Hacket bilvask kan angribe mennesker

Illustration: Flickr-bruger FaceMePLS
Det første tilfælde hvor en internet-forbundet enhed kan angribe mennesker er fundet: En voldelig bilvask.

Problemer med biler og medicinsk udstyr, som er forbundet til internettet og kan hackes, har været kendt i et stykke tid, men nu har sikkerhedsforskere fundet et eksempel, hvor et internetforbundet system kan angribe mennesker.

Sikkerhedsforskere i firmaet Whitescope Security har fundet sårbarheder i en bilvask, hvor udstyret er forbundet til internettet og kan hackes.

Sårbarhederne ville tillade en angriber at åbne og lukke dørene til bilvasken, så køretøjer bliver fanget, eller banke dørene ind i bilerne og på den måde ødelægge bilerne og muligvis såre passagererne. Det skriver Motherboard.

»Vi tror det er det første sikkerhedshul i en internet-forbundet enhed, som fysisk kan angribe mennesker,« siger Billy Rios fra Whitescope Security til Motherboard. Forskerne vil fremlægge deres resultater på sikkerhedskonferencen Black Hat senere på ugen i Las Vegas.

Den pågældende bilvask er 'PDQ LaserWash', som er en populær fuldautomatisk bilvask-kæde i USA. Systemet bruger Windows CE med en indbygget webserver, som sætter teknikere i stand til at overvåge bilvasken via internettet, og det er her, at sårbarheden findes.

Billy Rios blev interesseret i bilvaske efter en bekendt fortalte om en hændelse, hvor teknikere havde fejlkonfigureret et system, så en mekanisk arm, der bevæger sig rundt om køretøjet, ramte en minibus og sprøjtede vand ud over familien inde i bilen. Både bilen og bilvasken blev beskadiget, da føreren prøvede at slippe ud af bilvasken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (13)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Jakob Damkjær

Det er dumt at forbinde ting til internettet der ikke konstant bliver sikkerhedsopdateret...

Kan vi ikke få en lov der gør det ulovligt at gøre den specifikke dumme ting ?

Når en dims så bliver forældet / ikke bliver opdateret længere skal det være lovpligtigt at den kan slå over i known safe mode dvs direkte internetforbindelse bliver permanent lukket. Måske med en fallback mode til kun adgang til internet via 24/7 overvåget VPN. Det vil gi ejere et økonomisk encitament til at opdatere gammelt lort som er forældet.

Evt kombineret med et lovkrav om minimums sikkerheds opdateringer til dimser på internettet i x år efter salg.

  • 4
  • 1
Ivo Santos

Man kan jo også vende hele problematikken på hovedet, og mene at den type af komponenter skal leve op til en eller anden høj sikkerheds standard. Disse krav burde f.eks. dække alt fra kodekvalitet, hvordan hardware er designet, og ikke mindst kvaliteten af det modul, både software og hardware, sådan i det hele taget.

Men!, omvendt når man læser om alt fra strømforsyninger til smart telefoner som bryder i brand på grund af enten dårlig produktion eller dårlig design, så er god sikkerhed vist også op af bakke, og her taler vi om 'mount Everest' eller lign.

  • 2
  • 0
Mogens Lysemose

Det er et eklatant fejldesign at sætte "things" direkte på internet. De skal kun være tilgængelige for dem der behøver adgangen, sikret ved VPN, fw el. Lign. Det gør det sværere at finde og angribe "the thing" - men selvfølgelig ikke umuligt. Opdatering alene gør det ikke (jf. zerodays hhv. usikker custom code).

  • 1
  • 0
Ditlev Petersen

I 80'erne gik en lidt fjollet film i biograferne, hvor en skurk/galning rendte rundt og anbragte morderiske mikroprocessorer i maskiner/robotter, så de angreb mennesker. Bortset fra den fjollede teknik så var den måske ikke så langt ude alligevel. En amerikansk (?) datalog skrev engang, at hvis arkitekter byggede huse, som programmører laver systemer, så ville den første spætte forårsagde civilisationens sammenbrud.

Hvorfor kommer jeg lige til at tænke på de to ting?

  • 1
  • 0
Henrik Madsen

Er det at atomkraftværker, vandforsyninger og så videre partout skal forbindes til internettet.

Hvis man sælger en bilvask til flere hundredetusinde kroner så burde der som et minimum være indregnet en boks med et SIM-kort som man så kunne ringe til og oprette en vpn og konfigurere af den vej.

  • 1
  • 0
Svend Nielsen

Henrik har fuldstændig ret. Der er indtil flere sikkerhedsafbrydere og systemer som IKKE kan overstyres af software. Derfor er historien søgt - skrevet af folk som tror de kan forestille sig hvad man potentielt kan, hvis man får systemadgang til en vaskehal.

Jeg er tæt på at mene, at historien ganske enkelt er løgn - det som i dag kaldes fake news. Det er spekulationer gjort af IT folk som ikke har det fjernest begreb om automation. Læser man kildeartiklen bliver den formodning blot kraftigere.

Blot et enkelt eksempel: "Although infrared sensors detect when something is in a door's path to prevent this from happening, the researchers were able to cause the system to ignore the sensors".

Det passer simpelt hen ikke. Sensorerne kan da sikkert nok læses i software, men de føder samtidig sikringskredsløbene, så der ikke kan ske ulykker hvis der opstår en computerfejl.

Den form for sikring bygges ind over alt - ikke kun for at forhindre ulykker, men også for at hindre, at maskinen ødelægger sig selv i tilfælde af at der går en sikring eller opstår andre uforudsete hændelser (som f.eks. at nogen forsøger at drive maskinen ud over dens planlagte driftsparametre).

Hvor er det træls at spilde tid på den slags nær-løgnehistorier.

Yderligere indikation af af historien er løgn. Der mangler:
- Angivelser af tid og sted for undersøgelsen.
- Hvilke produkter og fabrikater af vaskemaskiner er undersøgt
- Hvad siger producenterne til påstandene
- Hvilken dokumentation er der - andet ende foredragholdernes verbale postulater
- Hvordan har man testet og eftervist, at de postulerede indgreb har den påståede effekt.
- Hvilke hardware analyser ligger der til grund for undersøgelsen
- Hvorfor mener man, at elementære sikringsprincipper er tilsidesat i en grad som gør, at der kan ske skader.
- Hvis sådanne sikringsprincipper er tilsidesat, er der vel ikke tale om at hackere kan skade mennesker, men om at maskinerne er fejlkonstrueret (og dermed omgående skal tages ud af drift)
- Er nogen af disse maskiner taget ud af drift? (og hvis ikke, hvorfor).

  • 1
  • 0
Thomas Lodberg

Det passer simpelt hen ikke. Sensorerne kan da sikkert nok læses i software, men de føder samtidig sikringskredsløbene, så der ikke kan ske ulykker hvis der opstår en computerfejl.


Du går ud fra at disse ting er implementeret korrekt.
Det er langt fra altid tilfældet.

Jeg har selv været udefor et tilfælde hvor en programmør stolt havde fortalt nogle af mine kollegaer at den software han havde lavet til en 150 tons LARS "fiksede" et problem med den hardware der styrede hydraulikventilerne.
Problemet var at hvis een af indgangs signalerne kom under 0,8 V eller over 4,2 V, så forsvandt signalet til alle ventilerne.
Så han havde lavet styresoftwaren sådan at alle signaler under 1 V ville blive fastlåst ved 1 volt, og signaler over 4 V ville blive fastlåst ved 4 volt.

Sagen er bare den at disse to værdiger (0,8 V & 4,2 V) repræsenterer Out Of Range thresholds, og driverne var designet til at gå i Safe Mode hvis disse værdiger blev overskredet.
Han havde dermed sat en af de primære sikkerhedsfunktioner ud af funktion!
Men han var altså meget stolt af at have løst dette hardware problem.

Og det er jo ikke fordi han ikke havde læst manualen. Men han kunne simpelthen ikke relatere til hvordan disse fysiske signaler fra sensorer og joysticks relaterede til de fysiske aspekter af sikkerhed ved en sådanne maskine.

Og det er desværre min erfaring at langt de fleste software folk idag simpelthen ikke har den fornødne forståelse for hvordan hardware fungere.
Jeg har ofte haft meget svært ved at forklare selv meget simple hardware issues til programører.
De er, tilsyneladende, blevet så vand til at alting er "virtuelt" at de ikke kan relatere til hvordan deres software interagere med den fysiske virkelighed.

Helt ned til at enkelte af dem ikke ville acceptere at en mekanistisk kontakt ikke kan omgås med software.

  • 2
  • 0
Svend Nielsen

Du går ud fra at disse ting er implementeret korrekt.
Det er langt fra altid tilfældet.

Det er en af pointerne. Der kan sagtens forekomme implementeringsfejl og andet som gør systemerne usikre, og som betyder at man kan blive slået ihjel af dem.

Men det har jo strengt taget ikke ret meget med hacking at gøre.
Artiklens overskrift - hvis den skal være retvisende - er:

"Fejlkonstrueret bilvask kan være farlig for mennesker"

Men den overskrift sælger ikke klik, fordi ja - at fejl er farlige er ingen rigtig nyhed. Skulle man endelig lave et kompromis så må det blive:

"Hackere udnytter kendskab til konstruktionsfejl til at angribe mennesker"

men det skaber flere nye spørgsmål, som f.eks.:

  • Hvor har hackerne denne viden fra
  • Hvorfor har man ikke gjort producenten opmærksom på konstruktionsfejlene
  • Hvordan har man testet
    osv. osv.

Prøv at læse denne artikel: http://www.darkreading.com/vulnerabilities---threats/hackin-at-the-car-w...

og specielt kommentarsporet bagefter. En anonym udvikler i bilvask industrien har kommenteret, og svaret virker troværdigt. Han skriver bl.a.:

"The CW industry is very fragmented and proprietary. A lot of the hardware and software is very proprietary to manufacturer, and very often site specific. So any hacker gaining access to one system is going to have to spend some time learning what does what in terms of actually controlling the hardware. For some manufacturers, this will be easier, for others, a hacker is more likely to do damage by accident, than on purpose. "

og

"I honestly think that the biggest threat of malicious hacking of a car wash to cause damage is not going to come from outside the industry, but is inside the industry, from things like competitors and disgruntled employees. "

Læg i øvrigt mærke til, at advarslen fra ICS-CERT kun slår fast at:
"Vulnerabilities: Improper Authentication, Missing Encryption of Sensitive Data"

Historierne om mulig personskade, angreb på mennesker, osv. osv. er fortsat udokumenteret fri fantasi.

  • 0
  • 2
Niels Danielsen

Henrik har fuldstændig ret. Der er indtil flere sikkerhedsafbrydere og systemer som IKKE kan overstyres af software.

Jeg har ikke specifikt kendskab til vaskehaler, men sådan en vaskehal høre under maskin direktivet..
Det kræver en risikovurdering som afdækker (person)sikkerhes aspekterne af maskinen, under normal drift og service. Og det stiller krav til hvilke funktioner dele der skal dækkes af sikkerheds systemet. Som minimum vil der typisk skulle være sikkerheds afbrydere til at beskytte imod uventet opstart, og simple nødstop.
Hvis sikkerheds funktionerne er bare lidt komplekse, så er der brug for elektronik og software der overholder funktionel safety software krav (IEC60204/IEC61508/ISO13489).
Hvis man anvender et standard kontrolsystem, så skal man antage at det fejler på værst tænkelig måde mindst én gang om året. Hvis sikkerheds vurderingen kræver lavere svigt sandsynlighed så hedder det funktionel safety.

Hvis leverandøren af maskinen vurdere at der ikke er brug for funktionel sikkerhed, så vil alle funktioner i princippet kunne hackes hvis maskinen tilsluttes internettet.
Hvis der f.eks. er en SIL2 rumfølere der er en del af en sikkerheds funktion der blokere alt drift når der er personer i vaskehalen, så vil man kunne hacke maskinen til at smadre bilen der holder i maskinen så længe der ikke er personer i halen.
Om man kan hacke sikkerheds systemet det er en anden sag..

  • 0
  • 0
Niels Danielsen

Hackning af sikkerheds systemet.
Cypersecurity og funktional safety er forholdvis nyt, hidtil har man antaget at sådant noget udstyr ikke var netværksforbundet. Men der er nu kommet krav om at implementere Cyper security:
https://www.tuvasi.com/en/component/content/article/215

Hvis processen følges for udvikling af funktionel safety, så er der god beskyttelse imod en række fejltyper som:
Sensorer der fejler, relæer der svejser, programmer der låser, bit flip i RAM/CPU registre, nogle typer af fejlkonfiguration, spændings afbrydelse, afbrydelse af kommunikation etc.

Man skal designe systemet til at beskytte imod ’foreseeable misuse’, men man kan ikke beskytte imod folk der har fysisk adgang til anlægget, og som med vilje omgår sikkerheds systemet.

På det system som jeg har arbejdet med, udvikles programmet på en PC, og der bliver genereret en konfigurations fil som har en given checksum. (desværre ikke crypto hash)
Der kan ikke ændres i kode eller konstanter uden at checksum ændre sig, og så er det i princippet et nyt program der skal gentestes fra bunden af.

Konfigurationen kan så læses ned i sikkerheds PLC’en via. et flash kort, eller Ethernet forbindelse.
På mange af systemerne kræver det at man ligger en lus, eller drejer en nøgle for at aktivere det nye program. (for at sikre at det ikke kan foretages via fjernkontrol)
Checksummen kan så udlæses af den kørende sikkerheds PLC, men det kan programmet ikke, i vores standard kontrolsystem overvåger vi at checksummen i sikkerheds PLC er korrekt.

Men der er ikke noget der beskytter imod at en person i ond tro, laver et nyt program fra bunden som ikke indeholder nogle sikkerheds funktioner, og overskriver det gamle program.
Men så vil checksummen være ændret, (dog kan jeg forestille mig at det er muligt at lave en kollision på checksummen)
Men ofte er det er meget nemmere at lægge en lus i en klemrække, end at hacke ændringen i software.

Det man skal beskytte imod er at få adgang til at hacke mange anlæg via. Internettet.
De fleste anlæg har ikke nogen særlig fysisk beskyttelse imod at blive hacket ved hjælp af en boltsaks, og en skruetrækker.

Og mht. vaskehaler så er den fysiske beskyttelse nærmest ikke eksisterende da der er offentlig adgang til maskinen. Det muligt at montere en lille fjernstyret controller der kan fake nogle af sensor signalerne således at der bliver lavet skade på køretøjer, og det uden at få adgang til styreskabet.

Bedre cyber security løser ikke alle problemer, (Og ikke alt crypto modstår et brute force attack med en 8” svensknøgle)

  • 1
  • 0
Log ind eller Opret konto for at kommentere
IT Company Rank
maximize minimize