Χάκερς έχασαν $800 εκατομμύρια εξαιτίας ορθογραφικού λάθους!

Τα αστυνομικά drone μπορούν να χακαριστούν από ένα μίλι μακριά.

Ένας αστυνομικός drone των $ 35.000, μπορεί να καταληφθεί από hackers από πάνω από ένα μίλι μακριά, λέει ένας ερευνητής ασφαλείας.

Οι drones είναι στο προσκήνιο για άλλη μια φορά. Χάρη σε έναν ερευνητή ασφαλείας ο οποίος αποκάλυψε ότι ένα από τα μοντέλα ιπτάμενων μηχανών της κυβέρνησης, έχει κρίσιμα ζητήματα ευπάθειας που μπορούν να επιτρέψουν το χακάρισμά τους από μια απόσταση μεγαλύτερη του ενός μιλίου.
Ο ερευνητής ασφαλείας Nils Rodday έδειξε στο συνέδριο ασφάλειας RSA στο Σαν Φρανσίσκο την Τετάρτη, πώς τα ελαττώματα στην ασύρματη σύνδεση ενός $ 35,000 drone, του επέτρεψαν να πάρει εντελώς τον έλεγχο του quadcopter με τη βοήθεια μόνο ενός laptop και ενός φτηνού ραδιοφωνικού τσιπ που συνδέεται μέσω USB.
Κάθε hacker ο οποίος είναι σε θέση να αναστρέψει τη λειτουργία του λογισμικού πτήσης ενός drone μπορεί να κατασκευάσει αυτό το χειριστήριο για να στείλει εντολές πλοήγησης, εκμεταλλευόμενος την έλλειψη κρυπτογράφησης μεταξύ του μη επανδρωμένου αεροσκάφους και της μονάδας ελέγχου, που είναι γνωστή ως «κουτί τηλεμετρίας.» Ο Rodday λέει πως «μπορείτε να εισέλθετε στα πακέτα και να αλλάξετε σημεία, στοιχεία στον υπολογιστή πτήσης, να ορίσετε ένα διαφορετικό μέρος επιστροφής. Ό, τι μπορεί να κάνει ο κανονικός χειριστής, μπορείτε να το κάνετε κι εσείς.»
Ο Rodday, ο οποίος τώρα εργάζεται στην IBM, το ανακάλυψε ενώ ασχολιόταν με ένα ερευνητικό drone, ενώ εργαζόταν ως μεταπτυχιακός ερευνητής στο Πανεπιστήμιο του Twente στην Ολλανδία, πριν από τον συνεργασία με την IBM για το θέμα αυτό. Δεν παρέχει καμία πληροφορία σχετικά με τον drone που δοκίμασε ή το όνομα του πωλητή του.
Ο ανώνυμος κατασκευαστής UAV υπέγραψε μια συμφωνία μη-αποκάλυψης σε αντάλλαγμα να του δανείσει τον ακριβό quadcopter του για τη δοκιμή. Ωστόσο, ο ίδιος άφησε να εννοηθεί ότι ο περίπου 90 εκατοστών quadcopter έχει χρόνο πτήσης περίπου 40 λεπτά και έχει αναπτυχθεί από την αστυνομία και τις πυροσβεστικές υπηρεσίες, αν και διατίθεται επίσης στην αγορά για χρήση σε βιομηχανικές εφαρμογές όπως επαγγελματική φωτογράφηση, επιθεωρήσεις γραμμής ηλεκτρικής ενέργειας και την επιθεώρηση ανεμόμυλων.
Το UAV που μελετήθηκε από τον Roddy έχει δύο σοβαρές ελλείψεις ασφάλειας: Η σύνδεση Wi-Fi μεταξύ μονάδας τηλεμετρίας και tablet του χρήστη χρησιμοποιεί το αδύναμο «WEP» ή «ενσύρματο-Equivalent Privacy» ως κρυπτογράφηση, και ακόμα χειρότερα, έχει απίστευτα ανασφαλή κρυπτογράφηση (ή έλλειψη αυτής) που συνδέει το μοντέλο τηλεμετρίας στο ίδιο το UAV. Αυτό θα επιτρέψει σε οποιοδήποτε εισβολέα να «σπάσει» αυτό το πλαίσιο και να στείλει μία λεγόμενη εντολή «θανάτου» που ξεκινά ο ιδιοκτήτης του μη επανδρωμένου αεροσκάφους από το δίκτυο. Δεν είναι μόνο αυτό ωστόσο, καθώς αυτή η ευπάθεια θα μπλοκάρει επίσης κάθε εντολή από το νόμιμο φορέα του μη επανδρωμένου αεροσκάφους του.
Οι υπάρχοντες αστυνομικοί drone είναι συχνά εξοπλισμένοι με κάμερες, και μπορούν να χρησιμοποιηθούν σε περιπτώσεις διάσωσης και έκτακτης ανάγκης ώστε να ψάξουν για τις τοποθεσίες που θα ήταν δύσκολο να έχουν πρόσβαση, οπότε είναι πολύ κρίσιμο αν κάποιος πάρει το έλεγχο ενός τέτοιου drone, όπως έκανε ο Rodday .
«Αν σκέφτεστε το λόγο, κάποιος θα μπορούσε να το κάνει αυτό μόνο για διασκέδαση, ή επίσης να προκαλέσει βλάβη ή να δημιουργήσει χάος σε μια καθημερινή διαδικασία επιτήρησης,» είπε ο Rodday στο Wired. «Μπορείτε να στείλετε μια εντολή στην κάμερα, για να τη στρέψετε σε λάθος πλευρά, ώστε να μην λαμβάνονται οι επιθυμητές πληροφορίες … ή μπορείτε να κλέψετε τον drone, το σύνολο του εξοπλισμού που συνδέεται με αυτό και τις πληροφορίες του.»