up_icon
Misc

Ευάλωτα σε ψηφιακές επιθέσεις πολλά «έξυπνα» συστήματα των σύγχρονων πόλεων

16 Σεπτεμβρίου 2016 Yannis Elpidis

Ευάλωτα σε ψηφιακές επιθέσεις πολλά «έξυπνα» συστήματα των σύγχρονων πόλεων

smartcities_wide

Οι ερευνητές της Kaspersky Lab εξέτασαν ένα πλήθος e-kiosk και διαδραστικών τερματικών που χρησιμοποιούνται στις σύγχρονες πόλεις για διαφορετικούς σκοπούς – από την πληρωμή διάφορων υπηρεσιών μέχρι την ψυχαγωγία. Στο πλαίσιο αυτό, ανακάλυψαν ότι πολλά απ’ αυτά έχουν τρωτά σημεία, τα οποία μπορούν να εκθέσουν τα ιδιωτικά δεδομένα των χρηστών και να χρησιμοποιηθούν για υποκλοπή ή διασπορά κακόβουλου κώδικα. Εκτός από τα ηλεκτρονικά κιόσκια, οι ειδικοί διερεύνησαν και τις κάμερες της τροχαίας που χρησιμοποιούνται στις πόλεις, καθώς και τις υποστηρικτικές τους υποδομές. Ως αποτέλεσμα, ανακάλυψαν ότι κακόβουλοι χρήστες θα μπορούσαν με ευκολία να έχουν πρόσβαση σε αυτές τις κάμερες και να χειριστούν κατά βούληση τα δεδομένα που συλλέγονται.

Οι σύγχρονες πόλεις είναι πολύπλοκα οικοσυστήματα, τα οποία αποτελούνται από εκατοντάδες διαφορετικές επιμέρους συνιστώσες, συμπεριλαμβανομένων και των ψηφιακών. Αν κι αυτές αποσκοπούν στο να κάνουν τις ζωές των πολιτών πιο εύκολες και ασφαλείς, μπορούν ως ένα βαθμό να αποτελέσουν και απειλές για τα δεδομένα και την ασφάλεια τους, όπως κατέδειξαν τα ευρήματα της έρευνας που πραγματοποίησαν οι ειδικοί της Kaspersky Lab.

Τα τερματικά έκδοσης εισιτηρίων στους κινηματογράφους, οι αυτόματοι σταθμοί ενοικίασης ποδηλάτων, τα πληροφοριακά e-kiosk των οργανισμών του Δημοσίου, τα τερματικά κρατήσεων και πληροφοριών στα αεροδρόμια και τα συστήματα πληροφόρησης και ψυχαγωγίας επιβατών στα ταξί μπορεί να έχουν διαφορετική εμφάνιση, αλλά στο εσωτερικό τους, τα περισσότερα απ’ αυτά είναι ίδια. Κάθε τέτοιο τερματικό είναι ουσιαστικά μία συσκευή που λειτουργεί με βάση είτε τα Windows, είτε την πλατφόρμα Android. Η κύρια διαφορά σε σύγκριση με τις συνηθισμένες συσκευές είναι το ειδικό λογισμικό των e-kiosk που τρέχει στα δημόσια τερματικά και λειτουργεί ως interface χρήσης. Αυτό το λογισμικό δίνει στο χρήστη εύκολη πρόσβαση σε συγκεκριμένα χαρακτηριστικά του τερματικού, ενώ ταυτόχρονα περιορίζει την πρόσβαση σε άλλα χαρακτηριστικά του λειτουργικού συστήματος της συσκευής, συμπεριλαμβανομένης της εκκίνησης ενός προγράμματος περιήγησης στο Διαδίκτυο ή ενός ψηφιακού πληκτρολογίου. Η πρόσβαση σε αυτές τις λειτουργίες προσφέρει στους εισβολείς μια πληθώρα ευκαιριών να θέσουν το σύστημα σε κίνδυνο, σαν να βρίσκονταν μπροστά σε έναν ηλεκτρονικό υπολογιστή. Η έρευνα έδειξε ότι σχεδόν όλα τα δημόσια e-kiosk περιέχουν ένα ή περισσότερα τρωτά σημεία ως προς την ψηφιακή τους ασφάλεια, τα οποία θα επέτρεπαν σ’ έναν εισβολέα να έχει πρόσβαση σε κρυμμένα χαρακτηριστικά του λειτουργικού συστήματος.

Σε μια συγκεκριμένη περίπτωση, το interface χρήσης του τερματικού περιείχε ένα web-link. Το μόνο που έπρεπε να κάνει ο εισβολέας ήταν απλώς να πατήσει πάνω σε αυτό, για να εκκινήσει το πρόγραμμα περιήγησης και στη συνέχεια – μέσω του πρότυπου διαλόγου για Βοήθεια - να ξεκινήσει η λειτουργία ενός εικονικού πληκτρολογίου. Σε μια άλλη περίπτωση που αφορούσε ένα e-kiosk εξυπηρέτησης δημόσιας υπηρεσίας, το σενάριο απαιτούσε από το χρήστη να πατήσει το κουμπί "Εκτύπωση". Μετά από αυτό, για μερικά δευτερόλεπτα το παράθυρο διαλόγου εκτύπωσης του συνήθους προγράμματος περιήγησης θα άνοιγε και – αν ήταν αρκετά γρήγορος – ο εισβολέας θα μπορούσε να πατήσει το πλήκτρο «αλλαγή» [στις παραμέτρους εκτύπωσης] και να εισέλθει στο παράθυρο της Βοήθειας. Από εκεί, θα μπορούσε να ανοίξει τον πίνακα ελέγχου και το πληκτρολόγιο στην οθόνη. Έτσι, ο εισβολέας μπορεί να έχει στα χέρια του όλες τις λύσεις που απαιτούνται για την εισαγωγή πληροφοριών (το εικονικό πληκτρολόγιο και το δείκτη του ποντικιού) και να χρησιμοποιήσει τον υπολογιστή για τους δικούς του σκοπούς – π.χ. για να εκκινήσει τη λειτουργία κακόβουλου λογισμικού, να πάρει πληροφορίες από έντυπα αρχεία, να αποκτήσει τον κωδικό πρόσβασης διαχειριστή της συσκευής κλπ. Κι αυτές είναι μόνο μερικές από τις αδυναμίες που ανακαλύφθηκαν από τους ερευνητές της Kaspersky Lab.

Όπως δήλωσε ο Denis Makrushin, Ειδικός σε Θέματα Ασφάλειας της Kaspersky Lab.

"Σε μερικά από τα δημόσια τερματικά που έχουμε ερευνήσει, γινόταν επεξεργασία πολύ σημαντικών πληροφοριών, όπως τα προσωπικά δεδομένα του χρήστη, συμπεριλαμβανομένων των αριθμών πιστωτικών καρτών και επαληθευμένων επαφών (για παράδειγμα, αριθμούς κινητών τηλεφώνων). Πολλά από αυτά τα τερματικά είναι συνδεδεμένα μεταξύ τους, αλλά και με άλλα δίκτυα. Για έναν εισβολέα, αυτά μπορούν να αποτελέσουν μια πολύ καλή κάλυψη για διαφορετικούς τύπους επιθέσεων – από απλό χουλιγκανισμό, μέχρι εξελιγμένη εισβολή στο δίκτυο του ιδιοκτήτη του τερματικού. Επιπλέον, πιστεύουμε ότι στο μέλλον τα δημόσια e-kioskθα ενοποιηθούν και με επιπλέον «έξυπνες» υποδομές των πόλεων, καθώς αποτελούν έναν βολικό τρόπο αλληλεπίδρασης με πολλαπλές υπηρεσίες. Πριν συμβεί αυτό, οι πωλητές πρέπει να βεβαιωθούν ότι είναι αδύνατον να παραβιαστούν τα τερματικά μέσα από τις αδυναμίες που έχουμε ανακαλύψει"

Ένα άλλο κομμάτι της έρευνας αφορούσε στις κάμερες της τροχαίας που βρίσκονται στις πόλεις. Χρησιμοποιώντας τη μηχανή αναζήτησης Shodan, οι ερευνητές κατάφεραν να εντοπίσουν πολλαπλές διευθύνσεις IPad που ανήκουν σε τέτοιες συσκευές και είναι ελεύθερα προσβάσιμες στο Διαδίκτυο. Καθώς δεν υπήρχαν ενεργοί κωδικοί πρόσβασης, ο καθένας ήταν σε θέση να δει το υλικό που ήταν καταγεγραμμένο από τις κάμερες και ακόμη περισσότερα. Οι ερευνητές ανακάλυψαν ότι ορισμένα εργαλεία που χρησιμοποιούνταν για τον έλεγχο αυτών των καμερών ήταν επίσης δημοσίως διαθέσιμα στο Διαδίκτυο.

O Vladimir Dashchenko, Ειδικός σε Θέματα Ασφάλειας της Kaspersky Lab, σχολίασε,

"Σε ορισμένες πόλεις, τα συστήματα των καμερών της τροχαίας παρακολουθούν ορισμένες λωρίδες στους αυτοκινητόδρομους – ένα χαρακτηριστικό που θα μπορούσε εύκολα να απενεργοποιηθεί. Έτσι, αν ένας εισβολέας χρειάζεται να κλείσει το σύστημα σε μια συγκεκριμένη θέση για ένα χρονικό διάστημα, θα μπορούσε εύκολα να το κάνει. Λαμβάνοντας υπόψη ότι αυτές οι κάμερες μπορούν να χρησιμοποιούνται για λόγους ασφάλειας και επιβολής του νόμου, είναι πραγματικά εύκολο να φανταστεί κανείς πώς αυτά τα τρωτά σημεία μπορούν να βοηθήσουν στην τέλεση εγκληματικών ενεργειών, όπως η κλοπή αυτοκινήτων κ.ά. Επομένως, είναι πολύ σημαντικό τα δίκτυα αυτά να παραμένουν προστατευμένα, τουλάχιστον από την άμεση πρόσβαση στο Διαδίκτυο"

Το πλήρες κείμενο της έρευνας, καθώς και συμβουλές για την προστασία των συστημάτων των «Έξυπνων Πόλεων», είναι διαθέσιμα στον ιστότοπο Securelist.com.

Η έρευνα είναι επίσης διαθέσιμη και στον ιστότοπο της πρωτοβουλίας «Securing Smart Cities» (Securingsmartcities.org), ενός παγκόσμιου, μη κερδοσκοπικού οργανισμού, που στοχεύει στην επίλυση των υπαρχόντων και μελλοντικών προβλημάτων ψηφιακής ασφάλειας των «έξυπνων πόλεων», μέσω της συνεργασίας επιχειρήσεων, κυβερνητικών φορέων, μέσων ενημέρωσης, άλλων μη κερδοσκοπικών πρωτοβουλιών και ιδιωτών ανά τον κόσμο.

Yannis Elpidis

Είμαι ένας λάτρης της τεχνολογίας και του διαδικτύου. Γνώρισα τον πρώτο μου υπολογιστή στα μέσα της δεκαετίας του '80 και ήταν "love at first sight" που λένε και στο χωριό μου. Θα με βρείτε καθημερινά στη "Darkpony Digital".

Αγαπημένο μότο:
 "There are 10 kinds of people, those who understand binary and those who don't."

ΣΧΟΛΙΑ
read more

Διστακτικοί οι Έλληνες στον αποχωρισμό των παλιών smartphones τους

29 Ιουνίου 2022 Techgear Team

Διστακτικοί εμφανίζονται οι Έλληνες καταναλωτές στο να «αποχωριστούν» smartphones που δεν χρησιμοποιούν πια, με το 83% των ερωτηθέντων να δηλώνει πως όταν δεν χρησιμοποιεί πλέον ένα smartphone, το αφήνει ...

Samsung: Πρόστιμο $14 εκατ. για λανθασμένους ισχυρισμούς περί αδιαβροχοποίησης

27 Ιουνίου 2022 Christos Elpidis

Από το 2019 η αρμόδια επιτροπή περί Ανταγωνισμού και Καταναλωτών της Αυστραλίας (ACCC) είχε ξεκινήσει μια έρευνα με αφορμή τις διαφημίσεις της Samsung σχετικά με την αδιαβροχοποίηση των συσκευών της. Οι ...

Ηλεκτρονική δωροκάρτα Skroutz: Η νέα υπηρεσία του Skroutz Marketplace

21 Ιουνίου 2022 Techgear Team

Το Skroutz, το #1 marketplace στην Ελλάδα, πιστό στο όραμα του να προσφέρει εκείνες τις λύσεις που κάνουν την online αγοραστική εμπειρία ευχάριστη, γρήγορη και ασφαλή, συστήνει στους καταναλωτές τις ...

Νέο κατάστημα iStorm στην Πάτρα

16 Ιουνίου 2022 Techgear Team

Στο νέο κατάστημα iStorm, το οποίο βρίσκεται στο κέντρο της πόλης, Ρήγα Φεραίου 138 & Φιλοποίμενος, οι καταναλωτές θα έρθουν σε επαφή με το μοναδικό οικοσύστημα της Apple και τις ολοκληρωμένες λύσεις που ...

Οι νέοι της Ελλάδας πρώτοι στην Ευρώπη στην αγορά προϊόντων απομίμησης

08 Ιουνίου 2022 Techgear Team

Περισσότεροι από τους μισούς (52 %) Ευρωπαίους ερωτηθέντες, ηλικίας μεταξύ 15 και 24 ετών, δήλωσαν ότι είχαν αγοράσει τουλάχιστον ένα προϊόν απομίμησης στο διαδίκτυο κατά τη διάρκεια του περασμένου έτους, τόσο ...

Lancom: Νέο Data Center στην Κρήτη

19 Μαΐου 2022 Techgear Team

Η Lancom, πρωτοπόρος εταιρεία παροχής Data Center, Cloud και Τηλεπικοινωνιακών υπηρεσιών στα Βαλκάνια, προχωράει στο επόμενο στάδιο του προγραμματισμένου πλάνου ανάπτυξής της και ανακοινώνει την έναρξη των ...

Bay View: Αυτό είναι το νέο, εντυπωσιακό campus της Google

18 Μαΐου 2022 Christos Elpidis

Χρειάστηκε να περάσουν σχεδόν 10 χρόνια από τότε που έγινε γνωστό πως η Google θα φτιάξει νέο campus (και 6 χρόνια από την έναρξη των εργασιών) για να το δούμε στην ολοκληρωμένη του μορφή. Η εταιρεία ανοίγει τα...

Την Τετάρτη 18 Μαΐου στο Ζάππειο το 5G Conference SΕ Europe 2022

17 Μαΐου 2022 Techgear Team

Το πρώτο συνέδριο στη χώρα μας που αφορά στα κινητά δίκτυα 5ης γενιάς, το 5G Conference Southeastern Europe, διοργανώνεται την ερχόμενη Τετάρτη, 18 Μαΐου στο Ζάππειο Μέγαρο. Στο διεθνές συνέδριο θα ...

Πανελλαδική έρευνα καταναλωτών της ΕΕΤΤ για τη χρήση υπηρεσιών courier

11 Μαΐου 2022 Techgear Team

Πανελλαδική έρευνα με αντικείμενο τη χρήση υπηρεσιών ταχυμεταφοράς δεμάτων και την αποτύπωση της εμπειρίας των καταναλωτών, διενήργησε η ΕΕΤΤ κατά το διάστημα Ιανουαρίου-Μαρτίου 2022. Ειδικότερα, διερευνήθηκαν ...

Apple: Απειλείται με πρόστιμο έως $36.5 δισ. από την ΕΕ λόγω του NFC των iPhone

05 Μαΐου 2022 Christos Elpidis

Συνεχίζεται το κυνήγι της Ευρωπαϊκής Επιτροπής κατά της Apple, καθώς αυτή τη φορά απαιτεί από την εταιρεία να δώσει πρόσβαση στην τεχνολογία NFC των iPhone σε τρίτους προκειμένου να προσφέρει περισσότερες ...

Loader
techgear_icon