El panel de control de un telesquí estaba expuesto en Internet
Funcionarios de la ciudad de Innsbruck, en Austria, cerraron un telesquí local después de que dos investigadores de seguridad descubrieran que su panel de control se abría ampliamente en Internet y permitía que cualquiera pudiera tomar el control de la configuración operativa del telesquí.
Los dos investigadores son Tim Philipp Schäfers y Sebastian Neef, ambos con InternetWache.org, una organización enfocada en la seguridad de TI.
El panel de control permite a los usuarios interactuar con la configuración del telesquí
El 16 de marzo, Schäfers y Neef descubrieron la Human Machine Interface (HMI) utilizada para controlar Patscherkofelbahn, un telesilla que conecta el pueblo de Igls con el complejo de montaña Patscherkofel, al sur de Innsbruck.
Los dos se sorprendieron porque no había ninguna pantalla de inicio de sesión para evitar que el usuario de Internet accediera e interactuara con el panel HMI.
Los ajustes para controlar la velocidad del telesilla, la distancia entre los teleféricos y la tensión del cable se expusieron al aire libre, junto con los registros y otros datos.
El Telesquí se cerro el mismo día
Los dos contactaron inmediatamente al Equipo de Emergencia y Respuesta de Computadoras (CERT) en Austria, quienes, de acuerdo con una publicación en su blog, enviaron su contacto de Innsbruck para alertar a las autoridades locales de Innsbruck el mismo día.
A pesar de no tener ninguna evidencia de uso malicioso, la ciudad de Innsbruck decidió cerrar todo el remonte de Patscherkofelbahn y someterse a una auditoría de seguridad. Según los medios de comunicación austriacos, el remonte todavía estaba fuera de línea esta semana.
La reacción severa de los funcionarios de Innsbruck podría haber sido influenciada por un informe de NBC que salió el mismo día, mostrando imágenes de un telesquí que funciona mal en la estación de esquí de Gudauri, Georgia.
Un mal funcionamiento mecánico fue el corazón del incidente de Gudauri, pero el video se hizo viral entre los entusiastas del esquí y fue muy probablemente visto por las autoridades austriacas.
Las coincidencias no terminan aquí, ya que los remontes Patscherkofelbahn y Gudauri eran del mismo vendedor, la firma local austriaca Doppelmayr.
El panel de control también ejecutaba un firmware desactualizado
Schäfers, uno de los investigadores, dijo que no estaba al tanto del incidente de los remontes en Georgia cuando encontró el HMI del remonte austriaco.
"Fue una coincidencia", dijo Schäfers. "Hemos realizado escaneos en Internet para interfaces hombre-máquina (HMI) varias veces en el pasado. Usamos el método tal como se explica en nuestro blog y buscamos identificadores de proveedores específicos".
La razón por la que Schäfers buscaba los identificadores de proveedores de Doppelmayr Garaventa fue porque anteriormente encontró errores de inyección de encabezado HTTP y cross-site scripting (XSS) en una versión anterior del software HMI del telesquí.
"Informamos de estos problemas al fabricante del software, y se solucionó", nos dijo Schäfers, y también nos reveló que el remonte Patscherkofelbahn tenía una versión anterior del software HMI, que aún era vulnerable a los fallos que informaba.
Además, Schäfers también le dijo a Bleeping Computer que el panel de control del elevador de esquí también estaba utilizando una conexión HTTP no encriptada.
Los investigadores han encontrado otros equipos sensibles en línea
Schäfers y Neef también dejaron en claro que no interactuaron con el panel del telesilla en el momento del descubrimiento, por temor a poner en peligro a los pasajeros, ya que el telesilla estaba en uso. En su lugar, optaron por la ruta segura e informaron los problemas al CERT Austria.
Ahora, de acuerdo con CERT Austria, todos estos problemas se están corrigiendo y los funcionarios de Innsbruck están poniendo sumo cuidado para implementar un sistema seguro antes de que comience la temporada de verano y los turistas comiencen a inundarse.
En cuanto a Schäfers y Neef, los dos dijeron que continuarán escaneando Internet en busca de sistemas desprotegidos. "Es como encontrar una 'aguja en el pajar' y se divierten mucho", dijo Schäfers.
"En el pasado, también encontramos el panel de control de una clínica en Suiza, el panel de control de semáforos móviles en Alemania, paneles de control de parques eólicos en todo el mundo y tres plantas de tratamiento de aguas en Alemania".
"Tuvimos control directo sobre los sistemas de control industrial (ICS) y hubiéramos podido cerrar el suministro de agua a miles de personas, en el caso de los sistemas de obras sanitarias, o causar otros daños", dijo Schäfers.
El trabajo de Schäfers y Neef para el proyecto InternetWache ha sido tan instrumental en el pasado que a menudo han sido citados en informes oficiales publicados por BSI, la Oficina Federal de Seguridad de la Información de Alemania.