如果您不处理公司中的信息安全问题,那么可能会很痛苦本月的7月,黑客能够在Google Office的自动门控制系统中发现一个漏洞。 他无需使用RFID钥匙即可打开门。 对于公司本身而言,幸运的是,黑客原来是自己的员工,为雇主的利益而从事工作,而不是试图伤害他。
公司具有内部网络,通过该内部网络可以传输公司办公室和建筑物的智能系统生成的数据。 有问题的Google员工David Tomashik只是将他创建的代码发送到该网络,此后,关闭门上的LED的颜色从红色变为绿色-也就是说,他们设法打开了门。 该程序本身并不是那么容易开发-在其创建上花费了大量时间。
最初,信息库专家在Google合作伙伴Sofware House的软件中
发现了一个漏洞 ,该公司为Google部门开发了安全控制器。
他研究了Sofware House设备发送的加密消息(
iStar Ultra和
IP-ACM )。 如上所述,这些消息是通过公司的内部网络发送的。 事实证明,消息是不安全加密的,它们以一定的频率发送,攻击者可以使用它。 经过详细研究,Tomashik发现加密密钥通常连接到指定公司的所有设备的内存中。 这意味着只有一件事-密钥可以复制并用于您自己的目的。
它不仅可以用于发送网络钓鱼邮件,还可以用于执行攻击者的任何命令。 它们将被视为“合法”设备,并且在执行时不会阻塞源。
但这还不是全部。 Tomashik确定攻击者可以执行所有操作,而无需记录操作。 也就是说,粗略地说,您可以打开任何房间,拿走它或做任何您需要的事情,然后出去,而且没人会知道。 另一个有趣的一点是,获得加密密钥的攻击者可以阻止公司员工发出的命令,并且还可以关闭所有门。
员工通知其办公室管理层后,便采取了措施。 特别是,公司的网络是分段的,因此一个部门的黑客入侵不会影响其他部门的绩效。 此外,iStar v2 Board加密协议已更改为更可靠的协议。 管理层认为,这次没有人使用该漏洞,该公司很幸运。
但是,许多公司都使用Software House设备。 最糟糕的是它不会刷新-为此,小工具根本没有足够的内存。 为了切换到新的加密协议(例如TLS),Software House客户的公司必须购买新系统。 除了花钱,这还意味着需要花费员工时间来建立新的基础架构。
一名Google员工在8月初举行的DEF CON物联网村活动中发现了此漏洞。 总共,该活动的参与者发现了来自各个制造商(包括最著名的制造商)的55个硬件和软件漏洞。 例如,韩国制造商提供的智能灌溉系统,Sonos音响和各种IoT配件向攻击者开放。
Software House声称已经在与客户解决此问题。 不管怎样,这种情况本身就印证了公理-物联网系统的制造商更关心功能和设计,而不是设备的安全性。 即使是为企业安全系统生产设备和软件的公司,其产品中也经常发现极其奇怪的漏洞,这些漏洞可以在开发阶段轻松修复。
在用于智能家居和建筑物的设备制造商开始关注安全问题之前,网络罪犯可以使用大量各种漏洞和漏洞而不受惩罚。 一个例子是Mirai蠕虫,由于该蠕虫,出现
了许多大型僵尸网络。