Las oficinas de Google suelen ser muy modernas, pero están sujetas a fallos de seguridad. En julio, la compañía descubrió que su sede en California tenía una laguna que le permitía abrir puertas con cerraduras electrónicas sin usar la insignia de empleado.
Durante la conferencia de hackers de la IO Village, David Tomaschik contó cómo descubrió que las personas sin la tarjeta de seguridad RFID podían abrir las puertas de la oficina.
Todo comenzó cuando decidió probar la seguridad del sistema y enviar un código malicioso a través de la red de la empresa. Después del intento, notó que las luces de la puerta cambiaron de rojo a verde, indicando que habían sido desbloqueadas.
La diferencia estaba en dos productos fabricados por Software House, responsables de las puertas: iStar Ultra e IP-ACM. Se comunicaban con los lectores de tarjetas de identificación y utilizaban la red de Google para enviar mensajes cifrados. Sin embargo, según el análisis de Tomaschik, el contenido no era totalmente aleatorio, ya que debería ser más seguro.
Además, se utilizó la misma clave de encriptación en todos los dispositivos de la Fábrica de Software. Esto significa que sería posible que un ciberdelincuente tuviera control sobre varios puertos con el mismo código utilizado en el primer ataque.
Para empeorar las cosas, las órdenes de abrir o cerrar una puerta no dejaban rastro, es decir, los empleados podían ser bloqueados y nadie podía identificar a la persona responsable.
Tras enterarse de la violación de la seguridad, Google actuó para evitar posibles ataques. La empresa segmentó su red para ofrecer más protección y dijo que no hay pruebas de que los defectos hayan sido aprovechados por hackers maliciosos.
Software House ha adoptado el estándar de encriptación TLS en sus productos. El error, sin embargo, no podrá servir a los clientes antiguos, ya que los sistemas no tienen suficiente memoria para asegurar la instalación de un nuevo firmware.
Una salida sería realizar la reparación usted mismo, lo que podría no ocurrir. A Forbes , la compañía dijo que advirtió a los usuarios sobre el fallo de seguridad, pero no garantizó que los dispositivos pasaran por un parche.
Con información: Forbes, ZDNet.
