W nowoczesnych domach stosowana jest szeroka gama produktów typu IoT (internet rzeczy). Wykorzystywane sÄ… one – m.in. – do sterowania różnymi zasobami, takimi jak woda lub energia elektryczna. Luki w zabezpieczeniach tych urzÄ…dzeÅ„ mogÄ… dla zwykÅ‚ego użytkownika oznaczać katastrofÄ™, narażajÄ…c go na zwiÄ™kszone koszty i potencjalnie przyczyniajÄ…c siÄ™ do marnowania zasobów miasta. Ale zastosowanie urzÄ…dzeÅ„ IoT nie ogranicza siÄ™ tylko do domu.
Naukowy artykuÅ‚ opublikowany w tym miesiÄ…cu przedstawia rozproszony model ataku ukierunkowanego na inteligentne systemy irygacyjne, które automatyzujÄ… proces nawadniania ogrodów lub trawników. Naukowcy z Uniwersytetu Ben Guriona przeanalizowali trzy inteligentne tryskacze i wykryli usterki, które pozwalajÄ… napastnikowi kontrolować przepÅ‚yw wody.
Po przeanalizowaniu działania inteligentnych tryskaczy GreenIQ i BlueSpray naukowcy zauważyli, że ich połączenie z serwerem wirtualnym (serwerem w chmurze obliczeniowej) nie zostało zaszyfrowane. Pozwala to atakującemu, mającemu dostęp do tej samej sieci lokalnej, przechwytywać ruch w sieci i zmieniać polecenia wysyłane do systemu irygacyjnego, w tak zwanym ataku kryptologicznym (ang. man-in-the-middle).
DostÄ™p do lokalnej sieci wcale nie jest trudny. Naukowcy twierdzÄ…, że atakujÄ…cy mógÅ‚by wydzierżawić usÅ‚ugi botnetu, aby stworzyć sieć faÅ‚szywych urzÄ…dzeÅ„, których zadaniem jest wyszukiwanie inteligentnych tryskaczy. „JeÅ›li nie zostanÄ… znalezione tryskacze podÅ‚Ä…czone do systemu irygacyjnego, bot niszczy sam siebie, aby zatrzeć po sobie Å›lady” – dodano w dokumencie badawczym.
Inteligentny zraszacz Rainmachine może automatycznie dostosować operacje i parametry nawadniania, zgodnie z danymi otrzymanymi z serwisów prognozy pogody Norweskiego Instytutu Meteorologicznego. Po przeanalizowaniu oprogramowania sprzÄ™towego (ang. firmware) tryskaczy, naukowcy byli w stanie sfaÅ‚szować prognozÄ™ pogody, ponieważ usÅ‚uga dostarczaÅ‚a jÄ… przez nieszyfrowane poÅ‚Ä…czenie.
Cele ataku zostaÅ‚y wykryte w sieci lokalnej dziÄ™ki analizie poÅ‚Ä…czenia miÄ™dzy serwerem wirtualnym a każdym z trzech systemów nawadniajÄ…cych. CaÅ‚y proces trwaÅ‚ 15 minut, poczynajÄ…c od momentu zainicjowania wyszukiwania atakowanych urzÄ…dzeÅ„. ByÅ‚o to możliwe, ponieważ producenci zraszaczy nie oferujÄ… innych produktów IoT, co zdecydowanie zawÄ™ziÅ‚o pole poszukiwaÅ„.
Naukowcy twierdzÄ…, że atakowanie zautomatyzowanych systemów nawadniajÄ…cych może mieć wpÅ‚yw na zaopatrzenie miasta w wodÄ™. Zgodnie z ich obliczeniami, botnet skÅ‚adajÄ…cy siÄ™ z 1.355 zraszaczy mógÅ‚by opróżnić standardowÄ… wieżę ciÅ›nieÅ„ w mniej niż godzinÄ™; 23.866 pracujÄ…cych przez sześć godzin opróżniÅ‚oby maÅ‚y zbiornik przeciwpowodziowy.
Obecnie tryskacze GreenIQ szyfrujÄ… komunikacjÄ™ z serwerem wirtualnym. ZamkniÄ™to też port SSH, który może być wykorzystany przez atakujÄ…cego do uruchomienia zÅ‚oÅ›liwego kodu. Norweski Instytut Meteorologiczny wprowadziÅ‚ także aktualizacjÄ™, która szyfruje poÅ‚Ä…czenia z klientami.
"Internet Rzeczy (IoT) obok sztucznej inteligencji, big data i blockchain to technologie które zmieniajÄ… Å›wiat i podnoszÄ… jakość życia. W niedalekiej przyszÅ‚oÅ›ci Internet Rzeczy dotknie praktycznie wszystkich gaÅ‚Ä™zi gospodarki. Gartner prognozuje, że do 2020 roku do sieci bÄ™dzie podÅ‚Ä…czonych 20,4 mld urzÄ…dzeÅ„. W IoT drzemie olbrzymi potencjaÅ‚, trzeba jednak mieć Å›wiadomość, że zagrożenia które dotychczas dotyczyÅ‚y gÅ‚ównie przestrzeni wirtualnej, przenoszÄ… siÄ™ do naszego życia codziennego" - komentuje Mariusz Politowicz, inżynier techniczny Bitdefender z firmy Marken.
