Fandt kodeord til tankstation i online-manual: Kunne selv sætte brændstofprisen

Sikkerhedsforskerne Amihai Neiderman (tv) og Ido Naor fortalte på Security Analyst Summit om, hvordan de fik root-adgang til standerstyringen på en tankstation via forskellige sårbarheder. Illustration: Jakob Møllerhøj
Sikkerhedsforskere opnåede root-adgang til stander-styring på en tankstation.

Det stod sløjt til med sikkerheden i udstyret på en unavngiven tankstation, som Ido Naor fra Kaspersky Lab og den uafhængige sikkerhedsforsker Amihai Neiderman kiggede nærmere på.

Det var således muligt at konfigurere standere og eksempelvis sætte brændstof-prisen som følge af dårlig it-sikkerhed.

Det fortalte de to sikkerhedsfolk på konferencen Security Analyst Summit, som Kaspersky Lab står bag, og som netop har fundet sted i Cancun, Mexico.

»En tankstation med et web-interface, det vakte min interesse,« fortalte Amihai Neiderman under indlægget.

Han havde fået udleveret en ip-adresse af Ido Naor til tankstationen. Tastet ind i en browser førte adressen til en hjemmeside med en login-box.

Amihai Neiderman afprøvede forskellige kombinationer af standard-brugernavne/kodeord, lige som han prøvede at putte tusindvis af tegn i login-felterne for at se, om han kunne få systemet til at crashe. Det gjorde det ikke.

Scanning

Efterfølgende fandt sikkerhedsforskerne via sårbarheds-scanneren Shodan frem til hundredvis af ip-adresser, der også så ud til at have til huse hos tankstationer med den teknik, som var anvendt hos tankstationen med web-interfacet.

Scanningen viste, at der var åben for kommunikation til en del tjenester på ip-adresserne, blandt andet SSH. Der dukkede også et par porte op i scanningen, som sikkerhedsforskerne ikke umiddelbart kunne koble til kendte tjenester.

»Så jeg gik online og læste en masse artikler. Der var ganske omfattende data om tankstationer, som jeg ikke var bekendt med,« fortalte Ido Naor.

Under researchen fandt han frem til et standardkodeord og et brugernavn til login i netop den type tankstation-udstyr, som de to sikkerhedsforskere kiggede på.

Med den viden lykkedes det forskerne at logge ind på en ip-adresse via SSH og standard-loginoplysninger, der ikke var blevet ændret.

Her fandt Amihai Neiderman blandt andet frem til en fil kaldet BOS, som viste sig at køre tankstationens web-interface. Altså skærmbilledet med login-boksen fra før.

»Jeg downloadede alle filer til min computer, så jeg kunne kigge nærmere på dem,« sagde Amihai Neiderman.

Hardcoded kodeord

Han analyserede den binære BOS-fil. Nogen har måske gættet det: i filen lå brugernavn og kodeord hardcoded til tankstationens webserver.

Via oplysningerne kunne Amihai Neiderman nu logge ind på web-interfacet til et management-interface, hvorfra oplysninger om de enkelte standere fremgår.

Eksempelvis hvor meget brændstof, der er blevet tanket fra dem i løbet af dagen, samt prisen for tankningen. Og det var også muligt at ændre brændstof-prisen på standeren.

Sikkerhedsfolkene har testet noget af funktionaliteten efter aftale med en tankstation.

»Grundlæggende kunne man styre hele systemet via dette,« sagde Amihai Neiderman.

Der var dog et problem. Alle ændringer blev gemt ned i en log med ip-adresse og tidspunkt. Så en optankning for 10 kroner ville ikke nødvendigvis gå helt ubemærket hen. Og for at slette loggen, så krævede det root-adgang. Det havde de to forskere ikke.

Forskerne fik imidlertid root-adgang også via et stack-overflow angreb, som systemet viste sig at være sårbart overfor, og som ifølge de to forskere ikke var videre kompliceret at udføre. Og nu var der også adgang til at slette log-filen.

Responsible disclosure

I et efterfølgende interview med Version2 giver Ido Naor udtryk for, at firmaet bag softwaren og tankstations-udstyret har tungt at danse med. I bedste responsible disclosure ånd tog forskerne kontakt til firmaet, som til at starte med svarede på henvendelsen. Men så døde kommunikationen fra firmaet hen.

»Så ringede vi til dem igen, sendte beskeder og mails, de svarede stort set ikke,« fortæller Ido Naor.

Sikkerhedsforskerne kunne blandt andet konstatere, at manualerne med standard-kodeordene stadig lå online.

Noget er der dog sket, siden den første kontakt til selskabet.

Ido Naors vurdererer, at der til at starte med har været flere tusinde tankstationer, som har været sårbare overfor forskernes angrebsteknik Det tal er faldt drastisk.

»En lille procentdel af dem er stadig sårbare, fordi de (firmaet bag, red.) er ved at kommunikere til deres klienter, at de skal patche. I aftes lagde jeg mærke til, at de har fjernet brugermanualerne, hvilket er godt,« siger Naor og tilføjer:

»Så selvom de hader mig i dag, så har de gjort, hvad jeg gerne ville have dem til.«

Version2 var inviteret til Security Analyst Summit af Kaspersky Lab.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize