11:17
9/9/2011

PIN do przepompowni wody to 0000

Przepompownia wody i oczyszczalnia ścieków w Oslo do niedawna była zarządzana poprzez …Bluetooth. Aby sterować obiektem wystarczyło podać bardzo skomplikowane hasło: 0000 (cztery zera).

Atak na przepompownie wody przy pomocy Bluetooth

Błędy w zabezpieczeniach w dostępie do kontrolerów pomp i zaworów zostały opisane w utajnionym raporcie z audytu bezpieczeństwa. Według raportu, potencjalny atakujący mógł nie tylko odciąć mieszkańców Oslo od wody, ale także ją zatruć — fizycznego dostępu do obiektu chroniły bowiem drzwi i bramy, które także były sterowane poprzez Bluetooth.

Oslo water

Przepompownia wody i oczyszczalnia ścieków w Oslo

Paradoksalnie Bluetooth do zarządzania obiektem został wdrożony by poprawić bezpieczeństwo jego pracy — umożliwiał łatwiejszy monitoring i szybsze wykrywanie awarii. Przypadek przepompowni wody w Oslo pięknie pokazuje, jak niepoprawne wdrożenie systemu podnoszącego bezpieczeństwo, może je znacząco obniżyć.

Ujawniony raport dotyczący (nie)bezpieczeństwa przepompowni wody w Oslo i głośne ostatnio ataki na systemy SCADA (por. Stuxnet) pokazują, że przed osobami czuwającymi nad bezpieczeństwem systemów przemysłowych jeszcze długa i wyboista droga…

P.S. Warto podkreślić, że właściciele obiektu zostali ostrzeżeni o możliwości ataku jeszcze zanim audyt dobiegł do końca, a raport końcowy spisany i przekazany klientowi. Podobną procedurę stosujemy podczas audytów i testów penetracyjnych stron internetowych, kiedy np. okazuje się, że baza danych klienta pozwala na dostęp z internetu, a konto z uprawnieniami administratora jest “chronione” przez hasło qwerty… Tak, takie przypadki ciągle się zdarzają.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

30 komentarzy

Dodaj komentarz
  1. „kiedy np. okazuje się, że bada danych klienta” –> „kiedy np. okazuje się, że baZZZZa danych klienta”

  2. nieźle..
    ps. myśleliście kiedyś nad wprowadzeniem własnej wersji tzw. nagrody Darwina ?

    • Bardzo dobry pomysł :)

    • +1

    • Like

    • jest co jakis czas security fail i ankieta na niebezpieczniku jaki fail zasluguje na miano “miszcza” danego pol rocza

  3. qwerty – to bardzo bezpieczne hasło. bo kto by sprawdzał takie rzeczy jak najpopularniejsze hasła przy próba włamania na cokolwiek. Czepiacie się i tyle :P

    btw. życie pokazuje, że ludzie kochają proste hasła, żeby je łatwiej móc zapamiętać

    • Znajoma kiedyś mi mówiła, że czasem używała hasła ‘abcxyz’ (+ ew. jakaś cyfra, jeśli była potrzebna), a znajomy, że ‘haslo’. Ja sama stosuję czasem do kont na serwisach i stronach, na których niezbyt mi zależy i nie ma tam dużo moich danych, nie za długie (do 15 znaków) hasła z układu klawiatury (ale nie tak proste jak qwerty lub inne klawisze po kolei :P). Jednak np. hasło użytkownika na komputerze mam 27-znakowe (ale łatwe do spamiętania), a jeśli muszę już wymyślić coś oryginalniejszego, to mieszam moje hasła (fragmenty)/ciągi cyfr, które pamiętam/jakieś słowa. Czasem tylko gorzej potem z pamiętaniem, jakie hasło, jeśli korzystam z danego konta rzadko.

    • Spróbuj skorzystać z keepassa.

    • Nie.

  4. Ciekawe czy w dzisiejszych czasach wciąż są ludzie chowający klucz pod wycieraczką? :D

    • Są a skad to wiem? Bo tak robi mój kolega

    • Moja babcia nadal tak robi ^^

    • Tak okradli znajomego: dom pod lasem, klucz w doniczce… “Bo od 30 lat nie było włamania w tych okolicach…”

  5. @atom

    Oczywiście

  6. Moje ulubione powiedzonko w
    “Cale zycie z debilami”
    a kolejne dosc popularne haselka to:zaqwsx, asdfgh
    zastanawia mnie tylko dlaczego zazwyczaj jest to haselko tylko 6 znakowe

    • Myślę, że górę bierze swoista ergonomia. Do pisania nie używa się na ogół małego palca, a kciuk jest w innym miejscu i służy do spacji, controli, altów etc. Wnoszę trochę po sobie, ale może nie tylko ja tak mam – potrafię wbić bez patrzenia na klawiaturę trzy klawisze palcami: serdecznym, środkowym i wskazującym, natomiast gdybym miał zacząć od małego, to muszę popatrzeć na klawiaturę (chociaż piszę bezwzrokowo), ułożyć palce i dopiero wcisnąć klawisze po kolei. Wpisując więc “odruchowo” hasło z klawiszy w rządku, korzysta się z 3 palców, co daje hasła będące wielokrotnością tej liczby; najczęściej podwójną, bo to znowuż wygoda, poza tym – mogę się mylić – ale najczęściej wymagane minimum to 6 znaków.

      Mam nadzieję, że nie poplątałem za bardzo.

  7. Cholera, to jest to samo hasło które mam w zamkach na moim bagażu!

    http://www.youtube.com/watch?v=a6iW-8xPw3k

  8. Daggerka: tak, są :) Nowym trendem jest “głębokie gardło” … przepraszam, głębokie ukrycie – przejęzyczyłem się – rozpropagowane przez jeden z banków.

  9. A mnie kiedyś, pan z niezbyt lubianej instytucji, będący zapaleńcem informatykiem spytał : jak długie mam hasło
    odp. że 14 znaków
    on na to że tak długie hasło mają zaawansowani userzy, po czym stwierdził, żę :
    zwykli “zjadacze chleba” i hakerzy mają banalne i króciutkie hasła …
    a dlaczego hakerzy – spytałem
    – bo wiedzą, że ten co będzie się chciał im włamać, i tak tego dokona.

    • no to chyba jeden z nielicznych informatykow szkolnych ktorzy cos wiedza na ten temat, w sensie pozytywnym, bo prawda jest bardzo prosta, haslo do konta zarowno czy to jest AD czy nasze konto lokalne na kompie nie ma sensu zeby bylo super extra dlugie, wystarczy ok 14-20 znakow, byle by bylo na wszystkich kontach, dlaczego ? AD mozna zresetowac wiec jest bez sensu, lokalne tak samo, jedyne do czego sluzy to do blokady przed niepozadanymi goscmi i malwarem,tylko zeby bylo jasne, chodzi tu o hasla userow, jesli mowimy o kontach admin+/root to staram sie stosowac haslo jak najdluzsze ale spokojnie mozna postawic na hasla 20-32 znaki

    • @mlodya: @angel: A co jeśli hasło służy jednocześnie do szyfrowania klucza, którym zaszyfrowane są prywatne pliki, a Ty obawiasz się wpadnięcia sprzętu w niepowołane ręce?

    • jesli uzywasz tego samego hasla do szyfrowania, to sam se odpowiedz, bo nie chce uzywac tu epitetow, jedyne co mi przychodzi do glowy, to po cholere wogole szyfrowales te pliki ? a po drugie, czytanie ze zrozumieniem nie boli, przeczytaj jeszcze raz mojego posta, przemiel w mozgu i wtedy bedziesz mial odpowiedz

  10. Takie newsy pojawiają się non stop. Nie jest to nic nowego. Identyczne hasło (na gigantycznych drzwiach do magazynu ) jest ustawione np. w jednym z wrocławskich McDonalds. To się nigdy nie zmieni i źli haxorzy będą to wykorzystywać. Pozdr

  11. Tak przy okazji – okazało się, że Mojang też stosuje głębokie ukrycie – od kilku godzina mam już MC 1.8

  12. Darek, Prerelase 1.8 można ściągnąć z serwerów Mojangu bo Notch z ekipą na to pozwolili.

  13. Gdyby Brievik o tym wiedział

  14. […] że audyt bezpieczeństwa w elektrowni wodnej w Oslo wykazał rażące braki w bezpieczeństwie wykorzystywanych przez elektrownie systemów […]

  15. […] igranie z systemami SCADA nadzorującymi pracę m.in. elektrowni czy przepompowni wody, a zatem krytycznej infrastruktury, to dość poważna sprawa, ICS-CERT już wydał ostrzeżenie w […]

  16. […] Software wływa na hardware. Także destrukcujnie. Pomyślmy teraz o inkubatorach w szpitalach, o przepompowniach wody, o rozrusznikach serca… — wszystkim tym do pewnego stopnia da się zdalnie sterować. […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: