12.00.29 Співробітник Google знайшов уразливість в системі відкривання дверей в офісі компанії | |
 Співробітник Google Девід Томашін виявив уразливість в системі управління автоматичними дверима свого офісу, яка дозволила йому відкривати їх без використання ключа RFID.
Говорячи конкретніше, фахівець з безпеки знайшов уразливість в програмному забезпеченні Software House - партнера Google, який розробив контролери безпеки для каліфорнійського підрозділу корпорації. Він вивчав зашифровані повідомлення, які відправляють пристрої Software House у внутрішню мережу пошукового гіганта - по ній передаються дані, що генеруються розумними системами його офісів і будинків. Виявилося, що повідомлення шифруються ненадійно і відправляються з певною частою. Після детального вивчення Томашик з'ясував, що ключ шифрування зашитий в пам'ять всіх пристроїв Software House, отже, його можна скопіювати і використовувати в своїх цілях. При цьому команди зловмисника будуть вважатися обладнанням «легітимними» і виконуватися без блокування джерела. В ході експерименту фахівця вдалося відправити створений ним код у внутрішню мережу, після чого світлодіоди на закритих дверях змінили колір з червоного на зелений - двері відкрилися. Крім цього, Томашін визначив, що всі дії можна виконувати без протоколювання. Іншими словами, можна відкрити будь-яке приміщення, зробити там все, що потрібно, і вийти, і ніхто про це не дізнається. Ще один цікавий момент - роздобувши ключ, співробітник Google виявився в стані блокувати команди, які подають його колеги, а також тримати будь-які двері закритими. Після того, як співробітник сповістив про це керівництво свого офісу, було вжито заходів. Зокрема, мережа компанії сегментували таким чином, щоб злом одного сектора ніяк не впливав на працездатність інших секторів. Крім того, протокол шифрування iStar v2 Board змінили на більш надійний. Керівництво Google вважає, що їм просто пощастило, що вразливість була виявлена зловмисниками раніше. Наостанок зазначимо, що обладнання Software House використовують багато компаній. І найгірше те, що воно не перепрошивається. Таким чином, для переходу на новий протокол шифрування, компанії, яка є клієнтом Software House, доведеться купувати нові системи. Джерело: Habr | |
|
| |
| Всього коментарів: 0 | |