إذا كنت لا تتعامل مع قضايا أمن المعلومات في الشركة ، فقد تكون مؤلمة بشكل مؤلمفي تموز (يوليو) من هذا الشهر ، تمكن أحد المتسللين من العثور على ثغرة أمنية في نظام التحكم التلقائي في باب مكتب Google. كان قادرًا على فتح الأبواب دون استخدام مفتاح RFID. لحسن الحظ بالنسبة للشركة نفسها ، اتضح أن المخترق هو موظفها الخاص ، الذي أدى عملاً لصالح صاحب العمل ، ولم يسع إلى إيذائه.
لدى الشركة شبكة داخلية يتم من خلالها نقل البيانات التي تم إنشاؤها بواسطة الأنظمة الذكية لمكاتب الشركة ومبانيها. أرسل ديفيد توماشيك ، موظف Google المعني ، الرمز الذي أنشأه لهذه الشبكة ، وبعد ذلك تغيرت مؤشرات LED الموجودة على الأبواب المغلقة من اللون الأحمر إلى الأخضر - أي أنهم تمكنوا من فتح الأبواب. لم يكن تطوير البرنامج نفسه بهذه السهولة - فقد تم تخصيص الكثير من الوقت لإنشائه.
في البداية ،
وجد اختصاصي
قاعدة المعلومات ثغرة في برنامج Sofware House ، أحد شركاء Google الذين طوروا أجهزة التحكم الأمنية لقسم كاليفورنيا.
درس الرسائل المشفرة التي ترسلها أجهزة Sofware House (
iStar Ultra و
IP-ACM ). يتم إرسال هذه الرسائل ، كما ذكر أعلاه ، عبر الشبكة الداخلية للشركة. اتضح أن الرسائل مشفرة بشكل غير آمن ، يتم إرسالها بتردد معين ، ويمكن استخدامها من قبل المهاجم. بعد دراسة تفصيلية ، اكتشف Tomashik أن مفتاح التشفير يتم توصيله بشكل عام في ذاكرة جميع أجهزة الشركة المحددة. هذا يعني شيئًا واحدًا فقط - يمكن نسخ المفتاح واستخدامه لأغراضك الخاصة.
يمكن استخدامه ليس فقط لإرسال رسائل تصيد ، ولكن أيضًا لغرض تنفيذ أي أوامر للمهاجم. سيتم اعتبارهم معدات "شرعية" ويتم تنفيذها دون حجب المصدر.
لكن هذا ليس كل شيء قرر Tomashik أن المهاجم يمكنه تنفيذ جميع الإجراءات دون تسجيل الإجراءات. بمعنى آخر ، يمكنك فتح أي غرفة ، أو أخذها أو القيام بكل ما تحتاجه ، والخروج ، ولن يعلم أحد بذلك. نقطة أخرى مثيرة للاهتمام هي أن المهاجم الذي حصل على مفتاح التشفير قادر على منع الأوامر التي يعطيها موظفو الشركة وإبقاء أي أبواب مغلقة أيضًا.
بعد أن أبلغ الموظف إدارة مكتبه ، تم اتخاذ التدابير. على وجه الخصوص ، تم تقسيم شبكة الشركة بحيث لا يؤثر القرصنة في أحد القطاعات على أداء القطاعات الأخرى. بالإضافة إلى ذلك ، تم تغيير بروتوكول تشفير لوحة iStar v2 إلى بروتوكول أكثر موثوقية. تعتقد الإدارة أنه لم يستخدم أحد نقاط الضعف هذه المرة ، فقد كانت الشركة محظوظة.
ومع ذلك ، يتم استخدام معدات Software House من قبل العديد من الشركات. وأسوأ جزء هو أنها لا تعيد تحميل ملفات - لذلك ، لا تملك الأدوات ببساطة ذاكرة كافية. وللانتقال إلى بروتوكول تشفير جديد ، على سبيل المثال ، سيتعين على TLS ، وهي شركة تعمل في شركة Software House ، شراء أنظمة جديدة. بالإضافة إلى إنفاق المال ، هذا يعني الحاجة إلى قضاء وقت الموظفين في إنشاء بنية تحتية جديدة.
كشف أحد موظفي Google عن الثغرة الأمنية في حدث DEF CON Internet of Things Village ، الذي عُقد في أوائل أغسطس. في المجموع ، اكتشف المشاركون في هذا الحدث 55 نقطة ضعف في الأجهزة والبرامج من مختلف الشركات المصنعة ، بما في ذلك أشهرها. على سبيل المثال ، تبين أن أنظمة الري الذكية والصوتيات Sonos ومجموعة واسعة من أدوات إنترنت الأشياء من الشركات المصنعة الكورية مفتوحة للمهاجمين.
تدعي شركة Software House أنها تعمل بالفعل على حل هذه المشكلة مع عملائها. مع ذلك ، يؤكد الموقف نفسه البديهية - يهتم مصنعو أنظمة إنترنت الأشياء بالوظائف والتصميم أكثر من اهتمامهم بسلامة أجهزتهم. وحتى الشركات التي تصنع الأجهزة والبرامج لأنظمة أمن المؤسسات ، غالبًا ما توجد نقاط ضعف غريبة للغاية في منتجاتها ، والتي يمكن إصلاحها بسهولة في مرحلة التطوير.
حتى يبدأ مصنعو الأجهزة للمنازل والمباني الذكية في الاهتمام بقضية الأمن ، يمكن لمجرمي الإنترنت استخدام عدد كبير من نقاط الضعف والثغرات المختلفة مع الإفلات من العقاب. ومن الأمثلة على ذلك دودة Mirai ، التي
ظهرت بسببها عدد كبير من الروبوتات الكبيرة.