Бэкдор позволяет получить доступ к системам АЗС

Бэкдор позволяет получить доступ к системам АЗС

Исследователи обнаружили уязвимость в оборудовании АЗС, позволившую им отключить топливные насосы, перехватить платежи с помощью, а также украсть номера карт.

Брешь была открыта Идо Наором, старшим исследователем безопасности в «Лаборатории Касперского», и Амихайем Нейдерманом, бывшим сотрудником Azimuth. По словам этих двух специалистов, данная уязвимость позволяет также изменить цены и даже украсть бензин.

Проблема кроется в системе, принадлежащей израильской компании Orpak Systems, которая разрабатывает программное обеспечение для управления топливом. Системы этой компании используются коммерческими АЗС в Израиле, а также военными и крупными корпорациями для отслеживания потребления топлива.

«Если у вас есть сеть заправочных станций, менеджеры, используя язвимое программное обеспечение, могут входить в различные топливные насосы и видеть, сколько топлива они используют, обновлять цены и мониторить, сколько денег каждый насос зарабатывает каждый день, месяц, неделю», — говорит в интервью господин Нейдерман.

Но легкий доступ к системе предполагает наличие лазейки для преступников. Используя поисковую систему Shodan, которая находит подключенные к интернету устройства и системы, исследователи смогли найти несколько тысяч уязвимых АЗС в сети.

Более того, экспертам удалось обнаружить руководство пользователя на веб-сайте Orpak, в котором обозначен пароль по умолчанию. Таким образом, специалисты провели эксперимент на одной из АЗС, расположенной в Испании. Используя учетные данные по умолчанию, исследователи смогли загрузить всю файловую систему и проанализировать код Orpak.

Основной проблемой эксперты называют наличие бэкдора в исходном коде Orpak — жестко запрограммированные имя пользователя и пароль. Это может позволить злоумышленнику получить доступ к любой автозаправочной станции, использующей эту программу.

Напомним, что недавно мы писали о вредоносной программе, не доливающей бензин на российских автозаправках.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый защищённый смартфон для военных и спецслужб работает на KasperskyOS

Kaspersky вместе с «Аквариус» создали безопасный смартфон, основными пользователями которого должны стать российские военные и сотрудники специальных служб. В 2021 году компании планируют выпустить 3 тысячи подобных девайсов.

По словам представителей Национальной компьютерной корпорации, в которую входит «Аквариус», это полностью отечественный смартфон и, более того, «карманный персональный компьютер», как назвал его Александр Калинин из НКК.

Газета «КоммерсантЪ», цитируя Калинина, утверждает, что разработчики уже выпустили пробную партию — 200 устройств, работающих на операционной системе от «Лаборатории Касперского». До конца года в НКК пообещали выпустить ещё несколько тысяч таких телефонов.

Понятное дело, что на обычном рынке у этого смартфона перспектив особо нет, зато он вполне может пригодиться сотрудникам спецслужб и российским военным, если в стране ужесточится контроль использования личных мобильных устройств.

Как подчеркнул директор «Аквариус» Владимир Степанов, защищённый смартфон будет использоваться для доступа к корпоративным сервисам в безопасном режиме. Создание этого устройства обошлось более чем в 1 миллиард рублей, при этом интересно, что «начинку» не раскрывают (например, процессор), отмечается лишь, что всё исключительно российское.

Также занимательно, что в качестве операционной системы разработчики выбрали KasperskyOS — кибериммунную разработку «Лаборатории Касперского». Напомним, что в прошлом месяце российский антивирусный гигант выпустил бесплатную версию KasperskyOS Community Edition.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru