Hacket bilvask kan angribe mennesker

27. juli 2017 kl. 10:1213
Bilvask
Illustration: Flickr-bruger FaceMePLS .
Det første tilfælde hvor en internet-forbundet enhed kan angribe mennesker er fundet: En voldelig bilvask.
Artiklen er ældre end 30 dage
Manglende links i teksten kan sandsynligvis findes i bunden af artiklen.

Problemer med biler og medicinsk udstyr, som er forbundet til internettet og kan hackes, har været kendt i et stykke tid, men nu har sikkerhedsforskere fundet et eksempel, hvor et internetforbundet system kan angribe mennesker.

Sikkerhedsforskere i firmaet Whitescope Security har fundet sårbarheder i en bilvask, hvor udstyret er forbundet til internettet og kan hackes.

Sårbarhederne ville tillade en angriber at åbne og lukke dørene til bilvasken, så køretøjer bliver fanget, eller banke dørene ind i bilerne og på den måde ødelægge bilerne og muligvis såre passagererne. Det skriver Motherboard.

»Vi tror det er det første sikkerhedshul i en internet-forbundet enhed, som fysisk kan angribe mennesker,« siger Billy Rios fra Whitescope Security til Motherboard. Forskerne vil fremlægge deres resultater på sikkerhedskonferencen Black Hat senere på ugen i Las Vegas.

Artiklen fortsætter efter annoncen

Den pågældende bilvask er 'PDQ LaserWash', som er en populær fuldautomatisk bilvask-kæde i USA. Systemet bruger Windows CE med en indbygget webserver, som sætter teknikere i stand til at overvåge bilvasken via internettet, og det er her, at sårbarheden findes.

Billy Rios blev interesseret i bilvaske efter en bekendt fortalte om en hændelse, hvor teknikere havde fejlkonfigureret et system, så en mekanisk arm, der bevæger sig rundt om køretøjet, ramte en minibus og sprøjtede vand ud over familien inde i bilen. Både bilen og bilvasken blev beskadiget, da føreren prøvede at slippe ud af bilvasken.

13 kommentarer.  Hop til debatten
Denne artikel er gratis...

...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.

Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.

Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.

Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.

Debatten
Log ind eller opret en bruger for at deltage i debatten.
settingsDebatindstillinger
13
29. juli 2017 kl. 21:14

Hackning af sikkerheds systemet. Cypersecurity og funktional safety er forholdvis nyt, hidtil har man antaget at sådant noget udstyr ikke var netværksforbundet. Men der er nu kommet krav om at implementere Cyper security:https://www.tuvasi.com/en/component/content/article/215

Hvis processen følges for udvikling af funktionel safety, så er der god beskyttelse imod en række fejltyper som: Sensorer der fejler, relæer der svejser, programmer der låser, bit flip i RAM/CPU registre, nogle typer af fejlkonfiguration, spændings afbrydelse, afbrydelse af kommunikation etc.

Man skal designe systemet til at beskytte imod ’foreseeable misuse’, men man kan ikke beskytte imod folk der har fysisk adgang til anlægget, og som med vilje omgår sikkerheds systemet.

På det system som jeg har arbejdet med, udvikles programmet på en PC, og der bliver genereret en konfigurations fil som har en given checksum. (desværre ikke crypto hash) Der kan ikke ændres i kode eller konstanter uden at checksum ændre sig, og så er det i princippet et nyt program der skal gentestes fra bunden af.

Konfigurationen kan så læses ned i sikkerheds PLC’en via. et flash kort, eller Ethernet forbindelse. På mange af systemerne kræver det at man ligger en lus, eller drejer en nøgle for at aktivere det nye program. (for at sikre at det ikke kan foretages via fjernkontrol) Checksummen kan så udlæses af den kørende sikkerheds PLC, men det kan programmet ikke, i vores standard kontrolsystem overvåger vi at checksummen i sikkerheds PLC er korrekt.

Men der er ikke noget der beskytter imod at en person i ond tro, laver et nyt program fra bunden som ikke indeholder nogle sikkerheds funktioner, og overskriver det gamle program. Men så vil checksummen være ændret, (dog kan jeg forestille mig at det er muligt at lave en kollision på checksummen) Men ofte er det er meget nemmere at lægge en lus i en klemrække, end at hacke ændringen i software.

Det man skal beskytte imod er at få adgang til at hacke mange anlæg via. Internettet. De fleste anlæg har ikke nogen særlig fysisk beskyttelse imod at blive hacket ved hjælp af en boltsaks, og en skruetrækker.

Og mht. vaskehaler så er den fysiske beskyttelse nærmest ikke eksisterende da der er offentlig adgang til maskinen. Det muligt at montere en lille fjernstyret controller der kan fake nogle af sensor signalerne således at der bliver lavet skade på køretøjer, og det uden at få adgang til styreskabet.

Bedre cyber security løser ikke alle problemer, (Og ikke alt crypto modstår et brute force attack med en 8” svensknøgle)

12
29. juli 2017 kl. 19:47

Henrik har fuldstændig ret. Der er indtil flere sikkerhedsafbrydere og systemer som IKKE kan overstyres af software.

Jeg har ikke specifikt kendskab til vaskehaler, men sådan en vaskehal høre under maskin direktivet.. Det kræver en risikovurdering som afdækker (person)sikkerhes aspekterne af maskinen, under normal drift og service. Og det stiller krav til hvilke funktioner dele der skal dækkes af sikkerheds systemet. Som minimum vil der typisk skulle være sikkerheds afbrydere til at beskytte imod uventet opstart, og simple nødstop. Hvis sikkerheds funktionerne er bare lidt komplekse, så er der brug for elektronik og software der overholder funktionel safety software krav (IEC60204/IEC61508/ISO13489). Hvis man anvender et standard kontrolsystem, så skal man antage at det fejler på værst tænkelig måde mindst én gang om året. Hvis sikkerheds vurderingen kræver lavere svigt sandsynlighed så hedder det funktionel safety.

Hvis leverandøren af maskinen vurdere at der ikke er brug for funktionel sikkerhed, så vil alle funktioner i princippet kunne hackes hvis maskinen tilsluttes internettet. Hvis der f.eks. er en SIL2 rumfølere der er en del af en sikkerheds funktion der blokere alt drift når der er personer i vaskehalen, så vil man kunne hacke maskinen til at smadre bilen der holder i maskinen så længe der ikke er personer i halen.
Om man kan hacke sikkerheds systemet det er en anden sag..

11
28. juli 2017 kl. 09:27

Du går ud fra at disse ting er implementeret korrekt.
Det er langt fra altid tilfældet.

Det er en af pointerne. Der kan sagtens forekomme implementeringsfejl og andet som gør systemerne usikre, og som betyder at man kan blive slået ihjel af dem.

Men det har jo strengt taget ikke ret meget med hacking at gøre. Artiklens overskrift - hvis den skal være retvisende - er:

"Fejlkonstrueret bilvask kan være farlig for mennesker"

Men den overskrift sælger ikke klik, fordi ja - at fejl er farlige er ingen rigtig nyhed. Skulle man endelig lave et kompromis så må det blive:

"Hackere udnytter kendskab til konstruktionsfejl til at angribe mennesker"

men det skaber flere nye spørgsmål, som f.eks.:

  • Hvor har hackerne denne viden fra
  • Hvorfor har man ikke gjort producenten opmærksom på konstruktionsfejlene
  • Hvordan har man testet osv. osv.

Prøv at læse denne artikel: http://www.darkreading.com/vulnerabilities---threats/hackin-at-the-car-wash-yeah/d/d-id/1319156

og specielt kommentarsporet bagefter. En anonym udvikler i bilvask industrien har kommenteret, og svaret virker troværdigt. Han skriver bl.a.:

"The CW industry is very fragmented and proprietary. A lot of the hardware and software is very proprietary to manufacturer, and very often site specific. So any hacker gaining access to one system is going to have to spend some time learning what does what in terms of actually controlling the hardware. For some manufacturers, this will be easier, for others, a hacker is more likely to do damage by accident, than on purpose. "

og

"I honestly think that the biggest threat of malicious hacking of a car wash to cause damage is not going to come from outside the industry, but is inside the industry, from things like competitors and disgruntled employees. "

Læg i øvrigt mærke til, at advarslen fra ICS-CERT kun slår fast at: "Vulnerabilities: Improper Authentication, Missing Encryption of Sensitive Data"

Historierne om mulig personskade, angreb på mennesker, osv. osv. er fortsat udokumenteret fri fantasi.

10
28. juli 2017 kl. 08:16

Det passer simpelt hen ikke. Sensorerne kan da sikkert nok læses i software, men de føder samtidig sikringskredsløbene, så der ikke kan ske ulykker hvis der opstår en computerfejl.

Du går ud fra at disse ting er implementeret korrekt. Det er langt fra altid tilfældet.

Jeg har selv været udefor et tilfælde hvor en programmør stolt havde fortalt nogle af mine kollegaer at den software han havde lavet til en 150 tons LARS "fiksede" et problem med den hardware der styrede hydraulikventilerne. Problemet var at hvis een af indgangs signalerne kom under 0,8 V eller over 4,2 V, så forsvandt signalet til alle ventilerne. Så han havde lavet styresoftwaren sådan at alle signaler under 1 V ville blive fastlåst ved 1 volt, og signaler over 4 V ville blive fastlåst ved 4 volt.

Sagen er bare den at disse to værdiger (0,8 V & 4,2 V) repræsenterer Out Of Range thresholds, og driverne var designet til at gå i Safe Mode hvis disse værdiger blev overskredet. Han havde dermed sat en af de primære sikkerhedsfunktioner ud af funktion! Men han var altså meget stolt af at have løst dette hardware problem.

Og det er jo ikke fordi han ikke havde læst manualen. Men han kunne simpelthen ikke relatere til hvordan disse fysiske signaler fra sensorer og joysticks relaterede til de fysiske aspekter af sikkerhed ved en sådanne maskine.

Og det er desværre min erfaring at langt de fleste software folk idag simpelthen ikke har den fornødne forståelse for hvordan hardware fungere. Jeg har ofte haft meget svært ved at forklare selv meget simple hardware issues til programører. De er, tilsyneladende, blevet så vand til at alting er "virtuelt" at de ikke kan relatere til hvordan deres software interagere med den fysiske virkelighed.

Helt ned til at enkelte af dem ikke ville acceptere at en mekanistisk kontakt ikke kan omgås med software.

8
27. juli 2017 kl. 23:01

Henrik har fuldstændig ret. Der er indtil flere sikkerhedsafbrydere og systemer som IKKE kan overstyres af software. Derfor er historien søgt - skrevet af folk som tror de kan forestille sig hvad man potentielt kan, hvis man får systemadgang til en vaskehal.

Jeg er tæt på at mene, at historien ganske enkelt er løgn - det som i dag kaldes fake news. Det er spekulationer gjort af IT folk som ikke har det fjernest begreb om automation. Læser man kildeartiklen bliver den formodning blot kraftigere.

Blot et enkelt eksempel: "Although infrared sensors detect when something is in a door's path to prevent this from happening, the researchers were able to cause the system to ignore the sensors".

Det passer simpelt hen ikke. Sensorerne kan da sikkert nok læses i software, men de føder samtidig sikringskredsløbene, så der ikke kan ske ulykker hvis der opstår en computerfejl.

Den form for sikring bygges ind over alt - ikke kun for at forhindre ulykker, men også for at hindre, at maskinen ødelægger sig selv i tilfælde af at der går en sikring eller opstår andre uforudsete hændelser (som f.eks. at nogen forsøger at drive maskinen ud over dens planlagte driftsparametre).

Hvor er det træls at spilde tid på den slags nær-løgnehistorier.

Yderligere indikation af af historien er løgn. Der mangler:

  • Angivelser af tid og sted for undersøgelsen.
  • Hvilke produkter og fabrikater af vaskemaskiner er undersøgt
  • Hvad siger producenterne til påstandene
  • Hvilken dokumentation er der - andet ende foredragholdernes verbale postulater
  • Hvordan har man testet og eftervist, at de postulerede indgreb har den påståede effekt.
  • Hvilke hardware analyser ligger der til grund for undersøgelsen
  • Hvorfor mener man, at elementære sikringsprincipper er tilsidesat i en grad som gør, at der kan ske skader.
  • Hvis sådanne sikringsprincipper er tilsidesat, er der vel ikke tale om at hackere kan skade mennesker, men om at maskinerne er fejlkonstrueret (og dermed omgående skal tages ud af drift)
  • Er nogen af disse maskiner taget ud af drift? (og hvis ikke, hvorfor).
7
27. juli 2017 kl. 19:11

Hvad er problemet med internet opkobling, jeg mener mere problemet er at enhederne mangler sikkerheds afbrydere/sensorer. Og jeg forventer selvfølgelig ikke at en sikkerheds afbryder/sensor kan overstyres via fjernbetjening eller via en programopdatering.

6
27. juli 2017 kl. 18:25

Er det at atomkraftværker, vandforsyninger og så videre partout skal forbindes til internettet.

Hvis man sælger en bilvask til flere hundredetusinde kroner så burde der som et minimum være indregnet en boks med et SIM-kort som man så kunne ringe til og oprette en vpn og konfigurere af den vej.

5
27. juli 2017 kl. 18:11

I 80'erne gik en lidt fjollet film i biograferne, hvor en skurk/galning rendte rundt og anbragte morderiske mikroprocessorer i maskiner/robotter, så de angreb mennesker. Bortset fra den fjollede teknik så var den måske ikke så langt ude alligevel. En amerikansk (?) datalog skrev engang, at hvis arkitekter byggede huse, som programmører laver systemer, så ville den første spætte forårsagde civilisationens sammenbrud.

Hvorfor kommer jeg lige til at tænke på de to ting?

4
27. juli 2017 kl. 16:09

Det er et eklatant fejldesign at sætte "things" direkte på internet. De skal kun være tilgængelige for dem der behøver adgangen, sikret ved VPN, fw el. Lign. Det gør det sværere at finde og angribe "the thing" - men selvfølgelig ikke umuligt. Opdatering alene gør det ikke (jf. zerodays hhv. usikker custom code).

3
27. juli 2017 kl. 12:59

Man kan jo også vende hele problematikken på hovedet, og mene at den type af komponenter skal leve op til en eller anden høj sikkerheds standard. Disse krav burde f.eks. dække alt fra kodekvalitet, hvordan hardware er designet, og ikke mindst kvaliteten af det modul, både software og hardware, sådan i det hele taget.

Men!, omvendt når man læser om alt fra strømforsyninger til smart telefoner som bryder i brand på grund af enten dårlig produktion eller dårlig design, så er god sikkerhed vist også op af bakke, og her taler vi om 'mount Everest' eller lign.

2
27. juli 2017 kl. 12:28

Nogen som har forbindelser til Washtec / Christ eller Kärcher og ved om deres maskiner er forbundet online ? Kunne være interessant at høre en ingeniør fra de firmaer med lidt inside-info.

1
27. juli 2017 kl. 12:17

Det er dumt at forbinde ting til internettet der ikke konstant bliver sikkerhedsopdateret...

Kan vi ikke få en lov der gør det ulovligt at gøre den specifikke dumme ting ?

Når en dims så bliver forældet / ikke bliver opdateret længere skal det være lovpligtigt at den kan slå over i known safe mode dvs direkte internetforbindelse bliver permanent lukket. Måske med en fallback mode til kun adgang til internet via 24/7 overvåget VPN. Det vil gi ejere et økonomisk encitament til at opdatere gammelt lort som er forældet.

Evt kombineret med et lovkrav om minimums sikkerheds opdateringer til dimser på internettet i x år efter salg.