Fandt kodeord til tankstation i online-manual: Kunne selv sætte brændstofprisen

19. marts 2018 kl. 05:122
Fandt kodeord til tankstation i online-manual: Kunne selv sætte brændstofprisen
Illustration: Jakob Møllerhøj.
Sikkerhedsforskere opnåede root-adgang til stander-styring på en tankstation.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Det stod sløjt til med sikkerheden i udstyret på en unavngiven tankstation, som Ido Naor fra Kaspersky Lab og den uafhængige sikkerhedsforsker Amihai Neiderman kiggede nærmere på.

Det var således muligt at konfigurere standere og eksempelvis sætte brændstof-prisen som følge af dårlig it-sikkerhed.

Det fortalte de to sikkerhedsfolk på konferencen Security Analyst Summit, som Kaspersky Lab står bag, og som netop har fundet sted i Cancun, Mexico.

»En tankstation med et web-interface, det vakte min interesse,« fortalte Amihai Neiderman under indlægget.

Artiklen fortsætter efter annoncen

Han havde fået udleveret en ip-adresse af Ido Naor til tankstationen. Tastet ind i en browser førte adressen til en hjemmeside med en login-box.

Amihai Neiderman afprøvede forskellige kombinationer af standard-brugernavne/kodeord, lige som han prøvede at putte tusindvis af tegn i login-felterne for at se, om han kunne få systemet til at crashe. Det gjorde det ikke.

Scanning

Efterfølgende fandt sikkerhedsforskerne via sårbarheds-scanneren Shodan frem til hundredvis af ip-adresser, der også så ud til at have til huse hos tankstationer med den teknik, som var anvendt hos tankstationen med web-interfacet.

Scanningen viste, at der var åben for kommunikation til en del tjenester på ip-adresserne, blandt andet SSH. Der dukkede også et par porte op i scanningen, som sikkerhedsforskerne ikke umiddelbart kunne koble til kendte tjenester.

Artiklen fortsætter efter annoncen

»Så jeg gik online og læste en masse artikler. Der var ganske omfattende data om tankstationer, som jeg ikke var bekendt med,« fortalte Ido Naor.

Under researchen fandt han frem til et standardkodeord og et brugernavn til login i netop den type tankstation-udstyr, som de to sikkerhedsforskere kiggede på.

Med den viden lykkedes det forskerne at logge ind på en ip-adresse via SSH og standard-loginoplysninger, der ikke var blevet ændret.

Her fandt Amihai Neiderman blandt andet frem til en fil kaldet BOS, som viste sig at køre tankstationens web-interface. Altså skærmbilledet med login-boksen fra før.

Artiklen fortsætter efter annoncen

»Jeg downloadede alle filer til min computer, så jeg kunne kigge nærmere på dem,« sagde Amihai Neiderman.

Hardcoded kodeord

Han analyserede den binære BOS-fil. Nogen har måske gættet det: i filen lå brugernavn og kodeord hardcoded til tankstationens webserver.

Via oplysningerne kunne Amihai Neiderman nu logge ind på web-interfacet til et management-interface, hvorfra oplysninger om de enkelte standere fremgår.

Eksempelvis hvor meget brændstof, der er blevet tanket fra dem i løbet af dagen, samt prisen for tankningen. Og det var også muligt at ændre brændstof-prisen på standeren.

Sikkerhedsfolkene har testet noget af funktionaliteten efter aftale med en tankstation.

»Grundlæggende kunne man styre hele systemet via dette,« sagde Amihai Neiderman.

Der var dog et problem. Alle ændringer blev gemt ned i en log med ip-adresse og tidspunkt. Så en optankning for 10 kroner ville ikke nødvendigvis gå helt ubemærket hen. Og for at slette loggen, så krævede det root-adgang. Det havde de to forskere ikke.

Forskerne fik imidlertid root-adgang også via et stack-overflow angreb, som systemet viste sig at være sårbart overfor, og som ifølge de to forskere ikke var videre kompliceret at udføre. Og nu var der også adgang til at slette log-filen.

Responsible disclosure

I et efterfølgende interview med Version2 giver Ido Naor udtryk for, at firmaet bag softwaren og tankstations-udstyret har tungt at danse med. I bedste responsible disclosure ånd tog forskerne kontakt til firmaet, som til at starte med svarede på henvendelsen. Men så døde kommunikationen fra firmaet hen.

»Så ringede vi til dem igen, sendte beskeder og mails, de svarede stort set ikke,« fortæller Ido Naor.

Sikkerhedsforskerne kunne blandt andet konstatere, at manualerne med standard-kodeordene stadig lå online.

Noget er der dog sket, siden den første kontakt til selskabet.

Ido Naors vurdererer, at der til at starte med har været flere tusinde tankstationer, som har været sårbare overfor forskernes angrebsteknik Det tal er faldt drastisk.

»En lille procentdel af dem er stadig sårbare, fordi de (firmaet bag, red.) er ved at kommunikere til deres klienter, at de skal patche. I aftes lagde jeg mærke til, at de har fjernet brugermanualerne, hvilket er godt,« siger Naor og tilføjer:

»Så selvom de hader mig i dag, så har de gjort, hvad jeg gerne ville have dem til.«

Version2 var inviteret til Security Analyst Summit af Kaspersky Lab.

2 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
2
19. marts 2018 kl. 20:00

Selvfølgelig er det ikke nok, men det er da et skridt i den rigtige retning...

1
19. marts 2018 kl. 16:08

I aftes lagde jeg mærke til, at de har fjernet brugermanualerne, hvilket er godt

Har det noget med sikkerhed at gøre? Ville det ikke være bedre at firmaet tog it-sikkerhed alvorligt.