你可能想不到，平常給愛車加油的加油泵也會(huì)被黑。如果不法分子可以引起加油站的油箱溢出，或者防止泄露報(bào)警器發(fā)出警報(bào)，它可能帶來災(zāi)難性的后果，尤其是當(dāng)他們一次性襲擊某個(gè)地區(qū)的多個(gè)加油站。

為了了解這種威脅的真實(shí)性，來自于 TrendMicro 公司的 Kyle Wilhoit 和 Stephen Hilt 決定設(shè)立一個(gè) GasPot——這是一個(gè)由虛擬加油泵監(jiān)控系統(tǒng)所組成的“誘捕系統(tǒng)”，目的在于引誘黑客上鉤，看他們會(huì)怎么對待這個(gè)虛擬的加油站。

這項(xiàng)研究工作的靈感來自于 Rapid7，其在今年早些時(shí)候找到了5800個(gè)不安全的自動(dòng)化加油站。這些系統(tǒng)沒有受到密碼保護(hù)的加油站主要屬于私有加油站、貨車站和便利店，并不屬于那些知名的石油跨國企業(yè)。

加油站的監(jiān)控系統(tǒng)具有不同的功能，系統(tǒng)可以控制設(shè)置儲(chǔ)罐液位和溢出的限制、監(jiān)控剩余的燃油液位和衡量油罐的溫度，有的系統(tǒng)還可以檢測泄漏。

遠(yuǎn)程攻擊者可以采取幾種不同的方式利用這些系統(tǒng)控件。

• 首先，他們可以通過偽造的燃油水平，使得油罐實(shí)際上還存有很多油，但看起來油站已經(jīng)沒有油的方式讓油站提前歇業(yè)；

• 或者他們可以將加油站上的“無鉛”標(biāo)簽改成“優(yōu)質(zhì)”或“柴油”標(biāo)簽，引起油站的混亂；

• 他們也可以修改儲(chǔ)罐液位和溢出的限制，從而導(dǎo)致危險(xiǎn)。

2009年在波多黎各，就發(fā)生過一起油箱爆炸起火并燃燒了三天，事故原因就是因?yàn)殡娔X監(jiān)控系統(tǒng)失效，油箱達(dá)到了容量上限后沒能感應(yīng)到。

他們在美國、英國、德國、約旦、巴西、俄羅斯和阿聯(lián)酋都設(shè)置了這種虛擬的加油站系統(tǒng)，并觀看了在過去大約五個(gè)月的時(shí)間里系統(tǒng)的活動(dòng)情況（從今年2月到6月），其中美國的加油站吸引了更多黑客的關(guān)注。

在大多數(shù)情況下，攻擊者只是簡單地使用了自動(dòng)掃描儀進(jìn)行定位和探測系統(tǒng)。但也有少數(shù)大膽的攻擊者更進(jìn)一步，其中至少有九次入侵者將 GasPot 油罐的名稱改成了“H4CK3D by IDC-TEAM”和“AHAAD WAS HERE”之類的東西。IDC-TEAM 可能指的是伊朗的黑客組織 Iranian Dark Coders Team，他們以入侵網(wǎng)站并用“H4CK3D by IDC-TEAM”標(biāo)記它們自己而聞名。

這項(xiàng) GasPot 的研究在上周末于 Defcon 黑客大會(huì)上發(fā)表。感興趣的讀者可以跳轉(zhuǎn)原文，閱讀完整研究報(bào)告。

via wired

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。