Google „hacknul“ vlastní zaměstnanec

14. 9. 2018 v sekci Článek

Technologický gigant, který je prakticky synonymem internetu 21. století, si zakládá na tom, že dodržuje ty nejvyšší bezpečnostní standardy. Jeden ze zaměstnanců nyní upozornil na nedostatky bezpečnostního systému, který má Google nasazený pro ochranu fyzického přístupu v kampusu v Sunnyvale.

Jeden ze zaměstnanců Googlu otestoval kvalitu bezpečnostních dveří, které by se měly otevírat výhradně pomocí RFID karty. Oním zaměstnancem a etickým hackerem byl softwarový inženýr David Tomaschick. Podařilo se mu kompromitovat systém od společnosti Software House zabezpečující fyzický přístup pomocí RFID karet. Tomaschick vypozoroval, že šifrované zprávy, které vysílají zařízení od Software House, nejsou náhodné, což nasvědčuje tomu, že nejsou ani řádně zabezpečené. Bezpečnostní systém od Software House používá Google v celém sunnyvaleském kampusu.

Tomaschick začal prozkoumávat bezpečnostní systém a jeho fungování důkladněji a zjistil, že je ve všech zařízeních Software House natvrdo uložený šifrovací klíč. Tento klíč byl tedy schopný zkopírovat a zadávat vlastní příkazy – například odemknout dveře, které za normálních okolností vyžadují ověření přístupu pomocí karty. Současně mohl odepřít přístup i těm, kteří kartu měli. Inženýr také zjistil, že může zadávat příkazy, aniž by byl podle nich zpětně jakkoliv dohledatelný. Google situaci začal okamžitě řešit.

Podle Tomaschicka není na trhu moc výrobců bezpečnostních systémů pro čipové RFID karty a je vysoce pravděpodobné, že zranitelnost, kterou odhalil v technologiích Software Housu, je přítomna i u dalších bezpečnostních dveří na RFID kartu.

Jde o další ukázkový případ bezpečnostních nedostatků IoT prvků. Paradoxně byly (a v další řadě případů stále jsou) tyto prvky součástí rozsáhlých bezpečnostních řešení. Samy o sobě ale představují bezpečnostní riziko a mohou být snadno zneužity. Připomeňme si kauzu z loňského října, kdy byla slabá místa v zabezpečení tisíců zařízení připojených k internetu (kromě počítačů šlo o routery nebo bezdrátové kamery) zneužita k vytvoření masivního botnetu Mirai.

Je také znepokojivé, že se na závažný bezpečnostní nedostatek přišlo jen tak mimoděk, a to ve společnosti, která se často zasazuje o zvyšování standardů kybernetické bezpečnosti. O tom, že je pod svícnem největší tma, se ale nedávno přesvědčil i bezpečností posedlý Apple, od kterého si „jen tak“ stáhl 90 GB citlivých dat teenager.

Zdroj: Tech Times






Tento web používá cookies. Více informací ROZUMÍM