Google’ın Sunnyvale ofisinde, bir hacker gerekli RFID kart anahtarı olmadan kapıları hile yoluyla açmanın bir yolunu buldu. Neyse ki bu kişi teknoloji devinin kendi çalışanı David Tomaschik’ti ve bu hackleme işlemini iyi niyetlerle yapıyordu.
Tomaschik, zararlı kodları Google ağına gönderdiğinde, kapının üstündeki ışıkların kırmızıdan yeşile dönüştüğünü gördü. Kilidin açılması oldukça tatmin edici bir şeydi. Zira bu sonuç, Tomaschik’in Software House tarafından sağlanan teknolojideki zaafiyetleri bulmaya yönelik çalışmasının zirve noktasını oluşturuyordu.
Geçtiğimiz yaz, Tomaschik Software House cihazlarının (iStar Ultra ve IP-ACM olarak adlandırıldı) Google ağına gönderdiği şifrelenmiş mesajlara baktığında bunların rastgele olmadığını keşfetti; Nitekim şifrelenmiş mesajlar, düzgün bir şekilde korunmaları halinde her zaman rastgele görünmesi gerekirdi.
Bu durum, Tomaschik’te merak uyandırdı ve kodu doğrudan programın içine gömülü bir şifreleme anahtarının bütün Software House cihazları tarafından kullanıldığını keşfetti. Bu şu anlama geliyordu: “Tomaschik, bir kapının kilidini açmaya ilişkin anahtar ve forge komutlarını etkili bir şekilde çoğaltabilirdi.” Ya da aynı etkiye sahip meşru kilit açma komutlarını kolayca tekrarlayabilirdi.
Tomaschik ayrıca bütün bunları, eylemlerinin herhangi bir kaydı olmaksızın yapabileceğini de keşfetti. Üstelik meşru Google çalışanlarının kapılarını açmasını da engelleyebilirdi. Tomaschik, Forbes’a yaptığı açıklamada, “Bulgularımı bir kez elde ettiğimde bunun büyük bir üstünlük haline geldiğini anladım. Bu oldukça kötü idi,” dedi. Tomaschik’e göre, Google daha sonra ofislerindeki olası saldırıları önlemek için hızlı bir şekilde harekete geçti.
İLGİLİ HABER>> Google yasaklı olduğu Çin’de yapay zeka merkezi kuruyor
Bir Google sözcüsü, kapıların herhangi bir kötü niyetli bilgisayar korsanı tarafından istismar edildiğine dair kanıt olmadığını söyledi. Sözcü, bu arada, Google’ın hala özelliklerinde bulunan savunmasız sistemlere yönelik koruma sağlamak amacıyla ağını bölümlere ayırdığını da sözlerine ekledi.
Ancak problemler, Software House’ın savunmasız teknolojilerini kullanan başka müşteriler için de geçerli. Tomaschik, Software House’un sorunun halledilmesine yönelik çözümler bulduğunu ancak TLS’ye geçmek için müşteri tarafında bir donanım değişikliği gerektiğini düşünüyor. Tomaschik, Software House sistemlerinin yeni ürün yazılımı kurulumuyla başa çıkmak için yeterli belleğe sahip olmadığını ileri sürdü.
Software House sahibi Johnson Controls adına konuşan bir sözcü ise, “Bu sorun müşterilerimize iletildi,” demekle yetindi. Fiziksel cihazların yenileriyle değiştirilmesi gerektiğine dair bir soruya ise cevap vermediler.
Siber Bülten abone listesine kaydolmak için formu doldurunuz