Paul Ionescu zarządza programem inżynierii bezpieczeństwa dla IBM Security Systems. Zarządza również zespołem wysoko wykwalifikowanych ekspertów tzw. X-force, którzy robią testy penetracyjne. Polegają one na przeprowadzeniu kontrolowanego ataku na systemy teleinformatyczne.

By żyło się lepiej …

Systemy zarządzania budynkami w skrócie BMS (ang. Building Management System) oraz systemy automatyki BAS (ang.Building Automation Systems) służą do automatycznego sterowania różnymi procesami w budynku. Często są nazywane „inteligentnymi”.
Zarządzają one energią elektryczną, ogrzewaniem, klimatyzacją, systemami dostępów, systemami bezpieczeństwa w razie np. pożaru, windami, komunikacją między urządzaniami… wszystkim co ma poprawić nasz komfort, bezpieczeństwo, a przy okazji może zredukować koszty.

Zespół do zadań specjalnych

Zespół IBM X-Force przeprowadził test na firmie (z wiadomych względów nazwy nie ujawniono), która posiada wiele biur w różnych szerokościach geograficznych. Polegał on na sprawdzeniu poziomu bezpieczeństwa systemu.

Hakerzy włamali się do systemu BAS, który był połączony z internetem. Zastosowane w nim były kontrolery, czujniki i termostaty. W raporcie zespół pisze:

„Mogliśmy przejąć kontrolę nad jednym budynkiem, ale również uzyskać dostęp do centralnego serwera, który ma kontrolę nad budynkami znajdującymi się w innych lokalizacjach”

„Poprzez wysłanie dodatkowej informacji po żądaniu strony było możliwe ominięcie uwierzytelnienia routera”.

Dalej znaleźli lukę w poleceniach dla routera i otrzymali dostęp do kodu źródłowego systemu. Hasło było zapisane tekstem w jednym z katalogów.

Zespół Ionescu wskazuje, że głównym powodem były podstawowe błędy bezpieczeństwa, których uniknięcie spowodowałoby, że hakerzy mieliby bardzo utrudnioną pracę z włamaniem się do systemu.

Pełny raport możecie znaleźć tutaj.