Интернет вещей разрастается, взломами смартфонов, носимых устройств или даже автомобилей уже никого не удивить. Но всё новые и новые устройства добавляются к сети, и подключение новых устройств, как это обычно бывает, приводит к обнаружению новых уязвимостей. Например, сейчас можно взломать ветровую турбину.
Оказывается, некоторые производители ветряков предлагают их автоматическое подключение к интернету и веб-интерфейс для управления ветряками и мониторинга их работы. Однако не все покупатели даже знают о существовании этих интерфейсов, не говоря уже о том, чтобы обеспечить безопасность доступа или хотя бы поменять пароль по-умолчанию.
17 марта Компьютерная группа реагирования на чрезвычайные ситуации (подразделение Министерства внутренней безопасности США) опубликовало отчёт по обнаруженной группой уязвимости ветряков XZERES 442SR. Эти ветряки предоставляют веб-интерфейс для доступа к системе. Выявленная уязвимость встроенного сервера позволяет получить пароль. В конечном итоге злоумышленник может даже обесточить систему.
Конечно, группа призвала владельцев ветряков пропатчить систему – но кто из них узнает об этом или сможет это сделать самостоятельно? Тем временем веб-интерфейсы этих ветряков можно обнаружить с лёгкостью.
Достаточно обратиться к любимой фанатами информационной безопасности поисковой системе Shodan. Поиск слова «XZERES» в данный момент выдаёт 78 результатов. Пройдя по найденным ссылкам обычным браузером, можно попасть в веб-интерфейс ветряка и понаблюдать за показателями его работы.
Будущее неотвратимо наступает, поэтому пользователям «умных» устройств необходимо не только научиться их включать, но и привыкнуть к основам безопасности при их использовании.
Автор: SLY_G