Эксперты из компании IOActive, которая работает в сфере информационной безопасности, нашли новый способ взлома АСУ ТП – с использованием промышленного сканера штрихкодов. Такие устройства используются повсеместно – в магазинах, складских помещениях, аэропортах, офисах.
Многие люди видят в этих устройствах обычную технологию повседневной жизни, но многие ИБ-специалисты давно обращают повышенное внимание на эту технику. Дело в том, что стандартные портативные сканеры штрихкодов настроены для работы в виде HID-клавиатуры, поэтому при некоторых условиях есть возможность введения комбинаций клавиш, ставящих под угрозу хост-компьютер, к которому устройство подключено.
Специалисты компании IOActive изучали особенности функционирования систем обработки багажа в аэропортах, в том числе и тех, которые применяются простыми людьми – во многих аэропортах используются лазерные сканеры штрихкодов для идентификации и отслеживания багажа. Эксперты исследовали устройство SICK CLV65X, которое работает в системах обработки багажа и системе самопропускания багажа.
Такие сканеры имеют поддержку штрихкодов «профильного программирования». Это пользовательские штрихкоды, которые способны после их сканирования устройством полностью поменять настройки последнего. Причем это произойдет без взаимодействия с главным компьютером. Данный функционал работает с пользовательскими штрихкодами стандарта CODE128, которые могут запускать определенные действия на устройстве и применяются для смены параметров конфигурации.
Пользовательские штрихкоды CODE128 не реализуют аутентификации, поэтому после их создания они будут работать с любым устройством SICK, имеющим соответствующую программную поддержку. Благодаря этому киберпреступник физически может передать на устройство вредоносный код после считывания штрихкода. Потенциально такой переданный код способен выключить устройство, поменять его настройки для облегчения дальнейших проводимых атак.
Исследователи из IOActive отмечают, что вектор атаки, который описан в отчете, может применяться во всех отраслях деятельности, где используются определенные модели сканеров штрихкодов. Причем проблема затрагивает не только компанию SICK (производителя сканеров, которые были проверены специалистами), но и других изготовителей подобных устройств. Компания IOActive ранее уже сообщала и отправляла соответствующие данные в SICK о том, что в их устройствах есть возможные проблемы информационной безопасности, связанные с PSIRT.