חוקרים ישראלים גילו פרצת אבטחה חמורה במערכות קירור בסופרים ובבתי חולים

והכי גרוע – לא צריך להיות האקר מקצועי כדי לגשת לאותן מערכות ולשלוט בהן

מקור: Pixabay

חוקרים ישראלים גילו כי קרוב ל-7,500 מערכות קירור בסופרמרקטים ובמרכזים רפואיים ברחבי העולם ניתנות לשליטה על ידי גורמים לא רלוונטים, וחמור מכך – שלא צריך להיות האקר מקצועי כדי לעשות זאת. וכן, גם ישראל על המפה.

מי אשם – היצרנית או הלקוחות?

הרעיון מאחורי קונספט ״האינטרנט של הדברים״ (IoT) הוא לאפשר לכל אוביקט – פשוט ושגרתי ככל שיהיה, להפוך לחכם יותר, באמצעות חיבורו לרשת האינטרנט. אלא שברגע שעושים זאת, אותו מוצר הופך לפגיע למתקפות סייבר למיניהן, מה שבמקרים מסוימים יכול רק לפגוע בתפקודו – אבל במקרים חמורים יותר, כמו בבתי חולים או ברכבים למשל – מסכן חיים.

נועם רותם ורן ל׳ הישראלים מ-Safety Detective research lab חשפו מחדל בעייתי במערכות קירור המיוצרות על ידי Resource Data Management הסקוטית. השניים גילו כי ניתן לגשת לאותן מערכות די בקלות, בשל העובדה שהלקוחות שעושים בהם שימוש – לא טרחו לשנות את סיסמת ברירת המחדל שניתן למצוא לה איזכור באתר היצרנית. מערכות בקרה אלה משמשות בתי חולים וסופרמרקטים בישראל, אוסטרליה, גרמניה, מלזיה, איסלנד והדוגמא המוכרת ביותר – Marks & Spencer הבריטית.

להפשיר את כל המוצרים במקרר בלחיצת כפתור. מקור: SafetyDetective

החוקרים גילו כי כל המערכות הללו עושות שימוש בפרוטוקול HTTP לא מאובטח, וכולן מגיעות עם שם משתמש דיפולטי זהה והסיסמא המוצלחת ״1234״ בתור ברירת המחדל. אתם בוודאי חושבים לעצמכם; ״אוקיי, אבל הדבר הראשון שהלקוחות עושים הוא לשנות את פרטי ההתחברות, לא?״; ובכן, מתברר שלא כל כך, והגורמים שאחראים על אותן מערכות שינו את הסיסמאות הגנריות רק לעיתים רחוקות.

כדי לגשת למערכות הקירור הנשלטות מרחוק כל מה שאתם צריכים זה דפדפן (מכל סוג) ולהזין את כתובת ה-URL הנכונה, שלטענת החוקרים לא קשה למציאה, וחיפוש פשוט בגוגל מבטיח להניב עבורכם את התשובה. החוקרים הישראלים מציינים בדוח שלהם כי הם נתנו למזכירת המשרד משימה למצוא מכשירים כאלו באינטרנט, והיא הצליחה למצוא בקלות מפעל קירור בגרמניה ובית חולים בבריטניה, הכל בעזרת חברתנו הטובה גוגל. ברגע שנכנסים לכתובת URL של מקום ספציפי, ניתן לשלוט בכל התקני הקירור המחוברים בו – לשנות את הגדרות הקירור, ההקפאה וההתרעה במקרי חירום.

המשמעות היא שגורמים עוינים יכולים להרוס סחורה של סופר באמצעות שינוי הגדרות הקירור, וחמור מכך – החוקרים הצליחו לגשת למערכת של חברת התרופות הגדולה ביותר במלזיה – ואם אלו לא נשמרות בקירור הראוי – האפקטיביות שלהן נפגעת, מה שבהחלט עשוי לסכן חיים.

החוקרים ניסו לפנות אל Resource Data Management על מנת ליידע אותם במחדל ולהפציר בהם לתקן אותו בהקדם האפשרי, אך כשהם לא ענו באמצעי הקשר השגרתיים, הם פנו אליהם באמצעות טוויטר, וקיבלו תשובה די הזויה; ״חבר צוות בכיר בחברה״ כתב להם כי הוא מבקש מהם להפסיק לפנות אליהם – בין אם באמצעות מייל ובין אם באמצעות רשתות חברתיות.

בהמשך, כשהפרשה החלה לקבל סיקור נרחב יותר וחומרתה התגלתה, הם קיבלו תשובה קצת יותר ראויה; ראשית, הם הבהירו כי על מתקין המערכת לשנות את הסיסמא הראשונית במועד ההתקנה, והם מציינים זאת בהוראות השימוש. כמו כן, באפשרותם לשנות מרחוק את פרטי ההתחברות – אך תנאי השימוש שלהם לא מאפשרים לעשות זאת ללא הסכמת הלקוח עצמו. בעקבות החקיר, הם הודיעו כי יפנו לכל הלקוחות והמפיצים שלהם ויזכירו להם את החשיבות של של שינוי שמות המשתמש והסיסמאות המוגדרים כברירות המחדל. שוב עולה החשיבות של שינוי שם המשתמש והסיסמה הדיפולטית – גם אם מדובר במשהו פשוט לכאורה כמו צעצוע חדש שקניתם לילד, ובוודאי כאשר מדובר במערכות קריטיות.

הילה חיימוביץ׳

גיקית, Deal With It

הגב

5 תגובות על "חוקרים ישראלים גילו פרצת אבטחה חמורה במערכות קירור בסופרים ובבתי חולים"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
אהרון
Guest

תגובת החברה הסקוטית מעצבנת, מטומטמת, רשלנית ומה לא.
הרי לא חסרים רשעים שימהרו לנצל את הפרצה הזו.

עודמישהובנוסף
Guest
עודמישהובנוסף

פרצת אבטחה??
זה ממש לא פרצת אבטחה.
זה שהארגונים המדוברים משקיעים מליוני שקלים במערכות וחצי שקל באנשי IT זאת הבעיה האמיתית.
הרי אם הסיסמה הדיפולטיבית שמגיעה עם המערכת היתה SDGKSGN#$^K$#@%&KJBE$(@$)#%GB@#%) זה היה פותר את הבעיה?? ממש לא כי זה עדין זמין בגוגל לכל מי שמחפש.
זה כמו שתגידו שלרב בריח יש פרצה קריטית כי היוזרים לא נועלים את הדלת אלא רק סוגרים אותה…. נו באמת.

אתם מתחילים להיות רודפי קליקים כמעט כמו ווינט ומאקו. יש לכם קהל קוראים חכם. תפסיקו להעליב אותו עם הכותרות קליקבייט האלה.

יאיר
Guest

אחי זה לא משנה מה הסיבה, זו עדיין פרצת אבטחה. אותי אישית הכתבה הזו עניינה, ולדעתי הכותרת תואמת לתוכן.
(נכון שבכתבות אחרות כאן יש לפעמים כותרות קליק בייט.. אבל לא בכתבה הזו)

הוא
Guest

התגובה שלך ילדותית.
ברור שזו פרצת אבטחה ועוד אחת שנובעת מטיפשות של היצרן!
אם היצרן היה מגדיר סיסמה שונה, מורכבת ואקראית לכל מוצר, כותב אותה על מדבקה שנמצאת על המוצר במקום שאינו חשוף ומשתמש ב-HTTPS לא הייתה כל בעיה שהלקוח ישאיר את הסיסמה המקורית.

אלקטרו
Guest

להוציא את התקע !

wpDiscuz

תגיות לכתבה: