Идеални хакери, желаещи да практикуват на бензиностанцията - IT cafe Security M2M news

Автоматизираните габарити на резервоарите (ATG) на бензиностанциите следят количеството гориво, изчерпването, но тези инструменти също ви предупреждават, ако възникне някаква аномалия. Тези устройства могат да бъдат намерени на почти всяка зарядна станция в САЩ, както и на десетки хиляди международни кладенци.

ATG обикновено може да се управлява чрез вграден или адаптивен сериен порт, факс или модем или чрез TCP/IP верига. Типично е дистанционното управление, като все по-малко излизат „вкъщи“. Ако, от друга страна, отдалечен достъп, защо да не говорим с контейнера нешифрован на TCP порт 10001? Е, това е възможно!

Рекламирайте

Според проучване на Rapid7 от 10 януари, то е получило диагностични данни от около три процента от бензиностанциите или 5300 обекта, без да се налага да се идентифицира. Според Американското статистическо бюро в САЩ има 112 000 бензиностанции, но това е цифра от 2012 г., според експерти, можем да разчитаме на около 150 000 през 2015 г.

Използвайки инфраструктурата на Project Sonar, Rapid7 сканира цялото IPv4 адресно пространство (по-конкретно 6,5 милиона IP адреса), ако намери порт 10001 отворен, като изисква информация. отговорът включваше името и адреса на бензиностанцията, броя на резервоарите, нивото на горивото и вида на горивата. Не са необходими специални инструменти за използване на TCP/IP интерфейса.

желаещи

Решение от Veeder-Root, един от най-големите производители на ATG

Трите процента не изглеждат много, 5800 зарядни станции още повече. Но към какво се насочва хакер, ако вече има достъп до диагностиката на резервоар за гориво? Атакуващият има способността да нулира алармените схеми, да рестартира системата и по същество да предотврати използването на определен контейнер. И резервоар, работещ с фалшиви аларми и грешни данни, в крайна сметка няма да достави повече гориво, докато не бъде ремонтиран.