Hackere med succesfuldt forsøg: Overtager fjernstyring af kraner

Illustration: bannafarsai / Bigstock
Ved hjælp af simpelt udstyr har hackere fra en sikkerhedsvirksomhed demonstreret, hvordan sikkerhedshuller i kraner kan udnyttes.

Med simple instrumenter er det muligt for hackere at overtage kontrollen af maskiner såsom kraner og gravemaskiner. Det viser et forsøg, som hackere fra sikkerhedsvirksomheden Trend Micro har udført.

Det skriver Forbes.

Det var en svaghed i kommunikationen mellem maskine og kontrolapparat, som hackerne udnyttede. Hackerne formåede at overtage styringen af de store maskiner ved at bruge radioudstyr og et par bærbare computere, hvorpå de kørte en række scripts.

På den måde kunne de blandt andet identificere frekvensen for de kommandoer, som den oprindelige controller sendte til maskinerne.

Eksperimentet blev udført på fjorten forskellige byggepladser, og i alle tilfælde lykkedes det at bruge den samme metode til at styre de store maskiner.

De forskellige kommandoer, der sendes til maskinerne, var beskyttet med simpel kryptering, men det var alligevel muligt for hackerne at efterligne kommandoerne, hvorefter de selv kunne sende dem til kraner eller gravemaskiner.

Herefter formåede hackerne at lave falske nødstop på maskinerne og ændre de kommandoer, der blev sendt afsted fra den rigtige kontroller.

Ifølge sikkerhedsvirksomheden demonstrerer eksperimentet, at det er nødvendigt for producenterne at udvikle sikkerhedsforanstaltninger, som kan forhindre, at hackere udnytter maskinerne til eksempelvis sabotage.

Se en videodemonstration af hackernes metoder her (YouTube).

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Michael Cederberg

Bortset fra at maskinerne i nogle tilfælde overhovedet ikke havde nogen form for sikkerhed omkring kommunikationen, så er dette også et klassisk eksempel på at kryptering skal implementeres rigtigt for at have nogen virkning.

I dette tilfælde synes et af problemerne at være at hvis man sender den samme krypterede besked til maskinen to gange, så gør den operationen to gange. Dette giver mulighed for at optage kommunikationen og så afspille den igen på et senere tidspunkt.

Det er ikke første gange den slags er set og det bliver ikke sidste gang. IT sikkerhed er ikke noget junior programmøren hælder på når produktet er på vej ud af døren. Det er noget man designer ind fra start og som man "trykprøver" hos flere experter.

  • 3
  • 0
Jan Heisterberg

Det er sandsynligvis også et klassisk eksempel på en “sekterisk holdning”.
Mon ikke kraner er lavet af maskiningeniører og smede i firmaer med denne basis ? Jo, jo, strøm til motorer og lidt styring. Det der edb er noget med fakturaer og lignende.
Jeg tror ikke disse firmaer, med deres lange tradition, har indset behov og krav i et nyt område: fjernstyring (kombineret med mere sufistikerede angreb).

Prøv lige at tænke på de gode, solide, afprøvede biler fra Europa - og sammenligne med generationer af biler fra Japan og Sydkorea, som var fyldt med elektronik og gadgets.
Mon ikke de gode europæiske “mekanikere” overså nogle muligheder for mere sufistikerede tillægs-features ?

Og hvorfor er det mon en succes, i Danmark, når mindre virksomheder endeligt ansætter deres første akademiker ?

  • 0
  • 0
Hans Nielsen

Det er vel et rigtigt dårligt eksemple, "du går" efter mindre smede og maskin firmaer.

Mens bilfirma jo har vist, at de slet ikke har haft styr, eller har fået styr på alt de elekrtonik de har sat i billerne.

Med hensyn til sikkerhed af kraner og andet tungt udstyr. Det kan vel klares med et ordeligt krav til sikkehedsgodelsen i form af hvordan enheder skal godkendes inden for EU.

At egen "kryptering" eller hemligholdelse aldrig bliver godt det har vi set utalige eksempler på.

Men det er jo også derfor at der findes standarter for krypteret trådløskomminikation, så man ikke skal genonfinde den hver gang.

Tror mere at problemmet med dårlig kryptering i kraner kan være det modstatte. At man bare ikke tager nyt teknologi eller andet løbende ind.
På grund af sikkerhed.

Da det skal godkendse i alle ender og kanter, og fabrikanter ikke har lyst til at sætte nyt udstyr i gamle produkter, som kræver at det hele skal sikkerhedsgodkendes igen. Og som måske skaber andre og nye sikkerhedsproblemmer. Producenter er ud over dem som kommer tilskade, er nok dem som er mindst interesser i at deres udstyr dræber nogle.

Som eksemple, er der først nu at der kommer USB i stedet for RS-232 i meget udstyr. De fjernstyringer vi snakker om, har nok været helt ok, for de 15-20 år siden da de blev udviklet og godkendt.

Og man skifter ikke bare sådan en boks, prisen på print til en fjernstyringsboks kan være 30.000 kr eller langt mere, så kommer der udstyr i maskinen. Samt godkendelse og ansvar.

Man skifter jo heller ikke det godkendte og testet sikkehedsudstyr i kernekraftværker eller på rumskibe og sateliter, fordi der er kommet en ny version. Formoder man heller vil have ældre testet udgaver, og gerne beholder dem så længe som muligt.

  • 0
  • 1
Jan Heisterberg

Du misforstår fuldstændigt mit debat-indlæg.

Jeg "går ikke efter mindre smede og maskin firmaer"; jeg forsøger at påpege, at det notorisk er svært at overskride sin egen "boks" - og det gælder uanset branche.
Et gammelt, ellers hæderkronet lejetøjsfirma, gik nyligt konkurs fordi de ikke havde indset behovet for salg af andre kanaler end fysiske butikker.

Langt de fleste biler er sikkert produceret på højteknologisk måde, og motor-mekanisk (forureningssnyd ufortalt) fremragende. De mangler fornuftsægteskabet med elektronik.
Listen er så lang på min ønskeseddel, at den ikke finder plads her; så bare to ting: hvor er indbygningsmoduler/-mulighed for smartphones, tablets, hvor er markedsprissatte GPS-modtagere (kr.1.500 ikke kr.15.000)

Den er efter min mening en fejlopfattelse, at "udstyr" skabes for overholde en (EU) sikkerhedsgodkendelse. Udstyr skabes for at imødekomme et "behov" hos kunder, hvor behov er et meget sammensat begreb. Normer, sikkerhedskrav og sikkerhedsgodkendelser har blandt andet til formål at skabe et laveste niveau for produktet; overholdelse er nødvendigt, men ikke et tilstrækkeligt.

Kryptering er i princippet, når rigtigt udført, fuldt tilstrækkeligt. Det svage led er her implementeringen, som er håndværk, og administrationen, som også er baseret på mennesker. Der er mange, kendte, virksomheder og institurioner som heldigvis lykkes. Langt de fleste brud skyldes uagtsomhed (manglende dobbelt-kontrol) eller bevidst indtrængning / spionage (for sjov eller forvinding). Også dette kan hurtigere afsløres ved kontroller.
I det konkrete tilfælde, kranerne, er det da befriende, at at "nørder" dels er lykkedes, dels har rapporteret dette sikkerhedskrater !

Det "spændende" er nu, og det berørte og andre firmaer har tilstrækkelig selverkendelse til at kigge uden for boksen og sige: UPS, og så gøre noget radikalt og hurtigt.
Udover, at det "gamle udstyr" kan forbydes lige så hurtigt som erstatninger kan leveres (loby-virksomhed ufortalt), så vil enhver ulykke som skyldes disse erkendte fejl med stor sandsynlighed være ansvarspådragende og medfører domme ved enhver domstol.
Og så kan bygherrer jo bare i fremtiden kræve hacker-sikret udstyr !

  • 0
  • 0
Michael Cederberg

At egen "kryptering" eller hemligholdelse aldrig bliver godt det har vi set utalige eksempler på.

Men det er jo også derfor at der findes standarter for krypteret trådløskomminikation, så man ikke skal genonfinde den hver gang.

Selv med standarder og fine kode biblioteker kan man nemt gøre noget meget dumt hvis man ikke forstår hvad man laver. I dette tilfælde kunne det fx. være at hardkode krypteringsnøglen til kommunikation mellem "kontrolapparat" og maskine eller at bruge samme nøgle til alle maskiner. Det er meget sjældent at nogen bryder selv idiotiske krypteringsalgoritmer. Det er ganske enkelt for besværligt.

Det handler næsten altid om manglende forståelse af sikkerhed eller kodefejl i implementeringen. For nyligt havde vi diskussionen om en elpære hvor alle elpærer brugte samme key ... selvom der var brugt en standard krypteringsalgoritme. Der er så mange faldgruber her og hvis man ikke forstår kryptering og sikkerhed så skal man søge hjælp andre steder.

  • 2
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize