Video: Elintarvikkeiden kokous (Lokakuu 2024)
Kiinan Shenzhenissä, St. Regis -kaupungissa ollessa riippumaton turvallisuuskonsultti ja luotettavan tietotekniikan ryhmän entinen puheenjohtaja Jesus Molina hakkeroi onnistuneesti luksushotellin 200 huoneen hallintalaitteet.
Hotelli tarjoaa jokaisessa huoneessa iPadin, jonka avulla vieraat voivat muun muassa hallita valoja ja kaihtimia. Molina kuvasi perjantaina Black Hatin osallistujille, kuinka hän oli utelias iPadin käyttämään automaatiojärjestelmään. Molina huomasi, että se käytti hotellin vieras Internet-palvelua kommunikoidakseen valaisimien ja muiden esineiden kanssa. Automaatiokomennoissa käytettiin KNX / IP-protokollaa, joka on kaksi vuosikymmentä vanha protokolla, jolla ei ole suojausasetuksia. Vaikka on olemassa uudempi versio KNX / IP: stä, johon on sisällytetty joitain suojausasetuksia, useimmat käyttäjät eivät ole päivittäneet sitä.
Kuinka epävarmoja me puhumme? Molina havaitsi, että jos hän otti yhden laitteen IP-osoitteen ja muutti vain viimeisen numeron, hän pystyi pääsemään toiseen laitteeseen huoneessa. Hän kirjoitti käsikirjan, joka kartoitti valojen ja kaihtimien IP-osoitteet 200 eri huoneessa. Hänen oli pyydettävä vastaanotosta vaihtamaan huoneensa neljä kertaa, jotta hän hienosäätää karttaansa hotellin verkosta.
Molina näytti videon itsestään suorittamasta testejä ja kytkemässä valoja etänä huoneissa.
Molina ilmoitti St Regis -yrityksen omistamalle hotelliketjulle Starwood Group ja ilmoitti heille virheestä. Starwood teki yhteistyötä ja korjasi puutteen nopeasti, joten kaikki sen järjestelmää käyttävät hotellit eivät ole enää haavoittuvia.
KNX / IP on kuitenkin Kiinassa hotellien laiteautomaatioon tarkoitettu standardi, ja sitä käytetään myös laajasti Euroopassa. Se on paljon hotelleja, jotka käyttävät vanhempaa, epävarmaa protokollaa. Molina totesi, että vaikka KNX / IP: n oletetaan olevan vakio, sen käyttöä selittävät asiakirjat maksavat yli tuhat dollaria. Tämä tarkoittaa, että muu kuin Starwood-hotelli, joka käyttää samanlaista automaatiojärjestelmää, saattaa silti olla haavoittuvainen.
