Поставь пароль на ветряк: безопасники предупреждают об интернет-уязвимости некоторых ветровых турбин

Интернет вещей разрастается, взломами смартфонов, носимых устройств или даже автомобилей уже никого не удивить. Но всё новые и новые устройства добавляются к сети, и подключение новых устройств, как это обычно бывает, приводит к обнаружению новых уязвимостей. Например, сейчас можно взломать ветровую турбину.

Оказывается, некоторые производители ветряков предлагают их автоматическое подключение к интернету и веб-интерфейс для управления ветряками и мониторинга их работы. Однако не все покупатели даже знают о существовании этих интерфейсов, не говоря уже о том, чтобы обеспечить безопасность доступа или хотя бы поменять пароль по-умолчанию.

17 марта Компьютерная группа реагирования на чрезвычайные ситуации (подразделение Министерства внутренней безопасности США) опубликовало отчёт по обнаруженной группой уязвимости ^[1]ветряков XZERES 442SR. Эти ветряки предоставляют веб-интерфейс для доступа к системе. Выявленная уязвимость встроенного сервера позволяет получить пароль. В конечном итоге злоумышленник может даже обесточить систему.

Конечно, группа призвала владельцев ветряков пропатчить систему – но кто из них узнает об этом или сможет это сделать самостоятельно? Тем временем веб-интерфейсы этих ветряков можно обнаружить с лёгкостью.

Достаточно обратиться к любимой фанатами информационной безопасности поисковой системе Shodan ^[2]. Поиск слова «XZERES» в данный момент выдаёт 78 результатов. Пройдя по найденным ссылкам обычным браузером, можно попасть в веб-интерфейс ветряка ^[3] и понаблюдать за показателями его работы.

Будущее неотвратимо наступает, поэтому пользователям «умных» устройств необходимо не только научиться их включать, но и привыкнуть к основам безопасности при их использовании.

Автор: SLY_G

Источник ^[4]