Si vous ne traitez pas des problèmes de sécurité de l'information dans l'entreprise, cela peut être douloureusement douloureux.En juillet de ce mois, un pirate a pu trouver une vulnérabilité dans le système de contrôle automatique des portes du bureau de Google. Il a pu ouvrir des portes sans utiliser de clé RFID. Heureusement pour l'entreprise elle-même, le pirate s'est avéré être son propre employé, qui effectuait un travail au profit de son employeur, et n'a pas cherché à lui faire du mal.
La société dispose d'un réseau interne à travers lequel les données générées par les systèmes intelligents des bureaux et des bâtiments de l'entreprise sont transmises. David Tomashik, l'employé de Google en question, a simplement envoyé le code qu'il a créé à ce réseau, après quoi les LED des portes fermées ont changé de couleur du rouge au vert - c'est-à-dire qu'elles ont réussi à ouvrir les portes. Le programme lui-même n'était pas si facile à développer - beaucoup de temps a été consacré à sa création.
Initialement, le spécialiste de l'infobase a
découvert une vulnérabilité dans le logiciel de Sofware House, un partenaire de Google qui a développé des contrôleurs de sécurité pour la division californienne.
Il a étudié les messages chiffrés envoyés par les appareils Sofware House (
iStar Ultra et
IP-ACM ). Ces messages, comme mentionné ci-dessus, sont envoyés via le réseau interne de l'entreprise. Il s'est avéré que les messages sont cryptés de manière non sécurisée, ils sont envoyés avec une certaine fréquence, et cela peut être utilisé par un attaquant. Après une étude détaillée, Tomashik a découvert que la clé de chiffrement est généralement câblée dans la mémoire de tous les appareils de la société spécifiée. Cela signifiait une seule chose - la clé peut être copiée et utilisée à vos propres fins.
Il peut être utilisé non seulement pour envoyer des messages de phishing, mais également pour exécuter les commandes d'un attaquant. Ils seront considérés comme des équipements «légitimes» et exécutés sans bloquer la source.
Mais ce n'est pas tout. Tomashik a déterminé qu'un attaquant peut effectuer toutes les actions sans enregistrer les actions. Autrement dit, vous pouvez ouvrir n'importe quelle pièce, la prendre ou faire tout ce dont vous avez besoin, sortir et personne ne le saura jamais. Un autre point intéressant est que l'attaquant qui a obtenu la clé de chiffrement est capable de bloquer les commandes que les employés de la société donnent et de garder toutes les portes fermées.
Après que l'employé a informé la direction de son bureau, des mesures ont été prises. En particulier, le réseau de la société a été segmenté de sorte que le piratage dans un secteur n'affecte pas la performance des autres secteurs. De plus, le protocole de cryptage de la carte iStar v2 a été changé pour un protocole plus fiable. La direction estime que personne n'a utilisé la vulnérabilité cette fois-ci, l'entreprise a eu de la chance.
Cependant, l'équipement de Software House est utilisé par de nombreuses entreprises. Et le pire, c'est qu'il ne reflashera pas - pour cela, les gadgets n'ont tout simplement pas assez de mémoire. Et pour passer à un nouveau protocole de cryptage, par exemple TLS, une entreprise cliente de Software House devra acheter de nouveaux systèmes. En plus de dépenser de l'argent, cela signifie qu'il faut consacrer du temps au personnel pour mettre en place une nouvelle infrastructure.
Un employé de Google a révélé la vulnérabilité lors de l'événement DEF CON Internet of Things Village, qui s'est tenu début août. Au total, les participants à cet événement ont découvert 55 vulnérabilités dans le matériel et les logiciels de divers fabricants, y compris les plus célèbres. Par exemple, les systèmes d'irrigation intelligents, l'acoustique Sonos et une large gamme de gadgets IoT de fabricants coréens se sont révélés ouverts aux attaquants.
Software House prétend déjà résoudre ce problème avec ses clients. Quoi qu'il en soit, la situation elle-même confirme l'axiome - les fabricants de systèmes IoT se soucient davantage de la fonctionnalité et de la conception que de la sécurité de leurs appareils. Et même les entreprises qui fabriquent des appareils et des logiciels pour les systèmes de sécurité d'entreprise, des vulnérabilités extrêmement étranges se trouvent souvent dans leurs produits, qui peuvent être facilement corrigées au stade du développement.
Jusqu'à ce que les fabricants d'appareils pour maisons et bâtiments intelligents commencent à prêter attention à la question de la sécurité, les cybercriminels peuvent utiliser un grand nombre de vulnérabilités et de trous divers en toute impunité. Un exemple est le ver Mirai, à cause duquel
un grand nombre de grands botnets sont apparus.