L’expédition est si peu sûre que nous aurions pu partir dans une plate-forme pétrolière, explique Pen Test Partners

Il ne se passe pas beaucoup de choses étranges en mer

Plate-forme pétrolière

Une plate-forme de forage pétrolier (photo d’archives)

Les testeurs de pénétration examinant la navigation commerciale et les plates-formes pétrolières ont découvert une litanie de défauts et de vulnérabilités – y compris un ensemble qui leur aurait permis de prendre le contrôle total d’une plate-forme en mer.

Pen Test Partners (PTP), un cabinet de conseil d’Infosec spécialisé dans ce que dit son nom, estime que dans l’ensemble, peu de compagnies maritimes comprennent l’importance des bonnes pratiques de sécurité en mer.

La découverte la plus frappante de l’année de pentesting maritime de PTP a été que ses chercheurs auraient pu obtenir un «compromis complet» d’une plate-forme de forage en haute mer, utilisée pour l’exploration pétrolière.

Ken Munro de PTP a expliqué, quand Technologik a posé la question évidente, cela signifiait “arrêter le moteur, allumer les propulseurs (système de positionnement dynamique), changer la position du gouvernail, déconner avec la navigation, les systèmes de briques, les éteindre, vous l’appelez”.

Nigel Hearne de l’entreprise a expliqué dans un article de blog que de nombreux fournisseurs de technologies maritimes ont une approche «variable» de la sécurité.

Faisant un usage intensif du mot «pauvre» pour résumer ce qu’il avait vu au cours de la dernière année, Hearne a écrit que lui et ses collègues avaient tout examiné, d’une exploration en eau profonde et de l’appareil de forage susmentionné à un tout nouveau navire de croisière à un conteneur Panamax. navire, et quelques autres entre les deux.

Munro a également publié une article de blog cette semaine.

Entre autres choses, ils ont trouvé des points d’accès Wi-Fi clandestins dans les zones non Wi-Fi des navires (“ils veulent diffuser des airs / vidéos dans une zone de travail dans laquelle ils ne peuvent pas obtenir le Wi-Fi de l’équipage”, a déclaré Munro) et les équipages faisant le pont entre les systèmes de contrôle technique des navires et les systèmes d’interface humaine.

Pourquoi les gens de mer faisaient-ils quelque chose qui semble si évidemment idiot à une personne soucieuse de l’informatique? Munro nous a dit: “Quelqu’un a besoin d’administrer ou de surveiller les systèmes ailleurs dans le navire, ce qui permet d’économiser une longue marche. Les navires sont gros!”

Une autre explication potentielle fournie par Munro pourrait s’appliquer aux équipages de navires de croisière où le Wi-Fi est généralement un produit payant et mesuré: “Leur allocation de données satellite personnelles a été utilisée, alors ils ont mis un AP Wi-Fi escroc sur le navire. réseau d’affaires où il n’y a pas de limites. “

Un navire Panamax (la plus grande taille de navire pouvant passer par le canal de Panama, l’artère de navigation vitale d’Amérique centrale entre l’Atlantique et le Pacifique) peut mesurer jusqu’à 294 mètres (PDF, page 8 donne les mesures) de la tige à la poupe. Un membre d’équipage qui doit passer, par exemple, du propulseur d’étrave à la salle de commande principale des machines dans la partie arrière du navire et vice-versa y passera beaucoup de temps. Il est beaucoup plus facile d’accéder à distance au jury que de marcher.

PTP a également constaté que les anciens mots de passe châtaignier infosec, par défaut et faciles à deviner – ainsi qu’une poignée d’autocollants sur les PC avec des mots de passe en texte clair.

Mots de passe par défaut à bord des navires. Pic: Pen Test Partners

Mots de passe par défaut à bord des navires. Pic: Pen Test Partners

“L’une des plus grandes surprises (pas que j’aurais dû être du tout surpris avec le recul) est le nombre d’installations que nous trouvons toujours exécutant des informations d’identification par défaut – pensez admin / admin ou vide / vide – même sur des systèmes accessibles au public”, a soupiré Hearne, détaillant tous les systèmes qu’il a trouvés qui utilisaient des crédits par défaut – y compris un système de vidéosurveillance embarqué.

Les pentesters ont également trouvé des “informations d’identification codées en dur” intégrées dans des éléments critiques, y compris une unité de satcom (satellite de communication satellite) du navire, permettant potentiellement à quiconque à bord du navire de se connecter et de superposer la connexion Internet payante des propriétaires – ou de la couper . ®

Sponsorisé:
Détecter les cyberattaques en tant que petite ou moyenne entreprise

Source

A propos admin

Découvrez également

Les compétences nécessaires pour travailler avec des robots

Saviez-vous que TNW Conference a une piste entièrement dédiée à réunir les plus grands noms …

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *