Дверной ключ как анахронизм
27 апреля 2016
Может быть, тебе дать еще ключ от квартиры, где деньги лежат?
Илья Ильф, Евгений Петров, «Двенадцать стульев»
Анахронизм применительно к заголовку данного выпуска — отнесение событий, реалий или явлений одной эпохи к другой.
Во времена не столь отдаленные некоторые дверные замки воры открывали ногтем.
Пришли другие времена, а с ними — и другие возможности.
Умный дом, скорее всего, будет открывать дверь своему хозяину самостоятельно. Номера гостиниц уже сегодня отпираются с помощью карт. Удобно!
В системах контроля и управления доступом, выпускаемых компанией HID, обнаружена опасная уязвимость. Используя ее, злоумышленник может дистанционно отключить сигнализацию и открывать или закрывать электронные замки. Проблема связана с мигающими светодиодами. Команда, активирующая мигание, имеет параметр — число, которое сообщает, сколько раз должен мигнуть светодиод. Получив параметр, прошивка устройства вставляет его в командную строку Linux, а затем исполняет результат при помощи функции system.
Разработчики не предусмотрели проверку, фильтрующую параметры, которые не являются числами, и доверчиво отправляют system всё подряд. Злоумышленник может прибавить к параметру другие команды Linux, и все они будут исполнены c администраторскими правами.
https://xakep.ru/2016/04/01/hid/
Злоумышленник проник в номер отеля посредством специального устройства, которое использует уязвимость в электронных замках, разработанных компанией Onity. По подозрению во взломе был арестован 27-летний Мэтью Аллен Кук, который и ранее привлекался за кражу со взломом и воровство. Молодого человека удалось вычислить после того, как он сдал украденный из отеля ноутбук в ломбард.
Как вы думаете, откуда вор узнал об уязвимости? Проводил долгие исследования ПО дверных систем отелей? На самом деле все гораздо проще!
Изначально уязвимость в этих замках была представлена на конференции Black Hat Security, где Коди Бросиус (Cody Brocious) продемонстрировал, как при помощи определенного устройства стоимостью менее $50 можно открыть любую дверь компании Onity, которая, по данным Forbes, используется в 4 миллионах гостиничных номеров по всему миру.
Уязвимость содержится в механизме взаимодействия между самим замком и портативным устройством, который персонал отеля использует для открывания и запирания номеров, не имея пластикового ключа-карты. Каждый замок имеет собственный зашифрованный ключ, который необходим для того, чтобы запустился механизм отпирания. Этот ключ в незащищенном виде хранится в памяти замка, доступ к которому хакер получает, подключив портативное устройство к разъему. Устройство забирает ключ из памяти и тут же «предъявляет» его этому же электронному замку, чтобы он открылся.
http://ria.ru/technology/20120724/708218202.html#ixzz452agSpXI
Антивирусная правДА! рекомендует
Времена меняются и, увы, возможности злоумышленников расширяются. Но доверять дверному замку мы уже не сможем никогда. А с какого устройства управляются системы умного дома, отпирающие дверные замки? Правильно: с мобильного телефона. А уж о многочисленных способах заразить гаджеты все мы хорошо наслышаны.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
Sergey
06:48:42 2020-03-17
Rider
18:10:32 2018-11-19
Денисенко Павел Андреевич
17:39:04 2018-07-26
ka_s
21:59:07 2018-07-13
vasvet
17:37:52 2018-04-05
alex-diesel
12:09:11 2018-03-03
Natalya_2017
16:31:15 2017-04-08
Шалтай Александр Болтай
17:43:28 2017-04-05
dima.selin
17:12:22 2017-03-01
tvmvt
00:50:55 2016-12-22
kama35
13:41:47 2016-08-30
DarkFolko
10:21:04 2016-08-21
AsOl
12:01:15 2016-05-19
AntonIT
13:25:56 2016-05-07
Важно определится на какой ты стороне, и лучше бы эта сторона была светлой!
1milS
20:15:10 2016-05-06
Gimme_moaR
01:07:22 2016-05-04
Zemlyanin
16:41:45 2016-05-03
Fix
09:13:23 2016-04-29
alexko
02:05:39 2016-04-28
razgen
22:58:46 2016-04-27
dyadya_Sasha
22:50:29 2016-04-27
И вот здесь опять всплывает спор о хакерах преступниках или хакерах эволюционистах компьютерной безопасности. А в таком тестировании и антивирусные компании могли бы поучаствовать со своим то опытом и знаниями способов взломов.
kva-kva
22:31:09 2016-04-27
mk.insta
22:24:27 2016-04-27
Marsn77
21:46:59 2016-04-27
zzz7777
21:30:44 2016-04-27
Lia00
21:09:55 2016-04-27
vaki
21:01:11 2016-04-27
samox
20:50:13 2016-04-27
Damir
20:27:40 2016-04-27
ada
20:13:07 2016-04-27
A1037
20:13:00 2016-04-27
Иваныч
19:13:34 2016-04-27
DrKV
18:59:29 2016-04-27
Не спорьте вы по поводу замков. :-)
Сергей
18:12:24 2016-04-27
anto-s
18:03:51 2016-04-27
Владимир
17:52:38 2016-04-27
Людмила
17:49:52 2016-04-27
для тех, кому в будущем пользоваться умными домами или элементами систем умных домов. Помню как в 1996 году я с восхищением смотрела в Будапеште как мобильным пользуется почти каждый. У нас тогда это была экзотика. Прошло всего пару лет и все изменилось до неузнаваемости.
Вячeслaв
17:36:43 2016-04-27
В возможности вирусов я верю, а вот в неуязвимость систем - увы нет
uropb
17:30:53 2016-04-27
Вячeслaв
17:18:31 2016-04-27
@maxtat, и если переводить в область ИБ - совершенно не смешно. Пока все меры не выполнишь - дверь будет открыта
alexko
17:18:17 2016-04-27
Вячeслaв
17:16:10 2016-04-27
Влад
16:40:25 2016-04-27
Неуёмный Обыватель
16:32:30 2016-04-27
uropb
16:16:07 2016-04-27
http://russian.rt.com/article/159768
Dvakota
16:05:16 2016-04-27
Геральт
14:08:02 2016-04-27
solec
14:02:53 2016-04-27
Александр Ш.
12:59:18 2016-04-27
Если разработчику стало известно об ошибке или уязвимости в созданной или используемой им технологии, получившей массовое распространение – игнорировать это нельзя ни в коем случае.
Если разработчик добросовестный – он должен обязательно исправить ошибку или устранить уязвимость, дабы не компрометировать себя, не ставить под сомнение качество результатов своего труда и защиту от возможных злоупотреблений его пользователей.
P.S. Есть надежда, что сотрудники компании "Доктор Веб" это понимают и следуют этим принципам в своей работе.
Неуёмный Обыватель
12:36:53 2016-04-27
Ну и вдобавок. Самолично видел разъезжающие по городу автомобили с рекламой деятельности их владельцев, в которой сообщалось примерно следующее: "Вы потеряли электронный ключ? Не беда! Моментальное вскрытие любых электронных замков квартиры или автомобиля. Звоните:....."