Сообщить об ошибке на сайте
URL
Ошибка
Тренды

Городские сервисы все больше переходят на умные системы, внедряют автоматизацию. Датчики следят за погодой, трафиком, уличным освещением и радиацией в городе. Но по данным исследования IBM Security и Threatcare, компании-гиганты на рынке умных городов продают системы с уязвимостями. Злоумышленники могут завладеть контролем над датчиками и информацией и вызвать неразбериху и даже катастрофу. «Хайтек» перевел и адаптировал статью WIRED об уязвимостях современных датчиков и опасностях полной автоматизации городских систем.

Датчики, которые контролируют все

Кажется, что каждое потребительское умное устройство, от роутеров и детских мониторов до подключенных к сети термостатов и открывателей гаражных ворот, как это уже было продемонстрировано неоднократно, имеют уязвимости. Но аналогичный кризис безопасности разыгрывается в макромасштабе: работа муниципалитетов и датчики общественной безопасности становятся объектами манипуляций. Из-за технологических сбоев, вызванных злоумышленниками, нарушается работа светофоров, датчиков радиации или даже происходят катастрофы, например, внезапный сброс воды из плотины из-за данных о повышенном уровне загрязнения.

Исследователи из IBM Security и компании по безопасности данных Threatcare изучили хабы для датчиков от трех компаний — Libelium, Echelon и Battelle, которые продают системы, поддерживающие умные городские схемы. В 2018 году расходы на умные системы для городской среды во всем мире достигнут примерно $81 млрд, и эти три компании имеют разные сферы влияния. Например, Echelon является одним из ведущих поставщиков умного уличного освещения в мире.

По сути, все системы, проанализированные исследователями, аналогичны. Путем установки датчиков и интеграции их данных муниципалитет получает более тонкое представление о решении взаимосвязанных проблем. Датчики контролируют следующие характеристики: погоду, качество воздуха, уровень трафика, радиацию и уровень воды. Они используются для автоматического информирования основных служб, управляющих трафиком и уличными фонарями, системами безопасности и аварийным оповещением.

Накануне катастрофы

Сбои, связанные с вредоносным вмешательством, уже происходят. Взлом местной системы оповещения в январе 2018 года привел к тому, что гавайцев по всем каналам связи оповестили об угрозе удара баллистической ракеты. А в прошлом году неизвестные взломали оповещающие о торнадо системы в Далласе. Подобные инциденты вдохновили Даниэля Кроули из IBM X-Force Red и Дженнифер Сэвидж из Threatcare исследовать в первую очередь именно системы оповещения. И то, что они обнаружили, встревожило их. Только по результатам первоначального опроса исследователи обнаружили в общей сложности 17 новых уязвимостей в продуктах трех компаний, включая восемь критических недостатков.

«Причина, по которой мы хотели сосредоточиться на сетевых хабах, — рассказывает Кроули, — заключалась в том, что контроль над центром управления дает возможность манипулировать огромным количеством информации, которая через них проходит. Похоже, что эта огромная область уязвима».

Исследователи обнаружили основные уязвимости: допустимые пароли по умолчанию, позволяющие злоумышленнику получить доступ к устройству, а также ошибки, с помощью которых преступник вводит вредоносные программные команды. Есть и лазейки, что позволят обойти проверку подлинности.


Даниэль Кроули
IBM X-Force Red

«Ставки высоки, — когда мы говорим о том, чтобы поставить компьютеры повсеместно и предоставить им важные рабочие места, связанные с общественной безопасностью и управлением промышленными системами. Когда они потерпят неудачу, это нанесет ущерб и жизни, и материальному миру. Если мы не примем надлежащие меры по безопасности и конфиденциальности, могут произойти ужасные вещи, особенно если ресурсами завладеют злоумышленники».


Многие схемы умного города также используют открытый интернет вместо внутренней сети для подключения датчиков или передачи данных в облако. Потенциально кто угодно может найти эти устройства в публичной сети. Простые проверки сканеров IoT, таких как Shodan и Censys, показали тысячи уязвимостей умных городских продуктов, уже введенных в эксплуатацию.

Нельзя просто обновить ПО умного города

Исследователи связались с должностными лицами из крупного американского города, когда обнаружили, что те используют уязвимые устройства для мониторинга трафика, а также нашли европейскую страну с уязвимыми радиационными датчиками.


Дженнифер Сэвидж
Threatcare

«Я живу в городе, который внедряет умные городские устройства. Когда мы покупаем дом, то можем отказаться от устройств IoT, можем купить простой телевизор, а не с поддержкой Smart TV. Но я не могу контролировать уличные фонари с камерами прямо у моего дома и не управляю транспортным узлом, который мой город использует. Тяжело осознавать, что город принимает такие решения за меня».


Три компании готовы исправить все 17 обнаруженных ошибок. В Echelon, чьи умные городские предложения включают не только освещение, но и автоматизацию зданий и транспорта, заявили, что для решения своих проблем они сотрудничали с IBM.

«Echelon подтвердил свою уязвимость, разработал решения по смягчению последствий, уведомил клиентов и проинформировал DHS ICS-CERT (Department of Homeland Security, Industrial Control Systems Cyber Emergency Response Team — группа срочного киберреагирования индустриальных систем управления из Управления внутренней безопасности, — „Хайтек“)», — рассказал представитель компании Томас Кук, ссылаясь на DHS ICS-CERT, отслеживающую уязвимости.

Пресс-секретарь Battelle Кэти Делани отметила, что группа является некоммерческой организацией по разработке технологии. А обнаруженная IBM уязвимость связана с совместным с администрацией федеральных дорог проектом, который еще не был развернут.

«Мы высоко ценим, что IBM тратит свои ресурсы для поиска этих потенциальных проблем безопасности, — заявила Делани. — Нам нужна обратная связь, мы ценим тщательность исследований, улучшение технологий и помощь извне».

Libelium, испанская компания с большими планами в рамках развития умных городов, заявила, что несколько недель назад она была проинформирована IBM о некоторых уязвимостях в интернете, которые были обнаружены в Meshlium Manager System. Компания приняла меры мгновенно и все обнаруженные уязвимости были автоматически исправлены с новой версией программного обеспечения, выпущенной 1 августа, которая готова к загрузке из системы диспетчера.

Хотя исправление всех недостатков является решающим шагом, исследователи отмечают важность повышения осведомленности об этих проблемах, чтобы убедиться, что муниципалитеты уделяют им приоритетное внимание. Хотя порой это бывает не так. Умные городские узлы, которые изучали исследователи, не имеют возможности автоматического обновления, зато — с общей настройкой на промышленных устройствах управления. А обновления с исправленными уязвимостями могут и вовсе дестабилизировать жизненно важную инфраструктуру. Но, по сути, недостатком является то, что каждый объект, использующий эти продукты, должен активно применять патчи, или введенные в эксплуатацию устройства останутся уязвимыми.

Исследователи подчеркивают, что у них нет доказательств того, что какие-либо недостатки действительно используются злоумышленниками. Но они выяснили, что кто-то опубликовал эксплойт (фрагмент программного кода, использующий уязвимости в ПО и применяемый для проведения атаки на систему — «Хайтек») для одного из хакерских форумов в августе 2015 года.

«Далеко не все хакеры имеют „кодекс чести“, люди веками пользовались человеческими слабостями, и их мало что останавливало, — уверен Сэвидж. — Это то, что такие негодяи и искали».

Взлом промышленного контроля в последнее время стал основным направлением национальных нападений. Например, в России, имеющей наиболее печальную славу в этой отрасли. Российские хакеры, финансируемые государством, исследовали инфраструктуру сети и выборов в США, внесли хаос за границей, вызвав два отключения электроэнергии на Украине, подвергли риску платежные системы в стране с помощью рекламных кампаний. Поскольку риск растет во всем мире, официальные лица США все чаще признают уязвимость инфраструктуры США, и такие агентства, как Управление внутренней безопасности, пытаются внедрить системные гарантии.

Города будут продолжать инвестировать средства в умные технологии. Надеемся, что они поймут, что большее количество данных будет означать больший процент возможных рисков, что эти слабые места не всегда легко исправить.

Загрузка...
Подписывайтесь на наши каналы в Telegram

«Хайтек» - новости онлайн по мере их появления

«Хайтек» Daily - подборки новостей 3 раза в день

Big data на страже здоровья: как и зачем медицинские организации собирают и хранят данные
Тренды
Николь Миллс, Booking.com — об инновациях, agile-подходе и индустрии впечатлений
Кейсы
Слишком опасный нанопластик: как одноразовые пакеты превращаются в частицы-убийцы
Тренды
Здесь может быть ваша реклама: НАСА планирует заработать на космосе миллионы
Тренды
Идеи
Человек и квантовая теория: существует ли то, что мы не наблюдаем
Опасный криптотрейдинг: как киберпреступники угрожают виртуальным сбережениям и биржам
Тренды
Как через 20 лет будет выглядеть армия будущего
Тренды
5 финансовых инструментов, которые помогут инвесторам даже после падения криптовалюты
Тренды
Александр Лямин, Qrator Labs: наша задача — выработать у людей цифровую гигиену, чтобы они «не ели с помойки»
Кейсы
Эдуард Фош Вильяронга: люди видят в роботе только внешность, забывая, что он следит за ними
Тренды
Доктор Куэй Во-Райнард, HIT Foundation: если страна требует суверенитета данных, мы построим для нее отдельный блокчейн
Кейсы
Идеи
«Хакинтош»: как собрать свой собственный Mac лучше, чем у Apple
Роботы против мигрантов: какой вклад в ксенофобию и расизм делают технологии ИИ
Тренды
Война скриптов — искусственный интеллект против навязчивой рекламы
Тренды
Как заново изобрести супермаркет: осознанность потребления, этика производства и роботы
Тренды
Каждый человек станет сам себе банком: цифровой мир отказывается от посредников между бизнесом и клиентом
Тренды
Архитектор вычислительной инфраструктуры «Платона» Александр Варламов — о будущем ИТ-индустрии в России, стартапах и разработке
Кейсы
Дмитрий Богданов, капитан сборной России по CS:GO — о стиле жизни киберспортсмена, тренировках и блокировках РКН
Тренды
Идеи
Космос — наш дом: что осталось решить ученым, чтобы поселить человека за пределами Земли
Прайсинг, трекинг, скоринг, биллинг и другие технологии, которые двигают российский бизнес
Тренды
«Педиатр 24/7»: как телемед-стартап подарил родителям спокойствие, а врачам — работу
Кейсы
Вас снова обманули: как человечество учит компьютеры определять фейки в интернете
Тренды
БиСи Бирман, Heavy Projects: ИИ должен иметь несовершенства — это элемент случая
Мнения
Артем Геллер, lab.ag: делая сервис для государства, ты помогаешь своей бабушке
Мнения
Акселераторы и инкубаторы: что выбрать стартапу на раннем этапе развития
Мнения
Вопрос доверия: как и почему изменилось отношение к телемедицине в России
Тренды
Правительственные криптопесочницы: как освободить финтех от давления закона и защитить потребителей
Тренды
Кейсы
Роман Нестер, Segmento: я верю корпорациям больше, чем маленьким компаниям
Суперагенты в недвижимости: как блокчейн и большие данные заменяют риелторов
Тренды
СМИ будущего: вертикальные видео, новости по запросу и смерть сайтов
Тренды
Тренды
Колонизация отменяется: почему терраформирование невозможно на Марсе
Сет Стивенс-Давидовиц: у людей гораздо больше непристойных и скверных мыслей, чем мы думали
Мнения
Геронтолог Обри ди Грей: жизнь длиной в тысячу лет — это побочный эффект поиска вечного здоровья
Мнения
Биоценоз в фарме: зачем нужна альтернатива антибиотикам и как работают лекарства нового поколения
Тренды
Чарльз Адлер, co-founder Kickstarter: я — панк-рокер, который раздвигает границы
Кейсы
Как ИИ меняет медицину: личный помощник для врачей, маршрутизатор в клиниках и разработчик лекарств
Кейсы
Эдвин Диндер, Huawei Technologies: умный город — это ничто
Мнения
«Если изобретение с ИИ не приносит пользу, сам продукт никому не нужен»
Мнения
Feature engineering: шесть шагов для создания успешной модели машинного обучения
Тренды
Мнения
Человек — это набор из пяти чисел: Игорь Волжанин, DataSine — о психотипировании с помощью big data
Карло Ратти, Senseable City Laboratory (MIT) — о городах будущего, третьей коже человека и роболодках
Тренды
Мы все — сенсоры: CEO SQream Ами Галь — о том, как обрабатывают big data
Кейсы
Что такое скрапинг: как Amazon, Walmart и другие ритейлеры используют ботов в борьбе с конкурентами
Идеи
Почему китайские подлодки-беспилотники станут самым опасным врагом под водой?
Идеи
Филипп Роуд, LSE Cities: самый кошмарный сценарий — беспилотники, ездящие по городу, чтобы не платить за парковку
Мнения
Юрий Корженевский — о том, как построить безопасные системы для банков на блокчейне
Блокчейн
Иннополис
Russian Robot Olympiad: как дети строят роботов и решают реальные инженерные проблемы
MyGenetics: ДНК-тесты, помогающие «взломать» организм, как компьютер
Тренды
Trade-to-Mine: как биржи привлекают трейдеров в условиях падения рынка
Блокчейн