Foto: Leon Neal (Getty Images)
Un ingegnere Google ha scoperto una vulnerabilità nel sistema di terze parti il controllo dell’accesso alle porte in tutto il suo campus a Sunnyvale, in California, e ha colto l’occasione per dimostrare che poteva ignorare qualsiasi RFID chiave, serratura, servizio, Forbes riferito il lunedi.
Secondo Forbes, dipendente David Tomaschik scoperto che la Software House dispositivi connessi alla rete Google utilizzato una non protetta, hardcoded chiave di crittografia, e ha lanciato l’attacco per dimostrare le conseguenze che potrebbero derivare:
La scorsa estate, quando Tomaschik guardato i messaggi crittografati, la Software House dispositivi (detti iStar Ultra e IP-ACM) sono stati l’invio di tutta la rete Google, e ha scoperto che erano non casuale; messaggi cifrati deve sempre guardare casuale se sono adeguatamente protetti. Era incuriosito e scavando in profondità scoperto un “hardcoded” chiave di crittografia utilizzato da tutte le Software House dispositivi. Questo significa che egli potrebbe effettivamente replicare la chiave e comandi forge, come quelli chiedendo una porta per sbloccare. O potrebbe semplicemente replay legittimo sbloccare i comandi, che ha avuto lo stesso effetto.
Tomaschik è stato anche in grado di usare la sua conoscenza della vulnerabilità di impedire ad altri di Google staff’ accesso a parti dell’edificio. La cosa peggiore di tutte, non avrebbe potuto fare tutto questo senza lasciare alcuna traccia:
Tomaschik anche scoperto che potrebbe fare tutto questo senza alcun record delle sue azioni. E poteva impedire il legittimo dipendenti di Google, l’apertura di porte. “Una volta ho avuto i miei risultati è diventata una priorità. Era piuttosto male”, ha detto Forbes. Google, quindi si è spostato rapidamente per evitare attacchi sui propri uffici, secondo Tomaschik.
Google ha detto Forbes avevano alcuna prova che qualsiasi hacker hanno sfruttato le vulnerabilità precedentemente alla sua scoperta da parte di Tomaschik. La Software House dei dispositivi di design è stato aggiornato per aumentare la sicurezza, anche se i dispositivi originali non possono essere aggiornati con qualsiasi metodo breve di un di sostituzione dell’hardware, a causa di limiti di memoria, Forbes ha aggiunto.
È facile capire perché questo è particolarmente lampante problema, oltre alla sicurezza di Google personale, titolare della società Alfabeto è uno dei tech racing per essere la pena di un trilione di dollari. Così le sue strutture non sono esattamente il tipo di luogo sarebbe bello avere randos a ruota libera di tutto. E come osserva Forbes, Tomaschik è preoccupato del fatto che ci sono solo pochi produttori di RFID chiave, sistemi di sicurezza, il che significa che la Software House vulnerabilità è probabilmente presente in un allarmante percentuale di quelli già installati in tutto il paese.
[Forbes]