Clever Geek Handbook

水族館のサーモスタットを介してハッキングされたカジノ





ラスベガスのシルバートンホテルカジノの入り口にある水族館(このようなものは、ハッキングされたカジノにありました)



十分に保護されたカジノのローカルネットワークに侵入する必要がある場合-ハッカーの代わりに何をしますか? ユーザーと管理者のパスワードを見つけてみてください? 従業員に関する伝記情報を入手し、親族に代わって個人的な添付ファイルを付けて個人的な手紙を送ります。 外部に公開されているサーバーポートをスキャンしますか? はい、これらの方法は過去に標的型攻撃に効果的でした。 一部は現在有効です。 しかし問題は、コンピューターインフラストラクチャがこのような攻撃を撃退する準備ができていることです。 セキュリティ部門は暗号化トークンを使用して長い間承認を実装してきたため、管理者パスワードは何も提供しません。



したがって、ハッカーは新しい攻撃ベクトルを探しています。 モノのインターネット(IoT)デバイスは非常に役立ちます。 一見、これらは無害なデバイスです:ワイヤレスサーモスタット、温度センサーおよび照明コントローラー、スマートメーター、ビデオ監視カメラ、スマートエアコン、およびローカルネットワークにワイヤレスで接続され、リモートで制御される他の多くのデバイス。 それらを介して浸透が発生します。 これは理論的なものではなく、非常に現実的な脅威です。 さらに、このシナリオで行われたハッキン​​グ成功の話が報道に漏れることもあります。



情報セキュリティ企業であるダークトレースのエグゼクティブディレクターであるニコールイーガンは、最近、ロンドンWSJ CEO評議会会議の訪問者にそのような事例について話しました。



ハッカーはローカルカジノネットワークにアクセスし、ハイローラー(ハイステークスのVIPプレイヤー)のデータベースをコピーすることができました。 このベースは企業秘密であり、競合他社にとって非常に価値があります。 おそらく、最も裕福な顧客を惹きつけるために、競合他社だけが操作を命じたのでしょう。



専門家によると、攻撃者はカジノの入り口にある水槽に設置された無線サーモスタットを介してネットワークにアクセスしました。 「攻撃者はこれを使用して、システムの足場を築きました」と、ニコールイーガンは言いました。 「それからハイスクーターのデータベースを見つけて、ネットワークからそれを引き出しました。」



2014年から2017年にかけて英国intelligence報機関GCHQの責任者であるロバートハニガンは、イーガンとの会議で講演しました。 彼は、IoTデバイスを介した攻撃が企業にとって深刻な問題になりつつあることに同意しました。「モノのインターネットは、何千もの新しいデバイスを生み出しています。 今後数年で、それらはインターネットにプッシュされ、状況を複雑にします。 「監視カメラでハッキングされた銀行を見たのは、これらのデバイスが低価格のためだけに購入されたためです。」



主な問題はデフォルトのパスワードです



Robert Hannigan氏は、モノのインターネットデバイスについては、市場が市場の手法で規制できないため、最小限のセキュリティ標準を採用すべきだと考えています。 しかし、たとえそうなったとしても、誰もが最善を尽くして自分自身を守るために、まだ数年先の「混乱」があります。 この間、ハッカーは多くの比較的単純なハッキング方法を使用します。



最近、ベングリオン大学(イスラエル)の研究者が、ホームスマートデバイスの主要な脆弱性を分析した記事を公​​開しまし 。 彼らは16の人気のある市販のガジェットを購入しました。 結果は期待はずれです。16台のデバイスのうち14台については、30分以内にパスワードを見つけてガジェットをボットネットに接続することができました。 当初、研究者はデバイスを分解し、防御の弱点を探すことを計画していましたが、これは必要ないことが判明しました。 ほとんどの場合、最も簡単な方法はデフォルトのパスワードを選択することでした。



判明したように、ほとんどの大衆市場のガジェットには、 ユーザーがめったに変更しない単純なデフォルトのパスワードがあります 。 カジノ水族館でのサーモスタットの話はまさにそのようなケースである可能性があります。 おそらく、カジノの所有者は、ハードウェア暗号化モジュールを使用したIoT用のPKIセキュアプラットフォームを介しネットワーク上のサーモスタットの信頼できる認証を気にしなかったのでしょう。



専門家は、モノのインターネットの基本的なセキュリティに関する次のヒントを提供します。



  1. IoTデバイスは、信頼できるメーカーとベンダーからのみ購入してください。
  2. 使用済みのデバイスを避けてください。
  3. 各デバイスのオンライン情報を収集します-デフォルトのパスワードが既知かどうかを調べます。
  4. 少なくとも16文字の強力なパスワードを設定します。
  5. 同じパスワードを再利用しないでください。
  6. ソフトウェアを定期的に更新します。
  7. デバイスをインターネットに接続することの利点とリスクを慎重に検討してください。


デフォルトのパスワードは、IoTデバイスを使用する場合のセキュリティの唯一の障害ポイントではありません。 攻撃者はリモート制御が実行されるアプリケーション脆弱性を利用することもできます 。 たとえば、ロボット掃除機への不正アクセスにより、被害者の家の本格的なビデオツアーが可能になります。





近い将来、水族館のサーモスタットを介してカジノデータベースを盗むなど、興味深いハッキングに関する多くのニュースを聞くことになるでしょう。





「スポーツのためのサイバー防御の強化」というアクションを発表しました!

画像



GlobalSignは、すべてのアスリートとサッカーファンの最も野心的なイベントのお祝いに参加します-2018年のサッカー世界選手権と1年間のSSL保護を提供!*



プロモーション条件:

* DV、OV、またはEVレベルの1年SSL証明書を購入すると、2年目はギフトとして受け取ります。

•プロモーションは、すべてのスポーツ関連のWebサイトに適用されます。

•プロモーションは新規注文に対してのみ有効であり、パートナーには適用されません。

•この特典を利用するには、WebサイトでプロモーションコードSL003HBFRを添え てリクエストを送信して ください



プロモーションは2018年7月15日まで続きます。



GlobalSign Russiaのマネージャーからキャンペーンに関する追加情報を電話で入手できます:+7(499)678 2210。



GlobalSignでより多くの保護を!


More articles:


All Articles