PWNED С возвращением в Pwned — колонку, где мы делимся боевыми историями о том, как IT-солдаты сами себе стреляли в ногу или наблюдали, как это делали другие. Сегодняшний рассказ показывает, что даже при настройке такого простого оборудования, как фитнес-тренажеры, нет никаких оправданий для того, чтобы оставлять учетные данные безопасности на виду.
История на этой неделе пришла от человека, которого мы назовем Джей Си (JC), владельца компании, занимающейся продажей и установкой подержанного тренажерного оборудования. У него был контракт с отелем на установку кардиотренажеров с видеоэкранами, предназначенными для просмотра Netflix через локальную сеть во время занятий спортом.
Однако один из сотрудников Джей Си оставил стандартный административный PIN-код оборудования на стикере, прикрепленном к одной из беговых дорожек. Это позволило гостю отеля войти в панель управления и поставить в очередь музыкальные клипы 80-х. Мы понятия не имеем, какие песни выбрал этот беспокойный путешественник, но можем предположить, что первой в плейлисте была “Physical” Оливии Ньютон-Джон.
Услышав звуки из спортзала, сотрудники на стойке регистрации отеля задались вопросом, не поселился ли в их спортзале призрак. Впрочем, в итоге они выяснили, что кто-то оставил включенным YouTube вместо того, чтобы войти в Netflix. К счастью, “злоумышленник” не нанес реального ущерба, но если бы кто-то более предприимчивый получил контроль над этими машинами, он мог бы использовать их для атак типа “командование и контроль” (command-and-control).
Со своей стороны, Джей Си заявил, что воспринял этот инцидент как возможность для обучения. Теперь его команда изолирует все консоли в гостевом VLAN, меняет пароли по умолчанию и даже отключает USB-порты на фитнес-оборудовании. Они обновляют прошивки консолей во время обкатки и даже блокируют сетевые розетки, чтобы никто не мог выдернуть Ethernet-кабели и подключить свои собственные устройства к ЛВС.
Мерритт Максим (Merritt Maxim), вице-президент и директор по исследованиям в Forrester Research, заявил, что он также ограничил бы исходящий доступ на уровне файрвола, чтобы тренажеры могли отправлять и получать данные только от Netflix. В противном случае хакеры, получившие доступ к фитнес-машинам, могли бы нанести гораздо больший ущерб.
На прошлой неделе мы рассказывали о кофеварке, которая стала поверхностью атаки для компании. Эта ситуация мало чем отличается: обе истории показывают, как важно защищать подключенные устройства, независимо от того, насколько они похожи на компьютер.
У вас есть история о том, как кто-то оставил зияющую дыру в своей сети? Поделитесь ею с нами по адресу pwned@sitpub.com. Анонимность гарантируется по запросу. ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Avram Piltch
