Pen Test Partners (PTP), một công ty tư vấn an ninh cho rằng, có rất ít công ty hàng hải hiểu được tầm quan trọng của các hoạt động bảo mật thông tin trên biển. Phát hiện đáng chú ý nhất từ việc kiểm thử xâm nhập hàng hải của PTP, vốn chỉ định sử dụng để thăm dò dầu khí nhưng lại giúp họ có thể dễ dàng chiếm quyền kiểm soát cả một giàn khoan biển sâu.
Hệ thống bảo mật trên biển tệ đến mức các chuyên gia có thể di chuyển được cả giàn khoan dầu
Chủ nhật, 27/09/2020 15:16
Những chuyên gia kiểm thử xâm nhập xem xét các chuyến tàu thương mại và giàn khoan dầu đã phát hiện ra một loạt các lỗ hổng bảo mật, bao gồm một tập cho phép họ kiểm soát hoàn toàn một giàn khoan trên biển.
Chuyên gia Ken Munro của PTP giải thích thêm, họ có thể thực hiện mọi việc mà họ muốn như: dừng động cơ, kích hoạt động cơ đẩy (hệ thống định vị động), thay đổi vị trí bánh lái, can thiệp hệ thống điều hướng, vô hiệu hệ thống và tắt chúng.
Nigel Hearne, một chuyên gia khác của PTP cho rằng các nhà cung cấp công nghệ hàng hải có cách tiếp cận khác nhau với vấn đề an ninh. Hearne chia sẻ, thời gian qua, ông và các đồng nghiệp đã kiểm tra mọi thứ, từ một giàn khoan thăm dò vùng biển sâu, một tàu du lịch đời mới, một tàu vận tải container Panamax và một số thứ khác để rồi buộc phải dùng từ “tồi tệ” để đánh giá chung.
Trong số những thứ mà nhóm nghiên cứu tìm thấy là các điểm truy cập Wifi bí mật ở các khu vực không có Wifi của tàu, các thuyền viên đã bắc cầu nối liền hệ thống điều khiển kỹ thuật của tàu và hệ thống giao diện của nhân viên. Vì kích thước của tàu là rất lớn và họ cần quản trị hoặc giám sát các hệ thống từ một nơi khác trên tàu mà không cần phải đi lại trên tàu.
Một tàu Panamax (kích cỡ lớn nhất của tàu có thể đi qua Kênh đào Panama, kênh vận chuyển trung tâm quan trọng của Mỹ giữa Đại Tây Dương và Thái Bình Dương) có thể dài tới 294 mét từ thân đến đuôi tàu. Một thành viên phi hành đoàn cần phải di chuyển từ chỗ chân vịt đến phòng điều khiển máy móc chính ở phần phía sau của con tàu và quay trở lại. Truy cập từ xa sẽ dễ dàng và tiết kiệm thời gian nhiều so với việc đi bộ.
PTP cũng nhận thấy rằng, các thuyền viên thường sử dụng những mật khẩu cũ, mặc định, dễ đoán và thậm chí dán các tờ ghi chú mật khẩu trên PC.
Các chuyên gia cũng tìm thấy thông tin đăng nhập “cứng” được nhúng trong các mục quan trọng, bao gồm cả hệ thống satcom của tàu (vệ tinh comms mast), thứ có khả năng cho phép bất cứ ai trên tàu đăng nhập và sử dụng kết nối internet phải trả tiền của chủ tàu, hoặc cắt đứt nó.