Сказки о безопасности: Расшифрованный замок

Дата: 23.03.2021. Автор: Владимир Безмалый. Категории: Блоги экспертов по информационной безопасности
Сказки о безопасности: Расшифрованный замок

— Привет, Боб! Нас попросили протестировать новые замки в офисном здании компании G. Компания известная, занимается ИТ. Устанавливает новые замки с ключ-картами RFID.

— Понятно. Мне нужно будет пару недель там поработать.

— Конечно. Об этом будут знать только руководители службы безопасности местного офиса и компании. Для всех остальных ты просто новый системный администратор.

Прошло две недели.

— Шеф, я готов к докладу.

— Что ты нашел?

— Я лучше завтра покажу непосредственно вам и руководителю СБ.

Настало утро. Боб приехал в компанию, где его уже ждал капитан полиции и руководитель СБ.

— Начинаем? Я сейчас заблокирую двери в помещение. Все двери — как наружные, так и внутренние двери кабинетов.

— И что вам для этого нужно?

— То, что у меня уже есть. Доступ в компьютерную сеть компании.

— А если серьезно?

— А если серьезно, то зашифрованные сообщения, рассылаемые замками по внутренней сети, не являются случайными. А ведь при надлежащей защите зашифрованные сообщения всегда должны выглядеть, как случайный набор символов. Проанализировав сообщения, я обнаружил вшитый ключ шифрования, используемый для всех дверных устройств. Ну а дальше мне удалось успешно скопировать ключ и подделать команды, в том числе для разблокировки дверей. С тем же успехом я мог просто заново воспроизвести команды для разблокировки дверей, что имело бы аналогичный эффект.

— Таким образом, вы также могли блокировать замки и не впускать других сотрудников офиса?

— Да, что я только что и продемонстрировал. Более того, все мои действия не регистрировались системой.

— Совсем хорошо.

— Да, пусть ваша служба проверит все логи. Уверен, никаких свидетельств эксплуатации уязвимостей обнаружено не будет.

Боб оказался прав. Компания незамедлительно предприняла меры по усилению своей безопасности, а в замках теперь используется более надежное шифрование. Тем не менее, для устранения проблемы пользователи уязвимых устройств теперь вынуждены покупать новые.

Покупая новые беспроводные «умные» устройства, заранее уточните, можно ли сменить ключ шифрования. А самое главное, не забывайте сразу же менять ключи после подключения новых устройств. Надеюсь, вы так и делаете?


Источник — Блог Владимира Безмалого «Быть, а не казаться. О безопасности и не только».

Владимир Безмалый

Об авторе Владимир Безмалый

Данный блог посвящен информационной безопасности и информационнм технологиям.
Читать все записи автора Владимир Безмалый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *