Se você não lida com questões de segurança da informação na empresa, pode ser dolorosamente dolorosoEm julho deste mês, um hacker conseguiu encontrar uma vulnerabilidade no sistema de controle automático de portas do escritório do Google. Ele foi capaz de abrir portas sem usar uma chave RFID. Felizmente para a própria empresa, o hacker acabou sendo seu próprio funcionário, que executou um trabalho em benefício de seu empregador e não procurou prejudicá-lo.
A corporação possui uma rede interna através da qual os dados gerados pelos sistemas inteligentes dos escritórios e edifícios da empresa são transmitidos. David Tomashik, o funcionário do Google em questão, simplesmente enviou o código que ele criou para esta rede, após o qual os LEDs nas portas fechadas mudaram de cor de vermelho para verde - ou seja, eles conseguiram abrir as portas. O programa em si não era tão fácil de desenvolver - muito tempo foi gasto em sua criação.
Inicialmente, o especialista da infobase
encontrou uma vulnerabilidade no software da Sofware House, um parceiro do Google que desenvolveu controladores de segurança para a divisão da Califórnia.
Ele estudou as mensagens criptografadas enviadas pelos dispositivos Sofware House (
iStar Ultra e
IP-ACM ). Essas mensagens, como mencionado acima, são enviadas pela rede interna da empresa. Verificou-se que as mensagens são criptografadas de forma insegura, são enviadas com uma certa frequência e isso pode ser usado por um invasor. Após um estudo detalhado, Tomashik descobriu que a chave de criptografia geralmente é conectada à memória de todos os dispositivos da empresa especificada. Isso significava apenas uma coisa - a chave pode ser copiada e usada para seus próprios fins.
Ele pode ser usado não apenas para enviar mensagens de phishing, mas também com o objetivo de executar qualquer comando de um invasor. Eles serão considerados equipamentos "legítimos" e executados sem bloquear a fonte.
Mas isso não é tudo. Tomashik determinou que um invasor pode executar todas as ações sem registrar ações. Ou seja, grosso modo, você pode abrir qualquer sala, pegar ou fazer o que precisar, sair e ninguém nunca saberá sobre isso. Outro ponto interessante é que o invasor que obteve a chave de criptografia pode bloquear os comandos que os funcionários da corporação dão e também manter as portas fechadas.
Depois que o funcionário informou a gerência de seu escritório, foram tomadas medidas. Em particular, a rede da empresa foi segmentada para que hackers em um setor não afetassem o desempenho de outros setores. Além disso, o protocolo de criptografia do iStar v2 Board foi alterado para um mais confiável. A gerência acredita que ninguém usou a vulnerabilidade desta vez, a empresa teve sorte.
No entanto, o equipamento da Software House é usado por muitas empresas. E a pior parte é que não reflash - para isso, os gadgets simplesmente não têm memória suficiente. E para mudar para um novo protocolo de criptografia, por exemplo, a TLS, uma empresa que é cliente da Software House, terá que comprar novos sistemas. Além de gastar dinheiro, isso significa a necessidade de gastar tempo da equipe na criação de uma nova infraestrutura.
Um funcionário do Google revelou a vulnerabilidade no evento DEF CON Internet of Things Village, realizado no início de agosto. No total, os participantes deste evento descobriram 55 vulnerabilidades em hardware e software de vários fabricantes, incluindo os mais famosos. Por exemplo, sistemas inteligentes de irrigação, acústica Sonos e uma ampla variedade de dispositivos de IoT de fabricantes coreanos acabaram sendo abertos a invasores.
A Software House afirma já estar resolvendo esse problema com seus clientes. Seja como for, a própria situação confirma o axioma - os fabricantes de sistemas de IoT se preocupam mais com funcionalidade e design do que com a segurança de seus dispositivos. E mesmo as empresas que fabricam dispositivos e software para sistemas de segurança corporativa, muitas vezes são encontradas vulnerabilidades extremamente estranhas em seus produtos, que podem ser facilmente corrigidas no estágio de desenvolvimento.
Até que os fabricantes de dispositivos para residências e prédios inteligentes comecem a prestar atenção à questão da segurança, os cibercriminosos podem usar um grande número de várias vulnerabilidades e falhas com impunidade. Um exemplo é o worm Mirai, devido ao qual
um grande número de botnets grandes apareceu.