sale@megaprosto.ru
8 (812) 648-22-12“елефон в городе —анкт-ѕетербург
—татьи

 ак защититьс€ от взлома €хтенной сети

30.03.2018

—овременные €хты станов€тс€ равноценны умным домам - с одного экрана, а то и со смартфона, капитан может управл€ть как двигательной установкой, так и курсом, скоростью движени€, регулировать работу основных узлов, осматриватьс€ через камеры, радары и тепловизоры и контролировать даже аудиосистемы, освещение, шторки иллюминаторов и замки дверей кают. ѕодобна€ управл€емость впечатл€ет, однако открывает и поле дл€ преступлени€ - велик риск, что управление судном захватит кто-то посторонний.

”€звимость перед подключением извне сформирована с одной стороны, сложностью и разветвленностью сети, с другой, отсутствием специализированных узлов защиты.  ак современные автомобили с бортовыми компьютерами, €хты подчас абсолютно открыты дл€ внедрени€ вредоноса и перехвата управлени€.

Ѕольшинство устройств и датчиков поставл€ют данные дл€ обработки с помощью шины NMEA (National Marine Electronics Association). Ќовейша€ верси€ этого стандарта называетс€ NMEA 2000 (или N2K) - кстати почти така€ же система и используетс€ в автомобил€х. ѕоскольку главным плюсом этого интерфейса стала возможность добавл€ть и удал€ть компоненты сети без нарушени€ ее работы, он по-прежнему активно обновл€етс€, однако основной используемый протокол передачи IPv4 морально устарел и не соответствует требовани€м времени.

—амые распространенные способы атаки навигационной судовой системы Ч блокировка и подмена сигнала GPS, подмена идентификации ј»— и прочее в том же духе. ѕри нападении, например, оперативно корректируютс€ пакеты о местоположении, курсе и скорости следовани€ - которые обычно собирает ј»— дл€ передачи —”ƒ— или диспетчерам наземных служб. “аким образом можно создать аварийную ситуацию в порту, не только обеспечив столкновение с другими судами, но и повредив причальные конструкции.

—ейчас в сети также используютс€ протоколы на базе TCP/IP, классический интернет, поскольку это позвол€ет расширить возможности системы и подключать в том числе развлекательное оборудование и второстепенные устройства, а также св€зывать судовую систему с удаленными пультами, смартфонами и планшетами. —очленение этих систем с шиной NMEA открывает злоумышленникам простор дл€ воздействи€, поскольку дыр в TCP/IP хватает, все не перекроешь - а через беспроводное сетевое подключение можно перейти даже к управлению автопилотом.

—ложные профессиональные системы "на суше" используютс€ сложное шифрование дл€ авторизации устройств, подключаемых к беспроводным сет€м, особенно если у них есть какие-либо административные права. Ќа судах же пока не слишком увлекаютс€ безопасностью. Ќа недавней конференции Security Analyst Summit 2018 Ўтефан √ерлинг (Stephan Gerling) из группы компаний ROSEN продемонстрировал результаты по взлому попул€рной €хтенной системы организации сети и интернет-подключени€. ѕроникнув на подключенное внешнее устройство (планшет), он нашел на нем файл XML, содержащий полную конфигурацию маршрутизатора, включа€ жестко прописанные логин-пароль в виде незашифрованного текста.  роме этого, в ќ— маршрутизатора эксперт нашел учетную запись администратора, оставленную открытой.


“аким образом, "умные" €хты могут стать новой целью хакеров, и риски пользователей при этом сильно повышаютс€. „астные суда защищены куда хуже пассажирского коммерческого флота, а возможностей дл€ вымогательства при получении доступа к личным данным владельца - предостаточно.  эмпбелл ћюррей, сотрудник отдела безопасности BlackBerry, смог всего за несколько часов полностью взломать систему €хты стоимостью в дес€тки миллионов долларов - внедрившись, он обнаружил, что все системы навигации св€зи, а также бытовые системы контрол€ - сигнализации и видеонаблюдени€ - прив€заны к смарт-системе. ѕентестер смог даже начисто удалить данные о собственном по€влении, о чем и рассказал на форуме Superyacht Investor London.

¬ лучшем случае три из дес€ти €хт достаточно защищены от внешнего вторжени€. «афиксированы несколько случаев, когда взломщики получали доступ к банковскому счету хоз€ина судна через бортовые системы - и опустошали его. ¬ основном точкой входа станов€тс€ банально незакрытые Wi-Fi сети - сильный сигнал дает возможность подключатьс€ на достаточном удалении от лодки, и не рисковать физическим разоблачением. ќднако каналами входа могут стать даже камеры наблюдени€ (CCTV) с инфракрасной подсветкой!

¬озможно, в скором времени NMEA 2000 сменит OneNet, созданый на основе более безопасного IPv6. —истемы на суше давно его поддерживают, однако дл€ активного распространени€ в сет€х потребуетс€ его внедрение в IoT. „тобы избавитьс€ от тормозов в будущем, NMEA обеспечивает OneNet максимальную скорость передачи данных 10 √бит/с: это потребует больших первоначальных вложений в инфраструктуру, однако заложит большой запас прочности. «ащиту нового протокола случайный криптографический мастер-ключ, который становитс€ уникальным дл€ данной €хты (или сегмента сети, если речь о крупном судне).

 ѕри подключении блока оборудовани€ инженер выполн€ет подключение к сети, сообща€ ей ключ, после этого данные передаютс€ строго зашифрованными с посто€нной проверкой контрольной суммы. ѕользователи смогут добавл€ть в систему и не сертифицированное оборудование Ч главное, что OneNet позволит отслеживать всю структуру с внешнего устройства и наблюдать, какие устройства могут стать точками входа дл€ хакеров.


¬озврат к списку