosti zariadení internetu vecí podnikla spoločnosť okamžite opatrenia a všetky zraniteľné miesta zistené boli automaticky doplnené o novú verziu softvéru vydanú 1. augusta, ktorá je pripravená na stiahnutie zo Správcu Systém.
Libelium skutočne oceňuje prácu IBM pri zisťovaní, ako aj ich zodpovednú komunikáciu o tomto objave."
Základný sprievodca ponorením sa do temného webu
Predchádzajúce a súvisiace pokrytie
- Univerzita Yale odhalila únik údajov zo starej školy
- Clarkson hovorí, že za porušenie údajov je zodpovedný jediný používateľský účet
- HP vám dá 10 000 dolárov na hacknutie vašej tlačiarne