Hakeri varētu uzspridzināt rūpnīcas, izmantojot viedtālruņu lietotnes

Eni | flickr





Daudzi uzņēmumi ļauj darbiniekiem uzraudzīt un pārvaldīt mašīnas un dažreiz arī veselus rūpnieciskos procesus, izmantojot mobilās lietotnes. Lietojumprogrammas sola efektivitātes pieaugumu, taču tās arī rada kiberuzbrukumu mērķus. Sliktākajā gadījumā hakeri varētu izmantot trūkumus, lai iznīcinātu mašīnas un, iespējams, veselas rūpnīcas.

Divi drošības pētnieki Aleksandrs Boļševs no IOActive un Ivans Juškevičs no Embedi pagājušajā gadā pārbaudīja 34 lietotnes no uzņēmumiem, tostarp Siemens un Schneider Electric. Viņi atrasts kopā 147 drošības robi lietotnēs, kas nejauši izvēlētas no Google Play veikala. Boļševs atteicās minēt, kuri uzņēmumi bija vislielākie pārkāpēji vai atklāj trūkumus konkrētās lietotnēs, taču viņš teica, ka tikai divām no 34 tām tādu nav.

Dažas no pētnieku atklātajām ievainojamībām ļautu hakeriem traucēt datu plūsmu starp lietotni un iekārtu vai procesu, ar kuru tā ir saistīta. Tātad inženieri var pievilt, domājot, ka, teiksim, mašīna darbojas drošā temperatūrā, lai gan patiesībā tā pārkarst. Vēl viens trūkums ļautu uzbrucējiem ievietot ļaunprātīgu kodu mobilajā ierīcē, lai tā izdotu krāpnieciskas komandas serveriem, kas kontrolē daudzas mašīnas. Nav grūti iedomāties, ka tas var izraisīt haosu montāžas līnijā vai sprādzienus naftas pārstrādes rūpnīcā.



Boļševs saka, ka šī lietotņu un rūpniecisko vadības sistēmu kombinācija ir ļoti bīstams un neaizsargāts kokteilis, lai gan viņš uzsver, ka risks būs ļoti atšķirīgs. Dažiem uzņēmumiem var būt vairākas bezatteices sistēmas, kas ierobežo iespējamos bojājumus. Viņi var arī uzstāt, ka inženieri paļaujas uz vairākiem datu avotiem par mašīnu, nevis uz vienu nolasījumu no lietotnes.

Tomēr tas nav pilnīgi pārliecinošs, jo ir pierādījumi, ka hakeri jau ir spējuši izvairīties no plašākas aizsardzības iespējām ap ražošanas iekārtām (skatiet sadaļu Jauns rūpnieciskais uzlauzts izceļ mūsu infrastruktūras kibercaurules). Un riski attiecas arī uz citām jomām; elektrostacijas un transporta sistēmas arī tiek pieslēgtas internetam. Arī šeit mobilās lietotnes var izrādīties vājās vietas.

Pētnieki saka, ka viņi nav pētījuši, vai kāds no trūkumiem patiešām ir izmantots. Pirms atklājumu publicēšanas viņi sazinājās ar uzņēmumiem, kuru lietotnēs bija trūkumi. Daži jau ir salabojuši caurumus; daudziem vēl ir jāatbild.



Beau Woods, Atlantic Council kiberdrošības inovāciju līdzstrādnieks, saka, ka uzņēmumiem ir dilemma. Pēdējā lieta, ko vēlaties ārkārtas situācijā, viņš saka, ir, lai operatori tiktu izslēgti no kritiskās sistēmas, tāpēc tie ir izstrādāti tā, lai tie būtu pieejami vairākos veidos, piemēram, izmantojot mobilās lietotnes. Taču šīs savienojamības pievienošana palielina arī slikto puišu iedarbību.

paslēpties