Главная » Софт » Сотрудник Google смог управлять системой открытия дверей в офисе компании из-за уязвимости в ПО

Сотрудник Google смог управлять системой открытия дверей в офисе компании из-за уязвимости в ПО


Если не заниматься вопросами информационной безопасности в компании, потом может быть мучительно больно

Он смог открывать двери без использования ключа RFID. В июле этого месяца некий хакер смог найти уязвимость в системе управления автоматическими дверями офиса Google. К счастью для самой компании, хакером оказался ее собственный сотрудник, который выполнял работу на благо своего работодателя, а не стремился навредить ему.

Дэвид Томашик, сотрудник Google, о котором идет речь, просто отправил созданный им код в эту сеть, после чего светодиоды на закрытых дверях сменили цвет с красного на зелёный — то есть двери удалось открыть. У корпорации есть внутренняя сеть, по которой передаются данные, генерируемые умными системами офисов и зданий компании. Сама программа оказалась не такой уж и простой в разработке — на ее создание было потрачено довольно много времени.
Изначально специалист по инфобезу нашел уязвимость в программном обеспечении компании Sofware House — партнера Google, разработавшего контроллеры безопасности для подразделения корпорации из Калифорнии.

Эти сообщения, как и говорилось выше, рассылаются по внутренней сети компании. Он изучал зашифрованные сообщения, которые отправляют устройства Sofware House (iStar Ultra и IP-ACM). После детального изучения Томашик выяснил, что ключ шифрования вообще зашит в память всех устройств указанной компании. Оказалось, что сообщения шифруются ненадежно, отправляются они с определенной частой, и это может использовать в своих целях злоумышленник. Это означало только одно — ключ можно скопировать и использовать в своих целях.

Они будут считаться оборудованием «легитимными» и выполняться без блокирования источника. Его можно использовать не только для того, чтобы рассылать фишинговые сообщения, но и с целью выполнения любых команд злоумышленника.

Томашик определил, что все действия злоумышленник может выполнять без журналирования действий. Но и это еще не все. Еще интересный момент — злоумышленник, раздобывший ключ шифрования, в состоянии блокировать команды, которые подают сотрудники корпорации, а также держать любые двери закрытыми. То есть, грубо говоря, можно открыть любое помещение, взять там или сделать все, что нужно, выйти, и никто и никогда об этом не узнает.

В частности, сеть компании была сегментирована таким образом, чтобы взлом одного сектора никак не влиял на работоспособность других секторов. После того, как сотрудник известил руководство своего офиса, были приняты меры. Руководство считает, что уязвимость никто не использовал на этот раз компании повезло. Кроме того, протокол шифрования iStar v2 Board был изменен на более надежный.

И хуже всего то, что оно не перепрошивается — для этого у гаджетов просто не хватает памяти. Тем не менее, оборудование Software House используют многие компании. Кроме денежных трат, это означает необходимость тратить время сотрудников на настройку новой инфраструктуры. И для перехода на новый протокол шифрования, например, TLS, компании, которая является клиентом Software House, придется покупать новые системы.

Всего участники этого мероприятия обнаружили 55 уязвимостей в оборудовании и ПО разных производителей, включая самых известных. Уязвимость сотрудник Google раскрыл на мероприятии DEF CON Internet of Things Village, которое проводилось в начале августа. Например, открытыми для злоумышленников оказались умные системы орошения, акустика Sonos и широкий спектр IoT-гаджетов от корейских производителей.

Как бы там ни было, но сама ситуация подтверждает аксиому — производители IoT-систем больше заботятся о функциональности и дизайне, чем о безопасности своих устройств. Компания Software House утверждает, что уже решает эту проблему со своими клиентами. И даже компании, которые занимаются производством девайсов и ПО для систем безопасности предприятия, в их продуктах часто встречаются крайне странные уязвимости, которые можно легко устранить еще на этапе разработки.

Пример — червь Mirai, благодаря которому появилось большое количество крупных ботнетов. Пока производители устройств для умных домов и зданий не станут уделять внимание вопросу безопасности, злоумышленники могут безнаказанно использовать большое количество самых разных уязвимостей и дыр.


Оставить комментарий

Ваш email нигде не будет показан
Обязательные для заполнения поля помечены *

*

x

Ещё Hi-Tech Интересное!

Как программист новую машину подбирал

В предыдущих статьях (I, II, III) я подробно рассказывал о разработке сервиса для поиска выгодных б/у автомобилей в РФ. В крупных городах существует огромное количество официальных дилеров, по крайней мере для популярных брендов. Поездив продолжительное время на различных б/у машинах, ...

ReactOS 0.4.10 — теперь со вкусом BTRFS и весёлыми иконками для папок

Привет, Хабр! И какой! Прошло всего каких-то пять месяцев со дня прошлого релиза ReactOS, а мы уже выкатываем новый! Как обычно, у нас для вас фирменный коктейль из киллер-фич и адового тюнинга незначительных компонентов системы. В этом выпуске — внедрение ...