Systemen voor "smart cities" kwetsbaar voor manipulatie
Onderzoekers hebben in verschillende systemen en sensoren voor "smart cities" kwetsbaarheden ontdekt waardoor aanvallers die kunnen manipuleren. Het gaat om systemen en draadloze sensornetwerken van Libelium, Echelon en Battelle. De sensoren worden bijvoorbeeld gebruikt om het waterniveau te monitoren en te waarschuwen voor overstromingen. Ook worden ze ingezet om het stralingsniveau rond kernfabrieken te meten.
De sensoren en "smart city" systemen kunnen voor allerlei toepassingen worden ingeschakeld. Onderzoekers van Threatcare en IBM vonden in vier van deze systemen 17 kwetsbaarheden, waarvan er 8 als ernstig zijn aangemerkt. De beveiligingslekken maakten het onder andere mogelijk voor een aanvaller om gebruikersnamen en wachtwoorden te achterhalen en de authenticatie te omzeilen. Op een schaal van 1 tot en met 10 wat betreft de ernst van de kwetsbaarheden zijn die met een 9,8 beoordeeld.
Zodra een aanvaller toegang tot een systeem heeft kan hij de sensoren manipuleren. Die kunnen bijvoorbeeld een onterechte waarschuwing voor overstromingen of stralingslekken geven terwijl dit niet het geval is, of in het daadwerkelijke geval van een ramp juist geen waarschuwing geven. De onderzoekers informeerden de drie leveranciers, die vervolgens met beveiligingsupdates kwamen.
Het Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) van de Amerikaanse overheid adviseert beheerders van smart city-systemen om die niet voor het internet toegankelijk te maken, van andere netwerken te isoleren en wanneer remote toegang toch is vereist een virtual private network (vpn) te gebruiken.
Uittreksel uit het vermeld IBM artikel:
'For a tense 38 minutes in January 2018, residents of Hawaii saw the following civil alert message on their mobile devices: “BALLISTIC MISSILE THREAT INBOUND TO HAWAII. SEEK IMMEDIATE SHELTER. THIS IS NOT A DRILL.”
This false alarm was eventually attributed to human error, but what if someone intentionally caused panic using these types of systems?'
Dit lijkt toch goed op ouderwetse Koude Oorlog strapatsen, maar 'toen' was het echt ooit 'op het nippertje afgeblazen', brr.
En in Hawaï uitgerekend, was er dit jaar in mei toch een echte, maar wel, natuurramp met die vulkaanuitbarsting en die lavastromen die zomaar door de tuinen van de burgers stroomden. Je moet zoiets maar eens meemaken, dat was wel geen show daar en later dan al die gevaarlijke zwavelgassen erbij.
Het punt is dat daar helemaal niet over gerept wordt!
Maar 'imminente gevaarlijke aanstormende ballistische rakketten', o wee...
https://www.hln.be/nieuws/buitenland/vulkaan-op-hawai-barst-opnieuw-uit-laatste-inwoners-getroffen-dorpen-moeten-vertrekken~a37a19c1/
https://nl.wikipedia.org/wiki/Hawa%C3%AF
En dit: 'Smart city technology spending is anticipated to hit $80 billion this year and grow to $135 billion by 2021. As smart cities become more common, the industry needs to re-examine the frameworks for these systems to design and test them with security in mind from the start'
P.S. Dat 'IBM' is dat niet verpatst aan de Chinezen?
'Sire, geef ons een vijand svp'
'Think about it'!
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
