Дупки в сигурността на хиляди устройства, продавани от Honeywell, позволяват на злонамерени потребители да контролират изцяло отоплителни системи, асансьори и други съоръжения, съобщава Ars Technica.
Били Риос и Тери МакКоркъл от фирмата Cylance демонстрираха на организиран от Kaspersky форум как написан от тях скрипт може само за 25 секунди да установи пълен контрол над системата. Така в реалния свят те биха могли да деактивират аларми и да отварят врати - нещо, което от доста години виждаме по филмите.
Централизираните системи за контрол се използват с цел да се спести време на обслужващия персонал. Чрез свързването с Интернет, инженерите могат даже от километри разстояние да променят конфигурациите. В някои случаи даже работещите в сградите с подобни системи не знаят за съществуването им.
От доста време специалистите по електронна сигурност алармират, че удобството идва с цената на потенциален риск за сигурността. Опасността се засилва и от факта, че много от контролерите са директно свързани с вътрешната мрежа т.е. при пробив хакерът би могъл да достигне до иначе недостъпни масиви с информация. Твърде малко компании скриват устройствата зад Firewall или VPN.
Риос и МакКоркъл открили 21 541 устройства, свързани с Интернет - някои от които били във военни обекти и болници. Били Риос и Тери МакКоркъл са открили над 1000 нередности в работата на различни модели контролни системи за само една година.
На едно от устройствата те обърнали по-голямо внимание, тъй като принадлежало на фирма, която платила на фирмата да проведе тест на системите й за сигурност. „Изключиха го от всякаква връзка с Интернет още преди да сме свършили", коментира Риос.
Според него даже програми като iTunes са по-добре защитени от сложните контролни системи, чиито производители понякога въобще не обръщат внимание на „дупките" в скъпоструващите си продукти.
Вече има няколко случая, в които това е могло да доведе до значителни проблеми. През 2009 г. уволнен охранител на болница в Тексас беше арестуван, след като публикува в Интернет закани, че ще блокира климатичната инсталация на лечебното заведение. Преди година хакери поеха контрола над отоплението в офисите на компания от Ню Джърси.
Известният вирус Stuxnet, който порази иранската ядрена програма също използва пробойни в сигурността на произведен от Siemens контролер, използван за т.нар „центрофуги" за обогатяване на уран.
