Wenn Sie sich nicht mit Fragen der Informationssicherheit im Unternehmen befassen, kann dies schmerzhaft schmerzhaft seinIm Juli dieses Monats konnte ein Hacker eine Sicherheitslücke im automatischen Türsteuerungssystem von Googles Büro finden. Er konnte Türen ohne Verwendung eines RFID-Schlüssels öffnen. Zum Glück für das Unternehmen selbst stellte sich heraus, dass der Hacker sein eigener Angestellter war, der zum Wohle seines Arbeitgebers arbeitete und nicht versuchte, ihm Schaden zuzufügen.
Das Unternehmen verfügt über ein internes Netzwerk, über das Daten übertragen werden, die von den intelligenten Systemen der Büros und Gebäude des Unternehmens generiert werden. David Tomashik, der betreffende Google-Mitarbeiter, hat einfach den von ihm erstellten Code an dieses Netzwerk gesendet. Danach haben die LEDs an den geschlossenen Türen ihre Farbe von rot nach grün geändert - das heißt, sie haben es geschafft, die Türen zu öffnen. Das Programm selbst war nicht so einfach zu entwickeln - es wurde ziemlich viel Zeit für seine Erstellung aufgewendet.
Zunächst stellte der Infobase-Spezialist
eine Sicherheitslücke in der Software von Sofware House fest, einem Google-Partner, der Sicherheitscontroller für die kalifornische Division entwickelt hat.
Er untersuchte die verschlüsselten Nachrichten, die Sofware House-Geräte senden (
iStar Ultra und
IP-ACM ). Diese Nachrichten werden, wie oben erwähnt, über das interne Netzwerk des Unternehmens gesendet. Es stellte sich heraus, dass Nachrichten unsicher verschlüsselt sind, mit einer bestimmten Häufigkeit gesendet werden und von einem Angreifer verwendet werden können. Nach einer detaillierten Studie stellte Tomashik fest, dass der Verschlüsselungsschlüssel im Allgemeinen mit dem Speicher aller Geräte des angegebenen Unternehmens verbunden ist. Dies bedeutete nur eines: Der Schlüssel kann kopiert und für eigene Zwecke verwendet werden.
Es kann nicht nur zum Senden von Phishing-Nachrichten verwendet werden, sondern auch zum Ausführen von Befehlen eines Angreifers. Sie gelten als „legitime“ Geräte und werden ausgeführt, ohne die Quelle zu blockieren.
Das ist aber noch nicht alles. Tomashik stellte fest, dass ein Angreifer alle Aktionen ausführen kann, ohne Aktionen zu protokollieren. Das heißt, grob gesagt, Sie können jeden Raum öffnen, ihn nehmen oder tun, was immer Sie brauchen, ausgehen, und niemand wird jemals davon erfahren. Ein weiterer interessanter Punkt ist, dass der Angreifer, der den Verschlüsselungsschlüssel erhalten hat, die Befehle der Mitarbeiter des Unternehmens blockieren und auch Türen geschlossen halten kann.
Nachdem der Mitarbeiter die Leitung seines Büros informiert hatte, wurden Maßnahmen ergriffen. Insbesondere wurde das Netzwerk des Unternehmens so segmentiert, dass das Hacken in einem Sektor die Leistung anderer Sektoren nicht beeinträchtigte. Darüber hinaus wurde das Verschlüsselungsprotokoll der iStar v2-Karte in ein zuverlässigeres geändert. Das Management glaubt, dass diesmal niemand die Sicherheitslücke ausgenutzt hat, das Unternehmen hatte Glück.
Software House-Geräte werden jedoch von vielen Unternehmen verwendet. Und das Schlimmste ist, dass es nicht erneut blinkt - dafür haben Gadgets einfach nicht genug Speicher. Um auf ein neues Verschlüsselungsprotokoll umzusteigen, z. B. TLS, muss ein Unternehmen, das ein Software House-Kunde ist, neue Systeme kaufen. Dies bedeutet nicht nur, Geld auszugeben, sondern auch, dass die Mitarbeiter Zeit für den Aufbau einer neuen Infrastruktur aufwenden müssen.
Ein Google-Mitarbeiter enthüllte die Sicherheitslücke bei der Veranstaltung DEF CON Internet of Things Village, die Anfang August stattfand. Insgesamt entdeckten die Teilnehmer dieser Veranstaltung 55 Schwachstellen in Hardware und Software verschiedener Hersteller, darunter die bekanntesten. Beispielsweise erwiesen sich intelligente Bewässerungssysteme, Sonos-Akustik und eine breite Palette von IoT-Geräten koreanischer Hersteller als offen für Angreifer.
Software House behauptet, dieses Problem bereits mit seinen Kunden zu lösen. Wie dem auch sei, die Situation selbst bestätigt das Axiom - Hersteller von IoT-Systemen legen mehr Wert auf Funktionalität und Design als auf die Sicherheit ihrer Geräte. Und selbst Unternehmen, die Geräte und Software für Unternehmenssicherheitssysteme herstellen, finden in ihren Produkten häufig äußerst seltsame Schwachstellen, die in der Entwicklungsphase leicht behoben werden können.
Bis Hersteller von Geräten für Smart Homes und Gebäude beginnen, sich mit dem Thema Sicherheit zu befassen, können Cyberkriminelle ungestraft eine Vielzahl verschiedener Schwachstellen und Lücken nutzen. Ein Beispiel ist der Mirai-Wurm, aufgrund dessen
eine große Anzahl großer Botnetze aufgetreten ist.