Ang Google ay nag-iwan ng heating, cooling system bukas sa mga hacker

Maaaring magkaroon ng mga Hacker ang init sa isa sa mga tanggapan ng Google sa Sydney. Ang mga mananaliksik sa seguridad ng computer na may Cylance ay natagpuan na ang sangay ng Google Australia ay gumagamit ng isang unpatched na bersyon ng Niagara, isang sistema ng software na ginagamit para sa pamamahala ng mga sistema ng kontrol sa mga gusali.

Billy Rios, teknikal na direktor at direktor ng pagkonsulta para sa Cylance, ang paghahanap ay bahagi ng pananaliksik na ginagawa ng kumpanya sa mga sistema ng pang-industriya na kontrol, na kinasasangkutan ng pag-scan sa Internet para sa mga mahihinang aparato.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Nakilala ng mga mananaliksik sa seguridad ng computer na may Cylance na Ang sangay ng Google sa Australia ay gumagamit ng isang unpatched na bersyon ng Niagara, isang sistema ng software na ginagamit para sa pamamahala ng mga sistema ng kontrol sa mga gusali.

Ang gusali ng Google sa Wharf 7-isang magandang lugar sa harbor ng Sydney-gumamit ng "bahagyang lipas na panahon" na bersyon ng balangkas ng Niagara, na kung saan ay binuo ng Tridium, isang kumpanya na pag-aari ng Honeywell. Sinulat ni Cylance ang isang pasadyang pagsasamantala upang kunin ang isang configuration file mula sa Niagara, na naglalaman ng mga pangalan ng user at mga password para sa mga awtorisadong gumagamit.

Kahit na ang mga password ay naka-encrypt, Cylance ginamit pasadyang mga tool upang i-decrypt ang mga password, binubuksan ang software para sa pagkuha.

Cylance ay hindi gumawa ng anumang bagay na may masamang hangarin at maabisuhan sa Google ng mga problema, at ang kumpanya ay "mabilis na nakuha offline" ang sistema, sumulat si Rios. Ngunit ang mga mananaliksik ng kumpanya ay tumagal ng isang silip sa sistema, na pinapayagan ang mga ito upang makita ang isang ikatlong-palapag mapa ng opisina na nagsisiwalat nito tubig at HVAC system.

Isang Google spokeswoman sinabi sa Martes na "kami ay nagpapasalamat kapag ang mga mananaliksik ulat ang kanilang mga natuklasan sa amin. Nagkuha kami ng angkop na pagkilos upang malutas ang isyung ito. "

Posible para sa mga mananaliksik na" root "ang sistema ng kontrol, o mapanatili ang paulit-ulit, kumpletong pag-access dito. Sinabi ng Google na ang pag-access ay pinahihintulutan lamang ng mga mananaliksik na manipulahin ang pag-init at paglamig ng gusali.

Mga sistema ng kontrol sa industriya, na malawakang ginagamit sa iba't ibang mga setting tulad ng mga pabrika at kagamitan, ay natagpuan na naglalaman ng mga mapanganib na kahinaan na ay nagpapahintulot sa mga hacker na malayuang kontrolin ang mga sensitibong sistema.

Ang pamahalaan ng US ay nagpapatakbo ng sarili nitong organisasyon, ang Sistema ng Sistema ng Pagkontrol ng Cyber ​​Emergency Cyber ​​Emergency, na nakatuon sa pag-aaral ng mga isyu sa seguridad na may layuning makuha ang mga kritikal na pambansang imprastraktura. sa kanyang blog noong Nobyembre na ang sistema ng kontrol sa industriya ng Niagara ay isa sa pinakatanyag na ginagamit sa buong mundo. Natagpuan niya ang iba pang mga kahinaan sa software, na iniulat niya.

Pagkatapos ng isang paunang mabagal na tugon, isinulat ni Rios na ang Tridium at Honeywell ay nagbigay sa kanya ng espesyal na pag-access upang suriin ang kanilang mga patches, na naayos ang isang direktoryo ng transversal na isyu, isang mahinang problema sa session at isang isyu tungkol sa hindi secure na imbakan ng mga kredensyal ng mga gumagamit.