A piacra kerülő megoldások jó részénél a gyors megtérülés kényszere felülírja a biztonsági szempontok körültekintő vizsgálatát. Mivel azonban a biztonság is komoly üzlet, az iparágban dolgozó szakemberek lelkesen demózzák a különféle fenyegetéseket, pénzzé téve a nagy ijedtséget. Az amerikai Network World nemrégiben közölt összeállítást a Las Vegas-i Black Hat és Defcon konferenciákon demonstrált támadásokról, amelyek a "biztonsági show-elemek" mellett aggasztó tényekkel is szolgáltak.

A válogatásban szereplő példák azért különösen ijesztők, mert legtöbbjük nem igényel túlságosan magas szintű képzettséget vagy befektetést. Ráadásul a támadások olyan területeket érintenek, amelyek esetében senki sem számítana rájuk, így a célba vett megoldásokat általában a biztonsági szempontok figyelmen kívül hagyásával tervezték.

A Siemens S7 feltörése
A Black Hat konferencián Dillon Beresford mutatta be, hogy lehet feltörni egy Siemens S7 számítógépet, írni és olvasni annak memóriáját, adatokat szerezni róla, vagy akár parancsokat futtatni rajta és leállítani a működését. Mivel a Siemens S7 általában gyártósorokat irányít, vagy erőművekben és vegyi üzemekben teljesít szolgálatot, a törés jelentős biztonsági kockázatot jelent. Beresford demonstrációjára csak azok után került sor, hogy a sebezhetőségről értesítették a Siemenst, aki időközben befoltozta a rést, de az amerikai hatóságok így is szigorúan ellenőrizték, hogy az előadás ne legyen a kelleténél részletesebb.

Botnetek irányítása VoIP csatornán
A Defcon két szereplője, Itzik Kotler és Iftach Ian Amit azt szemléltette, hogy a botnetek irányítói a VoIP konferenciahívásokat is fel használhatják a zombi számítógépekkel való kommunikációra. A Moshi Moshi nevű eszköz nem csak arra volt képes, hogy DTMF kódokkal irányítsa a botokat, de az ellopott szöveges információt hanggá alakítva át is küldi a botnet gazdájának hangpostájára. Neki csak annyi dolga van, hogy valamilyen telefonról bekapcsolódjon a konferenciahívásba, a zombigépek pedig ugyanezt teszik a megfelelő vállalati hálózaton keresztül, és az adatok máris akadálytalanul áramlanak kifelé.

Betörés az elektromos hálózat segítségével
Dave Kennedy és Rob Simon ugyancsak a Defconon mutatott be egy készüléket, amely a BPL technológia, vagyis az elektromos hálózaton keresztüli széles sávú elérés segítségével képes átvenni az irányítást a riasztórendszerek és a biztonsági kamerák felett. Amennyiben a betörők sikeresen elhelyezik a készüléket a kiszemelt épület külső részén valamelyik elektromos csatlakozón, meg tudják állapítani, hogy a riasztórendszer élesítve van-e, illetve működnek-e a kamerák. Amennyiben igen – tehát senki sincs otthon –, az eszközzel zavaró jeleket lehet küldeni a biztonsági berendezéseknek, lehetővé téve az épület zavartalan kifosztását.

Önjáró hacker
A Black Hat és a Defcon konferencián is felbukkant Richard Perkins és Mike Tassey modellrepülője, amelyet bármelyik áruházban könnyen beszerezhető alkatrészekből építettek. A WASP nevű drón képes a mobiltelefon-hívások lehallgatására és kódok feltörésére, ezen kívül beállítható rajta a megfelelő repülési útvonal, hogy adott célpontok felett körözve hajtsa végre feladatát. Maga a WASP nem különösebben forradalmi eszköz, az viszont mindenképpen elgondolkodtató, hogy bárki ennyire egyszerűen megépítheti – nem valószínű, hogy az állami vagy vállalati kémkedésben bármi visszatartana a felhasználásától.

Autók eltérítése telefonhálózatokon át
A Black Haten egy Subaru Outback típusú autón demózták, hogy telefonos kapcsolat segítségével hogyan lehet szöveges üzenetekkel kinyitni és elindítani a járművet, felhasználva annak vezeték nélküli eszközeit. A bemutatót levezénylő Don Bailey szerint igen egyszerűen ki lehet használni, hogy a kocsi riasztórendszere (hasonlóan a kritikus infrastruktúra-hálózatok számos eleméhez) közvetlenül a nyilvános telefonhálózatokra kapcsolódik, ami adott esetben elektromos hálózatok vagy vízellátó rendszerek kiiktatására is alkalmas. A prezentációnak külön súlyt ad, hogy az amerikai belbiztonsági minisztérium előzetesen be is kérette az előadás anyagát.


A Network World összeállításának második részéből kiderül, hogy akár társadalombiztosítási azonosítókat is meg lehet szerezni facebookos fényképek segítségével, és már azt is kitalálták, hogyan lehet azonosítás nélkül belépni az SAP vállalatirányítási rendszereibe.