استفاده از روباتها در حوزههای مختلف، در کنار مزایایی که برای صاحبان کسب و کار و همچنین مشتریان به همراه دارند از نظر امنیتی میتوانند مشکلاتی را نیز به دنبال داشته باشند. این امر در خصوص کارواشهای تمام خودکار نیز صادق بوده و نفوذگران با پیادهسازی راهکارهای مختلف میتوانند کنترل از راه دور را در این بخش نیز برعهده بگیرند.
مشکلات امنیتی رصد شده در تجهیزات پزشکی فعال در بستر اینترنت یا حتی خودروها، در سالهای اخیر نگرانی های فراوانی را به دنبال داشته است. این در حالی است که اینها تنها بخشی از ابزارها و دستگاههایی هستند که ممکن است فرصتهای تازهای را پیش روی مجرمان سایبری قرارداده و مشکلاتی را برای کاربران به همراه آورند.
از مدتها پیش کارواشهایی راهاندازی شدهاند که شست و شوی خودکار خودرو را بدون نیاز به حضور نیروهای انسانی و دخالت دست ممکن میسازند. به این ترتیب، میتوان برنامهریزیهای لازم را برای شروع به کار و متوقف کردن فرایند شست و شو یا حتی انتخاب نوع نظافت، از طریق صفحهنمایشهای لمسی برنامه ریزی کرد.
مورد قابل توجهی که در این فرایند وجود دارد آن است که متخصصان یا مالک کارواش میتواند از طریق اینترنت بر فرایند شست و شو نظارت داشته باشند.
این در حالی است که متخصصان سایبری در گفتگو با وبسایت Motherboard از یافتن حفرههای امنیتی در کارواشهای فعال در بستر اینترنت خبر دادهاند. حفرههایی که امکان کنترل از راه دور سیستمها و حتی وارد کردن آسیب فیزیکی به خودرو و سرنشینان آن را فراهم میکنند. این حفرههای امنیتی به نفوذگر این امکان را خواهند داد تا باز یا بسته کردن درهای کارواش، خودرو را در داخل محفظه شست و شو به تله انداخته یا حتی از طریق درهای وروی و خروجی، آسیبهایی را به خودرو و سرنشینان آن وارد کنند.
Billy Rios موسس شرکت امنیتی Whitescope در گفتگو با وبسایت Motherboard میگوید:
ما معتقدیم این اولین حفره امنیتی در پلتفرمهای متصل به اینترنت است که میتواند آسیبهای فیزیکی را به دیگران وارد کند. Rios سرپرستی این تحقیق را به همراه Jonathan Butts از شرکت QED Secure Solutions برعهده داشته است. این محققان قصد دارند شرح کامل تحقیقات خود و نتیجه آن را در کنفرانس Black Hat Security که هفته جاری در لاس وگاس برگزار خواهد شد پیش روی مشتاقان قرادهند.
Rios در سالهای اخیر مشکلات امنیتی بسیاری را در حوزههای مختلف کشف و گزارش کرده است. به عنوان مثال، میتوان به مشکل امنیتی در پمپهای تزریق دارو به بیماران در بیمارستانها، مشکل در دستگاههای اسکن با اشعه ایکس که برای شناسایی اسلحه و مهمات در فرودگاهها به کار میروند و سیستمهایی که قفلهای الکترونیکی درها، سیستمهای هشدار، روشنایی، آسانسور یا حتی دوربینهای ویدئویی نظارتی منازل و اماکن را کنترل میکنند اشاره کرد.
این بار تمرکز او روی سیستمهای کارواش PDQ LaserWash بوه است. این سیستم کاملاً خودکار، بدون نیاز به برس و حتی حضور نیروی انسانی، آب و مایع شست و شو را از طریق بازوهای مکانیکی روی خودرو اسپری کرده و خودرو را در طول مسیر، حرکت میدهد. این سیستم شست و شو از آن جهت محبوب است که نیاز به حضور نیروهای انسانی را برطرف میکند. بسیاری از این کارواشها از درهای ورود و خروج با امکان برنامهریزی بهره میبرند.
این سیستمها از Windows CE بهرهمند شده و وبسرور ادغام شده در آنها امکان نظارت و تنظیم قابلیتها و مشخصات را از طریق اینترنت فراهم میکند.
محققان چیزی حدود دو سال پیش نرمافزار PDQ را بررسی کرده بودند و یافتههای بدست آمده را در کنفرانس کسپرسکی سکیوریتی در مکزیک که در سال ۲۰۱۵ میلادی برگزار شد پیش روی مشتاقان قراردادند. با وجود این، امکان در دست گرفتن این سیستم و نفوذ به آن، موردی است که در سال جاری به اثبات رسیده است.
اگرچه سیستمهای PDQ به نام کاربری و گذرواژه برای دسترسی آنلاین به قابلیتها نیاز دارند اما امکان تشخیص آسان گذرواژه پیش فرض آنها به راحتی فراهم شده است. این محققان، حفره امنیتی ویژهای را هم در فرایند تشخیص و تایید هویت رصد کردهاند. حفره امنیتی که میتواند به دور زدن آسان مولفههای امنیتی کمک کند.
در نظر داشته باشید که تمام سیستمهای PDQ آنلاین نیستند اما محققان در طول بررسیهای خود بیش از ۱۵۰ سیستم آنلاین را رصد کردند.
محققان در این بررسی، اسکریپتی را برای حمله خودکار طراحی کردند که امکان دور زدن مولفهها و سازوکارهای امنیتی و تایید هویت را فراهم میکرد. به این ترتیب، رهگیری خودرو برای مشخص شدن زمان خروج از محفظه شست و شو در دستور کار قرار گرفت و در زمان مناسب، در خروجی به شدت به خودرو کوبیده شد. درنظر داشته باشید که نرمافزار کارواش، بهطور کامل فرایند شست و شو را رهگیری میکند. از همین رو مشخص کردن زمانی که قرار است شست و شو به پایان رسیده و خودرو از جایگاه خود خارج شود کار سختی نخواهد بود. نفوذگران میتوانند فرمان سادهتری را هم برای قفل شدن هر دو در ورود و خروج و محبوس کردن خودرو در محفظه شست و شو طراحی کنند. این امکان هم وجود دارد تا با باز و بسته کردن پشت سر هم درهای ورودی یا خروجی، چندین و چندبار به خودرو ضربه وارد کرد تا به سرنشین آن آسیب وارد شود.
اگرچه سنسورهای مادون قرمز به نحوی طراحی شدهاند که میتوانند وجود مانع بر سر راه بسته شدن در را تشخیص داده و از بروز چنین حادثهای جلوگیری کنند اما محققان موفق شدند این سیستم را به نحوی مدیریت کنند که هشدار سنسورها را هم نادیده بگیرد. آنها حتی توانستند بازوی مکانیکی را به نحوی مدیریت کنند که به خودرو ضربه زده یا بی وقفه آب را روی خودرو بپاشد. به این ترتیب، خروج سرنشین از خودرو هم غیرممکن خواهد شد. مکانیسم امنیتی موجود در نرمافزار کارواش، به طور معمول از برخورد بازوی شست و شو با خودرو جلوگیری میکند اما محققان موفق شدند این مکانیسم را نیز غیرفعال کنند.
اگرچه محققان با استفاده از گوشی همراه خود از این آزمایشها فیلمبرداری کردند اما مالک کارواش اجازه انتشار ویدئوی ضبط شده را نداده است.
این اولینباری نیست که تیمی از محققان موفق به در دست گرفتن کنترل سیستمی روباتیک شدهاند. در ماه می، محققان ترند میکرو موفق شدند کنترل بازوی روباتیکی که در کارخانه تولید محصولات استفاده میشد را در دست بگیرند. این در حالی است که حملات نفوذگران به کارواش میتواند اثرات وسیعتری داشته باشند.
محققان گزارش این یافتههای خود را به سازمان امنیت ملی ارسال کردهاند. سخنگوی سیستم PDQ هم در گفتگو با مادربورد اعلام کرده این شرکت از وجود مشکل امنیتی در این سیستم آگاهی یافته و در حال تحقیق و بررسی به منظور رفع مشکلات امنیتی این سیستم است.
Gerald Hanrahan سخنگوی PDQ در این خصوص میگوید:
تمامی سیستمها به ویژه آنهایی که در بستر اینترنت در دسترس هستند باید به نحوی تنظیم و سازماندهی شوند که امنیت در آنها در اولویت قرارگیرد. این امر شامل اطمینان از فعال بودن سیستم در پرتو فایروال یا دیواره آتش است. مطمئن شدن از اینکه تمام گذرواژههای پیش فرض تغییر یافتهاند نیز از دیگر اولویتهای مهم است. تیم پشتیبانی فنی ما این آمادگی را دارد تا توضیحات کامل را به تمامی مشتریانمان ارائه دهد.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت