Nye cyberangreb mod byvandstjenester mulige, advarer forskere

Ben-Gurion University of the Negev (BGU) cybersikkerhedsforskere advarer om et potentielt distribueret angreb mod byvandstjenester, der anvender et botnet af smarte kunstvandingssystemer, der vandes samtidigt. Et botnet er et stort netværk af computere eller enheder, der styres af en kommando- og kontrolserver uden ejerens viden.

Ben Nassi, en forsker ved Cyber@BGU, præsenterer "Attacking Smart Irrigation Systems" i Las Vegas på den prestigefyldte Def Con 26 -konference i IoT Village den 11. august.

Forskerne analyserede og fandt sårbarheder i en række kommercielle smarte kunstvandingssystemer, som gør det muligt for angriberne at eksternt tænde og slukke vandingssystemer efter behag. Forskerne testede tre af de mest solgte smarte kunstvandingssystemer:GreenIQ, BlueSpray, og RainMachine smarte kunstvandingssystemer.

"Ved samtidig at anvende et distribueret angreb, der udnytter sådanne sårbarheder, et botnet på 1, 355 smarte kunstvandingssystemer kan tømme et urbane vandtårn på en time og et botnet på 23, 866 smarte kunstvandingssystemer kan tømme? Ood vandreservoir natten over, "Nassi siger." Vi har underrettet virksomhederne om at advare dem om sikkerhedshuller, så de kan opgradere deres smart -systems vandingssystems firmware. "

Vandproduktions- og leveringssystemer er en del af en nations kritiske infrastruktur og er generelt sikret for at forhindre angribere i at inficere deres systemer. "Imidlertid, kommuner og lokale myndigheder har vedtaget ny grøn teknologi ved hjælp af IoT smart kunstvandingssystemer til at erstatte traditionelle sprinkleranlæg, og de har ikke de samme kritiske infrastruktursikkerhedsstandarder. "

I undersøgelsen, forskerne præsenterer et nyt angreb mod byvandstjenester, der ikke kræver infektion af dets fysiske cybersystemer. I stedet, angrebet kan anvendes ved hjælp af et botnet af smarte vandingsreguleringssystemer på byvandstjenester, der er meget lettere at angribe.

Forskerne demonstrerede, hvordan en bot, der kører på en kompromitteret enhed, kan (1) detektere et smart kunstvandingssystem, der er tilsluttet sit LAN på mindre end 15 minutter, og (2) tænde for vanding via hvert smart vandingssystem ved hjælp af et sæt session -kapring og afspilning af angreb.

"Selvom den nuværende generation af IoT -enheder bruges til at regulere vand og elektricitet fra kritisk infrastruktur, såsom smart-grid og byvandstjenester, de indeholder alvorlige sikkerhedsrisici og vil snart blive primære mål for angribere, "siger Nassi, der også er ph.d. studerende ved prof. Yuval Elovicis i BGU's afdeling for software- og informationssystemteknik og en forsker ved BGU Cyber ​​Security Research Center. Elovici er centerets direktør samt direktør for Telekom Innovation Labs på BGU.

Forskergruppen omfattede også ph.d. studerende Yair Meidan under opsyn af Dr. Asaf Shabtai, samt to praktikanter, Moshe Sror og Ido Lavi.

Tidligere forskning fokuserede på en ny metode til at opdage ulovlig dronevideofilmning.