Information Security
Software
4 September 2018

Сотрудник Google смог управлять системой открытия дверей в офисе компании из-за уязвимости в ПО


Если не заниматься вопросами информационной безопасности в компании, потом может быть мучительно больно

В июле этого месяца некий хакер смог найти уязвимость в системе управления автоматическими дверями офиса Google. Он смог открывать двери без использования ключа RFID. К счастью для самой компании, хакером оказался ее собственный сотрудник, который выполнял работу на благо своего работодателя, а не стремился навредить ему.

У корпорации есть внутренняя сеть, по которой передаются данные, генерируемые умными системами офисов и зданий компании. Дэвид Томашик, сотрудник Google, о котором идет речь, просто отправил созданный им код в эту сеть, после чего светодиоды на закрытых дверях сменили цвет с красного на зелёный — то есть двери удалось открыть. Сама программа оказалась не такой уж и простой в разработке — на ее создание было потрачено довольно много времени.

Изначально специалист по инфобезу нашел уязвимость в программном обеспечении компании Sofware House — партнера Google, разработавшего контроллеры безопасности для подразделения корпорации из Калифорнии.

Он изучал зашифрованные сообщения, которые отправляют устройства Sofware House (iStar Ultra и IP-ACM). Эти сообщения, как и говорилось выше, рассылаются по внутренней сети компании. Оказалось, что сообщения шифруются ненадежно, отправляются они с определенной частой, и это может использовать в своих целях злоумышленник. После детального изучения Томашик выяснил, что ключ шифрования вообще зашит в память всех устройств указанной компании. Это означало только одно — ключ можно скопировать и использовать в своих целях.

Его можно использовать не только для того, чтобы рассылать фишинговые сообщения, но и с целью выполнения любых команд злоумышленника. Они будут считаться оборудованием «легитимными» и выполняться без блокирования источника.

Но и это еще не все. Томашик определил, что все действия злоумышленник может выполнять без журналирования действий. То есть, грубо говоря, можно открыть любое помещение, взять там или сделать все, что нужно, выйти, и никто и никогда об этом не узнает. Еще интересный момент — злоумышленник, раздобывший ключ шифрования, в состоянии блокировать команды, которые подают сотрудники корпорации, а также держать любые двери закрытыми.

После того, как сотрудник известил руководство своего офиса, были приняты меры. В частности, сеть компании была сегментирована таким образом, чтобы взлом одного сектора никак не влиял на работоспособность других секторов. Кроме того, протокол шифрования iStar v2 Board был изменен на более надежный. Руководство считает, что уязвимость никто не использовал на этот раз компании повезло.

Тем не менее, оборудование Software House используют многие компании. И хуже всего то, что оно не перепрошивается — для этого у гаджетов просто не хватает памяти. И для перехода на новый протокол шифрования, например, TLS, компании, которая является клиентом Software House, придется покупать новые системы. Кроме денежных трат, это означает необходимость тратить время сотрудников на настройку новой инфраструктуры.

Уязвимость сотрудник Google раскрыл на мероприятии DEF CON Internet of Things Village, которое проводилось в начале августа. Всего участники этого мероприятия обнаружили 55 уязвимостей в оборудовании и ПО разных производителей, включая самых известных. Например, открытыми для злоумышленников оказались умные системы орошения, акустика Sonos и широкий спектр IoT-гаджетов от корейских производителей.

Компания Software House утверждает, что уже решает эту проблему со своими клиентами. Как бы там ни было, но сама ситуация подтверждает аксиому — производители IoT-систем больше заботятся о функциональности и дизайне, чем о безопасности своих устройств. И даже компании, которые занимаются производством девайсов и ПО для систем безопасности предприятия, в их продуктах часто встречаются крайне странные уязвимости, которые можно легко устранить еще на этапе разработки.

Пока производители устройств для умных домов и зданий не станут уделять внимание вопросу безопасности, злоумышленники могут безнаказанно использовать большое количество самых разных уязвимостей и дыр. Пример — червь Mirai, благодаря которому появилось большое количество крупных ботнетов.

+29
14.2k 25
Support the author
Comments 33