Atrodo, nėra tokių išmaniųjų įrenginių, kurie nebūtų nors kartą nulaužti. Ir aptinkama vis naujų, kuriuos, pasirodo, irgi galima nulaužti. Beveik per kiekvieną „Black Hat“ konferenciją pranešėjai pasakoja neįtikėtinas istorijas apie nulaužtus įrenginius. „Kaspersky Lab“ ekspertai atskleis įdomiausius įvykius.
Pabandykite atspėti, kas šį kartą buvo nulaužta. Kokia nors naujausia lengvojo kultūrizmo apyrankė arba kažkas neįprasto kaip išmanieji „Google Glass“ akiniai? Tai pirmiausia ateina į galvą, bet ne.
Greičiausiai niekada neatspėtumėte, bet pranešimo pavadinimas viską išduoda. Ekspertai Bilis Rajosas (Billy Rios) ir Džonatanas Batsas (Jonathan Butts) nustatė, kad automobilių plovyklas irgi galima nulaužti. Taip, skamba nelabai patraukliai, bet į tai galima žvelgti kitaip: ekspertai taip pat pranešė, kad jiems pavyko aptikti pirmąjį eksploitą, kuris gali fiziškai pakenkti žmogui. Rajosas ir Batsas automobilių plovyklą „PDQ LaserWash“ pradėjo tirti, kai išgirdo apie atvejus, kai neteisingai suderintas mechanizmas smogė per automobilį ir aplaistė viduje esančius žmones.
Kam automobilių plovykloms, kaip ir daugeliui kitų objektų, reikia interneto prieigos? Atsakymo į šį klausimą iš karto nesugalvosi, tačiau „PDQ LaserWash“ automobilių plovykla turi interneto prieigą. Ir, žinoma, pagal geriausias išmaniųjų įrenginių tradicijas plovykloje buvo nustatytas numatytasis slaptažodis, kurį parinkti buvo visiškai nesunku.
Į sistemą įėję ekspertai aptiko valdymo skyrius, leidžiančius atidaryti ir uždaryti plovyklos vartus, aktyvinti vandens purškimą ir atjungti infraraudonuosius daviklius. Iš pirmo žvilgsnio visa tai atrodo nekaltai, bet ekspertai parodė vaizdo įrašą, kaip jiems pavyko vartais prispausti automobilį, o tai galėtų jį sugadinti ir sužeisti jame esančius žmones. Vyšnia ant torto – galimybė elektroniniu paštu išsiųsti pranešimą su incidento aprašymu ir jį paskelbti feisbuke.
Dar galima suprasti elektroninių pranešimų siuntimo funkcijos būtinybę – tarkim, ji gali padėti mechanikams stebėti iškilusias problemas ir gauti duomenis plovyklos darbui. Tačiau ekspertai iki šiol negali suprasti, kam automobilių plovyklai galimybė įrašus skelbti feisbuke.
Ekspertai „PDQ LaserWash“ plovyklos gamintojui pranešė apie silpną vietą, bet jis taip ir nesukūrė priemonės pažeidžiamumui pašalinti (remiantis „Black Hat“ konferencijos duomenimis).
Rajoso ir Batso atliktas tyrimas dar kartą patvirtina būtinybę keisti nustatytą kiekvieno įrenginio slaptažodį ir primena, kad visada reikia du kartus pagalvoti prieš suteikiant įrenginiui interneto prieigą. Ir nors tai buvo iš esmės nekaltos sistemos tyrimas, vis dėlto automobilių plovykla – tai automatizuota technologinių procesų valdymo sistema, o dėl jos gedimų gali nukentėti nekalti žmonės.