กูเกิลรายงานช่องโหว่ของซอฟต์แวร์และฮาร์ดแวร์แบรนด์ต่างๆ สู่โลกภายนอกเสมอๆ และในงาน DEF CON เมื่อต้นเดือนสิงหาคมที่ผ่านมา David Tomaschik วิศวกรอาวุโสฝ่ายตรวจสอบความปลอดภัยของกูเกิล รายงานถึงระบบจัดการผ่านเข้าออกสำนักงานของออฟฟิศกูเกิลเอง โดยสำนักงานของกูเกิลนั้นใช้ระบบควบคุมประตูที่ชื่อว่า iStar Ultra และ IP-ACM โดยบริษัท Software House
Software House ระบุว่าการสื่อสารของประตูเข้ารหัส AES-256 แต่เมื่อ David ดักจับข้อมูลเครือข่าย พบว่าข้อมูล 36 ไบต์แรกเหมือนเดิมเสมอ ทำให้น่าเชื่อว่านักพัฒนาใช้กระบวนการเข้ารหัสผิดพลาดบางอย่าง และเมื่อวิเคราะห์เฟิร์มแวร์ก็พบว่ามีกุญแจ AES ฝังอยู่ในโค้ดเอง ทำให้แฮกเกอร์สามารถดักข้อมูล, ถอดรหัสข้อมูล, แก้ไข, และส่งคำสั่งเปิดปิดประตูได้ตามใจชอบ
เขาระบุถึงปัญหาของการเข้ารหัสในอุปกรณ์ IoT โดยรวม ว่าการใช้กุญแจฝังในโค้ดนั้นเป็นเรื่องง่าย เพราะผู้ผลิตไม่ต้องการดูแลกระบวนการกระจายใบรับรองเข้ารหัส อย่างไรก็ดีการออกแบบกระบวนการเข้ารหัสเองนั้นอันตราย และผู้ผลิตควรหันไปใช้ TLS และสร้างระบบเซ็นใบรับรองอุปกรณ์ในแต่ละองค์กรเอง ไม่ใช่ฝังกุญแจไว้เหมือนๆ กันหมดเช่นนี้
ระหว่างนี้สำนักงานกูเกิลได้แยกเครือข่ายสำหรับประตูออกไปเพื่อเพิ่มความปลอดภัย
ที่มา - David Tomaschik, Forbes
Comments
เป็นบ้านเรา พนักงานคงโดนไล่ออก
ไม่หรอกครับ
ไม่สนใจว่ามีช่องโหว่
ไม่หรอกครับ
ไม่สนใจว่ามีช่องโหว่
ไม่หรอกครับ
ไม่สนใจว่ามีช่องโหว่
โดนฟ้องติดคุกอีกด้วยซ้ำ
ปลอม Badge ยิงเข้า Server โดยตรงเพราะไปตื้ดบัตรไม่ทัน ตัวติดอยู่วิภาวดีครับ
ประตู office ผมใช้เครื่อง scan ลายนิ้วมือแบบโหล ๆ ที่เห็นกันทั่ว ๆ ไป ติดวันแรกผมเข้าไปดูใน website ลองโหลดโปรแกรมสำหรับ Windows ที่ใช้ดึงข้อมูลเวลาเข้าออกมาดูเห็นว่ามีปุ่มให้สั่งเปิดประตูได้ด้วยเลยดัก packet ดูปรากฎว่าเหมือนกันทุก byte ทุกครั้งด้วยเลยเขียนใหม่ด้วย Java เอาไว้ให้คนที่ใช้ Mac ใช้ด้วย บางทีไม่เข้ารหัสอะไรเลยก็สะดวกดีนะครับ 55