Возможно, Американская лаборатория НАСА и производит одни из самых высокотехнологичных вещей на планете, например, такие же роверы и космические телескопы, но оказывается, что у нее очень серьезные проблемы с кибербезопасностью.

Как сообщает портал Engadget, ссылаясь на отчет Управления Генерального инспектора Агентства, безопасность компьютерной сети одной из ведущих мировых исследовательских лабораторий находится на весьма посредственном уровне, что послужило причиной ее успешного хакерского взлома в апреле 2018 года. 

Читай также:  В Windows обнаружена серьезная уязвимость: поторопитесь обновиться!

Согласно источнику, злоумышленники, используя несанкционированный компьютер на базе Raspberry Pi (компактный одноплатный компьютер размером с банковскую карту, изначально разрабатывался как бюджетная система для обучения информатике, но позднее стал более широко использоваться), смогли украсть 500 МБ данных, которые были на одной из основных систем. Более того, хакеры использовали ту же возможность, чтобы найти шлюз, который позволил бы им проникнуть глубже во внутреннюю сеть JPL.

Благодаря этому они получили доступ к некоторым основным миссиям аэрокосмического агентства НАСА. Хакеры также использовали эту возможность, чтобы найти шлюз, который позволил бы глубже проникнуть во внутреннюю сеть JPL. Фактически это открыло им доступ к нескольким большим миссиям NASA, включая Deep Space Network, представляющую собой международную сеть радиотелескопов и средств связи, используемых как для радиоастрономического исследования Солнечной системы и Вселенной, так и для управления межпланетными космическими аппаратами. 

В результате, в целях безопасности, агентство решило отключить от сети JPL проекты по созданию многоцелевого транспортного корабля «Орион» и Международную космическую станцию, чтобы хакеры впоследствии не добрались и до них. 

В прошлом месяце эксперты предупреждали, что некоторые автомобили атаковались хакерами. Это предупреждение повторяется сегодня, когда новости о том, что хакеры в Pen Test Partners смогли использовать критические уязвимости в популярных «умных» приложениях для автосигнализации и разблокировать транспортные средства, прослушивать разговоры водителя и даже останавливать двигатель во время езды автомобиля. 

Специалисты по тестированию на проникновение вложили около 4000 фунтов стерлингов (5000 долларов США) в системы интеллектуальных автомобильных сигнализаций высшего класса, чтобы протестировать их. Кен Манро, основатель Pen Test Partners, объясняет то, что реклама одного из заинтересованных поставщиков и система, изначально вызывала интерес. Это никогда не будет большим требованием, так как любой эксперт по безопасности скажет вам, что нет такой вещи, как 100% безопасность. Неудивительно, что этот поставщик, Pandora, теперь удалил необоснованное требование со своего веб-сайта. Pen Test Partners также проверил системы сигнализации от Viper, которые выпускаются под маркой Clifford в Великобритании. Учитывая, что они представляют одни из крупнейших мировых брендов в области безопасности транспортных средств, вы не можете ожидать, что их продукты будут в безопасности. 

Какие недостатки обнаружили исследователи?

Уязвимости было не так сложно обнаружить, и они позволили исследователям использовать законную учетную запись одного пользователя для доступа к профилям других. Это произошло потому, что один простой запрос «изменить пользователя» в коде не был правильно внесен для проверки. Получив доступ, они смогли изменить пароли пользователей и взять под контроль учетную запись и машину, к которой она относится. Напомним, что, взяв несколько параметров в коде приложения, исследователи могли обновить зарегистрированную учетную запись электронной почты без аутентификации и отправить запрос на сброс пароля на новый адрес. Я упоминал, что вам даже не нужно было владеть одной из систем, чтобы получить учетную запись, что делает использование этих недостатков еще более тривиальным.

Что они могли сделать в результате?

Как только исследователи получили контроль над учетной записью пользователя, они могли получить доступ и извлечь все пользовательские данные. Они не действовали и действовали ответственно, только получая доступ к данным из своих собственных учетных записей, чтобы доказать концепцию. То, что они делали, это определяли местоположение и отслеживали транспортное средство. В подходящем моменте они смогли заглушить двигатель, в результате чего машина остановилась, открыть двери и, таким образом, угнать автомобиль, если он был склонен. Аналогичным образом, они могут вызвать срабатывание будильника и мигание огней во время движения, в результате чего водитель останавливается, чтобы провести расследование. В этот момент они могли установить иммобилайзер и, поскольку они контролировали учетную запись, не позволяли владельцу перезапустить автомобиль.

Что-то еще? Что ж, клонирование брелка стало возможным с помощью приложения, позволяющего разблокировать автомобиль на любом смартфоне. Это звучит достаточно плохо, но становится еще хуже: на автомобиле, оснащенном Viper, исследователи смогли убить двигатель, пока он находился в движении. «Это очень важно для безопасности», - объясняет Мунро, продолжая: "Сколько несчастных случаев, связанных с вождением автомобилей на скоростных дорогах, может быть вызвано злоумышленниками?" Что касается функции запуска / остановки, Манро признает, что «она очень специфична для транспортного средства, поэтому мы не смогли все это протестировать». Среди автомобилей, которые могут подвергаться риску от этой конкретной уязвимости, по словам Мунро, - Mazda 6, Range Rover Sport, Kia Quoris, Toyota Fortuner, Mitsubishi Pajero, Toyota Prius 50 и RAV4. «Похоже, что все они имеют недокументированную функциональность, присутствующую в API сигнализации для удаленной регулировки скорости круиз-контроля!» Но, пожалуй, самый удивительный взлом был связан с системой сигнализации Pandora, в которой есть микрофон, позволяющий водителю совершать экстренные вызовы.

Что сказали продавцы?

В электронном письме TechCrunch Энтони Ното из Pandora настаивал на том, что «шифрование системы не было взломано, пульты не были взломаны, а теги не были клонированы». Он сказал, что проблема была в «программном сбое», которое позволило «временный доступ», который «сейчас решен». Говоря с BBC , Directed, который является материнской компанией для брендов Clifford и Viper, сказал, что «учетные записи клиентов могли быть доступны без разрешения ... в результате недавнего обновления».

Партнеры Pen Test связались с соответствующими поставщиками, прежде чем публиковать сведения об уязвимостях, чтобы их можно было исправить. Поскольку эти уязвимости присутствуют в программном обеспечении приложений, поставщики смогли изменить кодировку, и исследователи подтвердили, что недостатки были исправлены как Clifford / Viper, так и Pandora. Все это говорит, Манро указывает, что его исследователи не провели полный тест кодирования интерфейса, поскольку это потребовало бы дальнейшей авторизации. «Мы понятия не имеем, есть ли другие уязвимости ...», - признается Мунро. «Исправление проблем может быть трудным, и фирмы проделали хорошую работу по быстрому решению этих проблем, - говорит Адам Браун, менеджер по решениям безопасности в Synopsys».

И, как отмечает Иан Трамп, глава отдела безопасности AmTrust International, «хотя компании предприняли быстрые действия, которые заслуживают похвалы, эти устройства никогда не должны были устанавливаться - в первую очередь с присутствующими уязвимостями». Трамп также говорит, что повезло, что хорошие парни попали туда первыми, добавив, что «мы никогда не узнаем наверняка, поскольку на поверхности атаки было около трех миллионов транспортных средств с установленной сигнализацией ...»