Sårbarhed i smart city-enhed: Hackere kan potientielt åbne for oversvømmelse

Illustration: Yanawut/Bigstock
To sikkerhedsforskere har fundet 17 sårbarheder i smart city-enheder

To sikkerhedsforskere fra hhv. IBM og Threatcare har fundet 17 sårbarheder i fire forskellige smart city-produkter fra tre forskellige producenter.

De to forskere præsenterede ifølge eWeek deres resultater på it-sikkerhedskonferencen Black Hat, som blev afholdt i Las Vegas 4.-9. august.

Sikkerhedsforskerne Daniel Crowley fra IBM X-Force Red og Jennifer Savage fra Threatcare fortæller i en video fra eWeek om en sårbarhed i en smart city-enhed, der moniterer og styrer opmagasinering af vand.

Demonstrationen udføres i en model af et vandmagasin. Forskerne viser, hvordan de er i stand til at tage kontrol over sensorenheden, så de kan fremprovokere en oversvømmelse.

Enheden til vandmagasinstyring, Meshlium, kommer fra Libelium, og er en IoT-enhed. Virksomheden omtaler bl.a., hvordan den anvendes i nærheden af Buenos Aires i Argentina i et varslingssystem.

Fire sårbarheder i én smart city-enhed

Forskerne har fundet fire sårbarheder i enheden, som gør det muligt at få remote access til den - uden brug af særligt avancerede værktøjer.

De to eksperter har søgt efter access-punkter i firmwaren til enheden, som er skrevet i open source php. Med en grep search-kommando gik de efter 'exec'-funktioner.

Det overordnede mål for forskernes undersøgelser er at finde potentielle sårbarheder i smart city-teknologier. Som gør, at hackere kan gå ind og manipulere med fjernstyrede smart city-enheder.

Det anslås efter en shodan-io-søgning, at mindst 450 smart city-enheder, der er installeret rundt omkring, er omfattet af de sårbarheder, som forskerne har fundet.

Se interview og demo her

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (5)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Gert G. Larsen

Der kommer masser af artikler om hvor nemt det er at overtage strømmen og vandet og ICS anlæggene osv osv, og at det hele står pivåbent og det bare er for dårligt.

MEN hvor dælen er hacktivisterne henne?
Dem der hacker det for sjov, for at vise de kan, for at skabe lidt forvirring og tumult, uden økonomiske hensigter, uden at sælge exploitsne til regeringer?
HVOR er dem der tænder for brandslukningsanlæggene, blinker med strømmen og laver ståhej i samfundet?

Henrik Madsen

Det eneste interessante spørgsmål her er hvorfor den slags overhovedet er sluttet til internettet så hackere kan nå det udefra.

Kritisk infrastruktur, el, vand, varme og så videre bør da enten holdes helt væk fra nettet, køre på dedikerede linier eller som minimum være placeret så de kun kan tilgå's gennem en VPN forbindelse.

Denny Christensen

Sjusk? Også kaldet convinience, fornuftig brug af ressourcer, ...

Det er mig en gåde at producenter ikke er pålagt en lovgivningsmæssig mindste-sikkerhed og kan gøres ansvarlige for evt. overtrædelser.

På det mere konstruktive plan skal det gøres obligatorisk at inbdkøb af 'al' eletronik skal underkastes en sikkerhedsundersøgelse og at en IT person skal ind over en vurdering af funktionalitet.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017
Jobfinder Logo
Job fra Jobfinder