ระบบประตูสำนักงานกูเกิลมีช่องโหว่ ถูกแฮกโดยพนักงานเอง

2018-09-04

กูเกิลรายงานช่องโหว่ของซอฟต์แวร์และฮาร์ดแวร์แบรนด์ต่างๆ สู่โลกภายนอกเสมอๆ และในงาน DEF CON เมื่อต้นเดือนสิงหาคมที่ผ่านมา David Tomaschik วิศวกรอาวุโสฝ่ายตรวจสอบความปลอดภัยของกูเกิล รายงานถึงระบบจัดการผ่านเข้าออกสำนักงานของออฟฟิศกูเกิลเอง โดยสำนักงานของกูเกิลนั้นใช้ระบบควบคุมประตูที่ชื่อว่า iStar Ultra และ IP-ACM โดยบริษัท Software House

Software House ระบุว่าการสื่อสารของประตูเข้ารหัส AES-256 แต่เมื่อ David ดักจับข้อมูลเครือข่าย พบว่าข้อมูล 36 ไบต์แรกเหมือนเดิมเสมอ ทำให้น่าเชื่อว่านักพัฒนาใช้กระบวนการเข้ารหัสผิดพลาดบางอย่าง และเมื่อวิเคราะห์เฟิร์มแวร์ก็พบว่ามีกุญแจ AES ฝังอยู่ในโค้ดเอง ทำให้แฮกเกอร์สามารถดักข้อมูล, ถอดรหัสข้อมูล, แก้ไข, และส่งคำสั่งเปิดปิดประตูได้ตามใจชอบ

เขาระบุถึงปัญหาของการเข้ารหัสในอุปกรณ์ IoT โดยรวม ว่าการใช้กุญแจฝังในโค้ดนั้นเป็นเรื่องง่าย เพราะผู้ผลิตไม่ต้องการดูแลกระบวนการกระจายใบรับรองเข้ารหัส อย่างไรก็ดีการออกแบบกระบวนการเข้ารหัสเองนั้นอันตราย และผู้ผลิตควรหันไปใช้ TLS และสร้างระบบเซ็นใบรับรองอุปกรณ์ในแต่ละองค์กรเอง ไม่ใช่ฝังกุญแจไว้เหมือนๆ กันหมดเช่นนี้

ระหว่างนี้สำนักงานกูเกิลได้แยกเครือข่ายสำหรับประตูออกไปเพื่อเพิ่มความปลอดภัย

ที่มา – David Tomaschik, Forbes

Topics: