De Black Hat-conferentie in Las Vegas is vanaf vandaag weer voorbij, maar verschillende onderzoekers hebben de afgelopen dagen de mogelijkheid gekregen om hun veiligheidsonderzoek voor de online gemeenschap te demonstreren.
Zo ook de onderzoekers Billy Rios en Jonathan Butts met hun onderzoek aagaande de potentiële gevaren van apparaten met een internetverbinding waarbij dat niet tot de primaire functies behoord.
De twee onderzoekers hadden zich verdiept in een volledig geautomatiseerde wasstraat, die gebruik maakte van het besturingssysteem Windows CE. Deze wasstraat maakte gebruik van een ingebouwde webserver waarmee technici gemakkelijk de wasstraat konden configureren en monitoren. Rios en Butts wilden echter weten hoe gemakkelijk het zou zijn om een dergelijke wasstraat te hacken en wat zij met eventuele ingang tot het systeem konden doen. Al snel bleek de beveiliging van de wasstraat nogal wat aan de wensen over te laten. De onderzoekers hadden alleen het IP-adres nodig en konden daarna met bijna speels gemak in het systeem komen. Vaak was het standaardwachtwoord nog in gebruik. Ook zat er een kwetsbaarheid in het inlogproces wat een simpele exploit mogelijk maakte.
Eenmaal binnen in het systeem konden Rios en Butts doen wat ze wilden en creëerden zij onverhoopt een nieuwe angst in de realiteit van de mensheid. Zij bewerkstelligden namelijk waarschijnlijk de eerste hackersonderneming ooit waarmee een online aanval werd omgezet in een fysieke aanval op een slachtoffer. Met toegang tot het systeem konden de onderzoekers namelijk verschillende aspecten van de wasstraat zelf besturen. Dit stelde hen in staat om de deur op commando te sluiten (ook als er objecten of mensen onder stonden) en om de wasarm te manipuleren, waardoor het apparaat constant water zou spuiten onder hoge druk. Veiligheidsmechanismen aanwezig in de componenten vormden geen enkel obstakel en konden eenvoudig omzeild worden.
Inmiddels zou de eigenaar van de wasstraten volgens een reactie bezig zijn met het oplossen van de dreiging voorgesteld in dit onderzoek.