Si no se ocupa de los problemas de seguridad de la información en la empresa, puede ser dolorosamente doloroso.En julio de este mes, un hacker pudo encontrar una vulnerabilidad en el sistema automático de control de puertas de la oficina de Google. Pudo abrir puertas sin usar una llave RFID. Afortunadamente para la propia empresa, el pirata informático resultó ser su propio empleado, que realizó el trabajo en beneficio de su empleador y no trató de dañarlo.
La corporación tiene una red interna a través de la cual se transmiten los datos generados por los sistemas inteligentes de las oficinas y edificios de la compañía. David Tomashik, el empleado de Google en cuestión, simplemente envió el código que creó a esta red, después de lo cual los LED de las puertas cerradas cambiaron de color de rojo a verde, es decir, lograron abrir las puertas. El programa en sí no fue tan fácil de desarrollar: se dedicó mucho tiempo a su creación.
Inicialmente, el especialista de la base de datos
encontró una vulnerabilidad en el software de Sofware House, un socio de Google que desarrolló controladores de seguridad para la división de California.
Estudió los mensajes cifrados que envían los dispositivos Sofware House (
iStar Ultra e
IP-ACM ). Estos mensajes, como se mencionó anteriormente, se envían a través de la red interna de la compañía. Resultó que los mensajes están encriptados de forma insegura, se envían con cierta frecuencia, y esto puede ser utilizado por un atacante. Después de un estudio detallado, Tomashik descubrió que la clave de cifrado generalmente está conectada a la memoria de todos los dispositivos de la compañía especificada. Esto solo significaba una cosa: la clave se puede copiar y utilizar para sus propios fines.
Se puede usar no solo para enviar mensajes de phishing, sino también para ejecutar cualquier comando de un atacante. Se considerarán equipos "legítimos" y se ejecutarán sin bloquear la fuente.
Pero eso no es todo. Tomashik determinó que un atacante puede realizar todas las acciones sin registrar acciones. Es decir, en términos generales, puede abrir cualquier habitación, tomarla o hacer lo que necesite, salir y nadie lo sabrá nunca. Otro punto interesante es que el atacante que obtuvo la clave de cifrado puede bloquear los comandos que dan los empleados de la corporación y también mantener las puertas cerradas.
Después de que el empleado informó a la gerencia de su oficina, se tomaron medidas. En particular, la red de la empresa estaba segmentada de modo que la piratería en un sector no afectaba el rendimiento de otros sectores. Además, el protocolo de cifrado de la placa iStar v2 se ha cambiado por uno más confiable. La gerencia cree que nadie ha usado la vulnerabilidad esta vez, la compañía tuvo suerte.
Sin embargo, el equipo de Software House es utilizado por muchas compañías. Y lo peor es que no se actualiza; para esto, los dispositivos simplemente no tienen suficiente memoria. Y para cambiar a un nuevo protocolo de cifrado, por ejemplo, TLS, una empresa que es un cliente de Software House tendrá que comprar nuevos sistemas. Además de gastar dinero, esto significa la necesidad de dedicar tiempo del personal a la creación de una nueva infraestructura.
Un empleado de Google reveló la vulnerabilidad en el evento DEF CON Internet of Things Village, que se realizó a principios de agosto. En total, los participantes en este evento descubrieron 55 vulnerabilidades en hardware y software de varios fabricantes, incluidos los más famosos. Por ejemplo, los sistemas de riego inteligentes, la acústica de Sonos y una amplia gama de dispositivos IoT de fabricantes coreanos resultaron estar abiertos a los atacantes.
Software House afirma que ya está resolviendo este problema con sus clientes. Sea como fuere, la situación en sí misma confirma el axioma: los fabricantes de sistemas IoT se preocupan más por la funcionalidad y el diseño que por la seguridad de sus dispositivos. E incluso en las empresas que fabrican dispositivos y software para sistemas de seguridad empresarial, a menudo se encuentran vulnerabilidades extremadamente extrañas en sus productos, que pueden repararse fácilmente en la etapa de desarrollo.
Hasta que los fabricantes de dispositivos para hogares y edificios inteligentes comiencen a prestar atención al tema de la seguridad, los ciberdelincuentes pueden usar una gran cantidad de vulnerabilidades y agujeros con impunidad. Un ejemplo es el gusano Mirai, debido al cual han aparecido
una gran cantidad de botnets grandes.