Torna alla home
Torna alla home
.....
Open menu
Home
 
Search
 
MY
Articoli Salvati
 
Life
Smart Money
The Food Makers
Valore Responsabile
 
That's Round
Cover Story
 
Economy
Education
Impact
Lifestyle
Startup
Tech
 
Agenda
Bandi
Live TV
 
Unstoppable Women
Bandi Istruzioni per l'uso
Imprenditori Sostenibili
Investimenti Digitali E Cripto
 
SIOS
Shopping
 
STARTUPITALIA
Advisory Board
Area Investor
Lavora con noi
Chi siamo
I nostri autori
desc
TECH

Come trasformare un autolavaggio in una trappola mortale? Notizie da Black Hat 2017

 ⏱ Leggi in 2 min
  ⏱2 min read
TECH
Share article
Set prefered

Come trasformare un autolavaggio in una trappola mortale? Notizie da Black Hat 2017

Share article
Set prefered

Chiunque può prendere il controllo del sistema di lavaggio. Semplicemente inserendo la password “12345”. Un ottimo esempio di tutto quello che non si dovrebbe fare in ambito sicurezza

Chiunque può prendere il controllo del sistema di lavaggio. Semplicemente inserendo la password “12345”. Un ottimo esempio di tutto quello che non si dovrebbe fare in ambito sicurezza

Cybersecurity
author avatar
Pierluigi Paganini
31 lug 2017

Si è appena conclusa a Las Vegas l’edizione 2017 della conferenza Black Hat e numerosi sono gli spunti riflessione: l’unica certezza è che nulla è realmente inattaccabile. Una delle presentazioni più interessati è stata quella del popolare hacker Billy Rios, fondatore dell’azienda Whitescope, che assieme a Jonathan Butts ha dimostrato come poter trasformare un macchinario per il lavaggio delle automobili in una trappola mortale. Davvero sconcertante, non credete?

Il report di Rios e Butts

Chiunque, in qualunque posto del pianeta potrebbe hackerare il sistema di controllo di un impianto per il lavaggio delle vetture causando seri danni ai veicoli, ai proprietari delle auto ed agli operatori stessi. Gli esperti hanno condotto la loro ricerca sugli impianti Laserwash prodotti dall’azienda americana PDQ.

I sistemi Laserwash possono essere gestiti in remoto attraverso una interfaccia web, il sistema di controllo è basato su sistema operativo Windows CE installato su un computer con processore ARM-compatibile.

Un momento, ho appena scritto Windows CE: vi dice nulla?

Come sapete, Microsoft non fornisce più gli aggiornamenti di sicurezza per questo sistema operativo: ciò significa che gli hacker possono sfruttare le vulnerabilità note per eseguire in remoto codice malevolo sul sistema obiettivo e comprometterlo completamente.

Ma i problemi non sono solo causati dall’utilizzo di un sistema non più supportato da Microsoft: come spesso accade la configurazione errata di dispositivi connessi alla rete può aprire le porte agli attaccanti.

Porte che dovrebbero restare chiuse

Ciò accade in situazioni come quelle riscontrate dagli esperti Rios e Butts: nel corso della loro indagine sui sistemi di lavaggio industriale ne hanno individuato uno che esponeva in rete la console di amministrazione, protetta dalla password di default “12345”. Una volta effettuato l’acceso alla console, un attaccante poteva prendere il completo controllo di tutti i processi interni al lavaggio.

“Gli impianti di lavaggio delle automobili sono governati da sistemi di controllo industriali e quindi sono affetti dai medesimi problemi” ha detto Rios . “Abbiamo scritto un codice malevolo per far sì che l’impianto possa essere usato per attaccare fisicamente gli utenti. Il sistema colpirà chiunque sia presente nell’impianto di lavaggio. Pensiamo che questo sia il primo exploit in grado di causare questo genere di attacco”.

I due esperti hanno mostrato ai presenti alla conferenza come sono riusciti a by-passare i sensori di sicurezza sulle porte dell’autolavaggio aut,o in modo da riuscire ad incastrare il veicolo nell’impianto. Potenzialmente un attaccante potrebbe fare molto peggio: ad esempio potrebbe bloccare il veicolo in fase di lavaggio e colpire lo stesso violentemente con le spazzole del braccio robotizzato, distruggendo la vettura e ferendo gli occupanti.

“Siamo riusciti a controllare l’intero impianto di autolavaggio riuscendo a disabilitare tutti i sistemi di sicurezza in essere.”, ha continuato Rios. “Si potrebbero usare i rulli per il lavaggio per colpire violentemente l’auto e schiacciarla: tutto ciò in assenza di supporti di sicurezza meccanici”.

Il report a PDQ

Gli esperti hanno riportato i risultati della loro ricerca aPDQ nel febbraio 2015, ma non hanno ricevuto una risposta dalla società sino a quando non è stato annunciato il loro talk alla conferenza. Solo allora il produttore ha candidamente ammesso di non essere in grado di prevenire gli attacchi. PDQ ha quindi avvisato i suoi clienti e li ha invitati a modificare la password predefinita ed a proteggere gli impianti di autolavaggio da accessi indesiderati dalla rete, ad esempio filtrando il traffico in ingresso.

Il CERT americano ICS-CERT ha pubblicato un rapporto sulla vulnerabilità presente in diversi modelli di sistemi di autolavaggio LaserWash, Laser Jet e ProTouch PDQ.

A seguire l’elenco delle raccomandazioni per i gestori degli impianti di autolavaggio affetti:

  • Assicurarsi sempre che qualsiasi apparecchiatura PDQ non sia accessibile da Internet. Dovrebbe essere almeno protetta da un firewall.
  • Ogni volta che viene installato un dispositivo o un router, modificare sempre la password predefinita scegliendone una robusta.
  • Disabilitare l’impostazione port forwarding per evitare di esporre accidentalmente i sistemi dietro il firewall ad un attaccante esterno.
  • Non condividere le password e non lasciarle in mostra in un luogo accessibile da utenti non autorizzati.

Riassumendo: ogni volta che si espone in rete un dispositivo è buona norma valutarne i rischi a cui si espongono, oggetti di uso comune ed impianti che utilizziamo ogni giorno come un autolavaggio potrebbero essere usati contro di noi. Con conseguenze imprevedibili.

Tags: #AUTOLAVAGGIO #BLACK-HAT #PASSWORD #SICUREZZA #WINDOWS-CE
Iscriviti alla newsletter di SI

Info, networking, best practice sull'innovazione digitale in Italia.

Home
Il magazine dell'innovazione e delle startup italiane
facebook
twitter
instagram
linkedin

 

LifeValore ResponsabileSmart MoneyThe food makers

 

TechEconomyEducationLifestyleStartupImpact

StartupItalia

Advisory BoardArea InvestorSIOSShoppingAgendaBandiLavora con noi
loading autori
StartupItalia! è una testata registrata presso il tribunale di Roma n. 167/2012
StartupItalia! SRL, Cagliari, Via Sassari 3, 09123, PIVA 13733231008, REA - CA - 352408, Capitale Sociale: € 28.924,60, PEC startupitalia (at) legalmail.it
Privacy 
|
 Cookie 
|
 Change privacy settings
Torna alla home
Life
Smart Money
The food makers
Valore Responsabile
That's Round
Cover Story
Economy
Education
Impact
Lifestyle
Startup
Tech
Agenda
Bandi
LIVE TV
SIOS
Shopping
RUBRICHE
Unstoppable Women
Bandi Istruzioni per l'uso
Imprenditori Sostenibili
Investimenti Digitali E Cripto
MY
Articoli Salvati
STARTUPITALIA
Advisory Board
Area Investor
Lavora con noi
Chi siamo