Jika Anda tidak berurusan dengan masalah keamanan informasi di perusahaan, maka itu bisa sangat menyakitkanPada bulan Juli bulan ini, seorang peretas dapat menemukan kerentanan dalam sistem kontrol pintu otomatis kantor Google. Dia bisa membuka pintu tanpa menggunakan kunci RFID. Untungnya bagi perusahaan itu sendiri, peretas itu ternyata adalah karyawannya sendiri, yang melakukan pekerjaan untuk kepentingan majikannya, dan tidak berusaha melukainya.
Korporasi memiliki jaringan internal di mana data yang dihasilkan oleh sistem cerdas kantor dan bangunan perusahaan ditransmisikan. David Tomashik, karyawan Google yang dimaksud, hanya mengirim kode yang ia buat ke jaringan ini, setelah itu LED di pintu yang tertutup berubah warna dari merah menjadi hijau - yaitu, mereka berhasil membuka pintu. Program itu sendiri tidak begitu mudah dikembangkan - cukup banyak waktu dihabiskan untuk pembuatannya.
Awalnya, spesialis infobase
menemukan kerentanan dalam perangkat lunak Sofware House, mitra Google yang mengembangkan pengontrol keamanan untuk divisi California.
Dia mempelajari pesan terenkripsi yang dikirim perangkat Sofware House (
iStar Ultra dan
IP-ACM ). Pesan-pesan ini, sebagaimana disebutkan di atas, dikirim melalui jaringan internal perusahaan. Ternyata pesan dienkripsi secara tidak aman, mereka dikirim dengan frekuensi tertentu, dan ini dapat digunakan oleh penyerang. Setelah penelitian terperinci, Tomashik menemukan bahwa kunci enkripsi umumnya ditransfer ke dalam memori semua perangkat perusahaan yang ditentukan. Ini berarti hanya satu hal - kuncinya dapat disalin dan digunakan untuk tujuan Anda sendiri.
Ini dapat digunakan tidak hanya untuk mengirim pesan phishing, tetapi juga untuk tujuan mengeksekusi perintah penyerang. Mereka akan dianggap sebagai peralatan yang "sah" dan dieksekusi tanpa memblokir sumbernya.
Tapi itu belum semuanya. Tomashik menetapkan bahwa penyerang dapat melakukan semua tindakan tanpa melakukan logging. Artinya, secara kasar, Anda dapat membuka ruangan apa pun, mengambilnya atau melakukan apa pun yang Anda butuhkan, keluar, dan tidak ada yang akan mengetahuinya. Poin menarik lainnya adalah bahwa penyerang yang memperoleh kunci enkripsi dapat memblokir perintah yang diberikan karyawan perusahaan dan juga menutup pintu.
Setelah karyawan memberi tahu manajemen kantornya, langkah-langkah diambil. Secara khusus, jaringan perusahaan tersegmentasi sehingga peretasan di satu sektor tidak memengaruhi kinerja sektor lain. Selain itu, protokol enkripsi iStar v2 Board telah diubah menjadi yang lebih andal. Manajemen percaya bahwa tidak ada yang menggunakan kerentanan saat ini, perusahaan itu beruntung.
Namun, peralatan Software House digunakan oleh banyak perusahaan. Dan bagian terburuknya adalah ia tidak reflash - untuk ini, gadget tidak punya cukup memori. Dan untuk beralih ke protokol enkripsi baru, misalnya, TLS, perusahaan yang merupakan klien Software House harus membeli sistem baru. Selain menghabiskan uang, ini berarti perlu menghabiskan waktu staf untuk menyiapkan infrastruktur baru.
Seorang karyawan Google mengungkapkan kerentanan pada acara DEF CON Internet of Things Village, yang diadakan pada awal Agustus. Secara total, peserta dalam acara ini menemukan 55 kerentanan dalam perangkat keras dan perangkat lunak dari berbagai produsen, termasuk yang paling terkenal. Sebagai contoh, sistem irigasi pintar, akustik Sonos dan beragam gadget IoT dari pabrikan Korea ternyata terbuka untuk penyerang.
Software House mengklaim sudah menyelesaikan masalah ini dengan para pelanggannya. Bagaimanapun, situasi itu sendiri menegaskan aksioma - produsen sistem IoT lebih peduli tentang fungsi dan desain daripada tentang keamanan perangkat mereka. Dan bahkan perusahaan yang memproduksi perangkat dan perangkat lunak untuk sistem keamanan perusahaan, kerentanan yang sangat aneh sering ditemukan dalam produk mereka, yang dapat dengan mudah diperbaiki pada tahap pengembangan.
Sampai produsen perangkat untuk rumah dan bangunan pintar mulai memperhatikan masalah keamanan, penjahat cyber dapat menggunakan sejumlah besar berbagai kerentanan dan lubang tanpa hukuman. Contohnya adalah cacing Mirai, karena sejumlah besar botnet besar telah muncul.