Alig két hete egy nagyon érdekes cikk jelent meg a golem.de oldalon. A tiroli Patscherkofel hegy síliftjének vezérlőrendszerét két biztonsági kutató, Sebastian Neef és Tim Philipp Schäfers még márciusban fedezték fel, amikor Internetre csatlakoztatott, sérülékeny rendszereket kerestek.

Az egyébként is elavult vezérlőrendszerrel kapcsolatban számos egyéb (ICS rendszerek esetében sajnos általánosnak nevezhető) hibát is azonosítottak. Amellett, hogy sílift vezérlőrendszerét az Internetről is el lehetett érni, semmilyen titkosítást (pl. TLS) nem használtak a vezérlési utasítások kiadása során, nem volt szükség authentikációra a rendszerbe történő bejelentkezéshez, Cross-site scripting támadást lehetett végrehajtani a rendszer ellen és további, az OWASP Top10-ben is megtalálható sérülékenységet is ki lehetett használni a rendszer elleni támadások során.

Az osztrák CERT tájékoztatása szerint a sílift vezérlőrendszerét mindaddig nem fogja használni az IKB, az Innsbruck-i városi közműszolgáltató, amíg megfelelő biztonsági intézkedéseket nem vezetnek be a rendszerrel kapcsolatban. Így végül is a történetet tekinthetjük pozitív végkifejletűnek, azonban nem lehet elégszer hangsúlyozni: nem szabad folyamatvezérlő rendszereket publikus hálózatokra csatlakoztatni! Ahogy ebből az esetből is látszik, gyakorlatilag a szerencsén múlt, hogy két olyan ember találta meg a sílift vezérlőrendszerét az Interneten, akik kellően megfontoltak és felelősségteljesek voltak és eszükbe sem jutott kipróbálni, hogy "mi lesz, ha megnyomom ezt a gombot?"

A teljes történetet (németül) a golem.de oldalán lehet olvasni: https://www.golem.de/news/patscherkofel-gondelbahn-mit-sicherheitsluecken-1804-133930.html

Az esettel kapcsolatban a CERT.at is kiadott egy közleményt: http://www.cert.at/services/blog/20180420131015-2180.html