Эксперты считают, что взломать доступ в здание, напичканное электроникой, сейчас чрезвычайно просто.
В 2013 году корпорация Google подверглась необычному компьютерному взлому.
Необычность состоит в том, что взломан был не поисковый сайт корпорации, не ее рекламная платформа, и даже не ее социальная сеть Google+. Взломано было одно из зданий, принадлежащих Google.
Два эксперта в области кибербезопасности сумели проникнуть в компьютерную систему, управляющую зданием Wharf 7 в австралийском Сиднее.
Один из них, Билли Риос, рассказывает, что ему удалось обнаружить уязвимости в поисковике Shodan, составляющем перечень всех устройств, подключенных к интернету. Затем он проанализировал данные с помощью собственной программы, чтобы установить, кому принадлежит здание.
В данном случае эксперты, найдя хозяина офиса, сразу сообщили Google о факте взлома и о найденных ими уязвимых местах в компьютерной системе управления зданием.
Как рассказывает Риос, который владеет компанией Whitescope, в мире в настоящее время имеется около 50 тысяч зданий, подключенных к интернету, в том числе – научные центры, церкви и больницы. Две тысячи компьютерных систем этих зданий не защищены даже паролем.
“Речь идет о двух тысячах зданий, в которых вы можете легко получить доступ, например, к системам контроля температуры, а потенциально – и к системам дверных замков”, – рассказывает Риос.
Такие компьютеризированные здания обычно имеют подсистемы, которые контролируют отопление, освещение и видеонаблюдение. Они передают соответствующие данные по корпоративной сети через интернет.
Эндрю Келли, главный консультант оборонной компании QinetiQ, указывает, что такие системы являются весьма эффективными в снижении расходов на эксплуатацию здания.
“Только на сокращении затрат на обогрев помещения можно снизить расходы на 20-50%”, – говорит он.
Но такие системы делают здания и более уязвимыми. Имеются различные сценарии возможного развития событий в случае взлома систем управления.
Можно представить себе, что случится с обитателями дома престарелых, если злоумышленники зимой выведут из строя систему отопления.
Или же представьте себе положение в больнице, где хакеры взламывают систему освещения.
Еще проще вообразить грабителей, отключающих систему видеонаблюдения в доме, который они решили ограбить.
В 2013 году министерство внутренней безопасности США сообщило, что хакеры получили доступ к системе управления отоплением в одном из его зданий, и в буквальном смысле дали жару его сотрудникам, повысив температуру воздуха в офисе.
А в 2014 году консультант в сфере компьютерной безопасности Хесус Молина сообщил на профильной конференции о том, что он сумел получить доступ к компьютерным системам в 200 номерах одной из гостиниц города Шэньжэнь в Китае.
Хакерская атака на известную сеть американских магазинов Target, в результате которой были похищены данные о кредитных картах миллионов пользователей, стала возможной благодаря уязвимости ее систем управления отоплением и вентиляцией.
В начале этого года взлому подверглась система управления электростанцией на Украине, когда почти 80 тысяч человек остались без электричества.
Правда, в данном случае взлом был произведен методом “фишинга”, то есть обмана человека, имевшего доступ в систему и открывшего на своем компьютере зараженное вредоносной программой электронное сообщение.
“Мы знаем о случаях взлома компьютеров злоумышленниками, которые кодируют доступ к ним и требуют от компаний выкупа для предоставление кода доступа. Очень просто представить себе подобную атаку на систему управления зданием, когда завод или больница становятся неуправляемыми, а хакеры требуют выкупа”, – говорит Эндрю Келли.
Недавно Келли провел обследование ряда компьютеризированных зданий самого разного размера – от небольших контор до гигантских комплексов, где работают тысячи людей.
“Во всех случаях, без всякого исключения, системы управления этими зданиями были спроектированы без учета соображений безопасности. Мы видели системы, в который использовался пароль по умолчанию, который очень просто взломать”, – утверждает он. Келли рекомендует отказаться от использования корпоративных сетей такими системами, поскольку обеспечить надежность кода в таких системах практически невозможно.
Обман на стадионе
В случае взлома здания, принадлежащего корпорации Google, эксперимент, проведенный экспертами, показал, что даже самые продвинутые в техническом смысле компьютерные компании могут легко стать жертвами уязвимости систем, управляющих зданиями.
Билли Риос в своем докладе приводит пример футбольного стадиона в штате Алабама, который имеет совершенно незащищенную систему управления, позволяющую злоумышленникам не только управлять освещением стадиона, но даже изменять показания информационного табло.
“Вообразите, что произойдет, если какой-нибудь болельщик сможет, сидя у себя дома на диване, менять счет матча на таком табло”, – замечает он.