Google membiarkan pemanasan, sistem pendingin terbuka untuk peretas

Peretas bisa saja memanas di salah satu kantor Google di Sydney. Secara harfiah.

Peneliti keamanan komputer dengan Cylance menemukan bahwa cabang Google di Australia menggunakan versi Niagara, sistem perangkat lunak yang digunakan untuk mengelola sistem kontrol di gedung.

Billy Rios, direktur teknis dan direktur konsultasi untuk Cylance, menulis temuan ini merupakan bagian dari penelitian yang dilakukan perusahaan ke dalam sistem kontrol industri, yang melibatkan pemindaian Internet untuk perangkat yang rentan.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Peneliti keamanan komputer dengan Cylance menemukan bahwa Cabang Google di Australia menggunakan versi Niagara yang tidak diunggah, sistem perangkat lunak yang digunakan untuk mengelola sistem kontrol di gedung.

Bangunan Google di Wharf 7-tempat yang indah di pelabuhan Sydney - menggunakan versi "agak ketinggalan zaman" dari kerangka Niagara, yang dikembangkan oleh Tridium, perusahaan milik Honeywell. Cylance menulis eksploit kustom untuk mengekstrak file konfigurasi dari Niagara, yang berisi nama pengguna dan kata sandi untuk pengguna yang berwenang.

Meskipun kata sandi dienkripsi, Cylance menggunakan alat khusus untuk mendekripsi kata sandi, membuka perangkat lunak untuk pengambilalihan.

Cylance tidak melakukan sesuatu yang berbahaya dan memberi tahu Google tentang masalah, dan perusahaan "dengan cepat menarik offline" sistem, Rios menulis. Tetapi para peneliti perusahaan mengintip sistem tersebut, yang memungkinkan mereka untuk melihat peta lantai tiga kantor mengungkapkan sistem air dan HVAC-nya.

Seorang juru bicara Google mengatakan pada hari Selasa bahwa "kami bersyukur ketika para peneliti melaporkan temuan mereka kepada kami. Kami mengambil tindakan yang tepat untuk menyelesaikan masalah ini. ”

Mungkin saja bagi para peneliti untuk" membasmi "sistem kontrol, atau mempertahankan terus, akses lengkap untuk itu. Google mengatakan akses para peneliti itu hanya akan memungkinkan mereka untuk memanipulasi pemanasan dan pendinginan bangunan.

Sistem kontrol industri, yang banyak digunakan dalam berbagai pengaturan seperti pabrik dan utilitas, telah ditemukan mengandung kerentanan berbahaya yang akan memungkinkan para peretas untuk mengendalikan sistem sensitif dari jarak jauh.

Pemerintah AS menjalankan organisasinya sendiri, Tim Pengendalian Tanggap Darurat Sistem Pengendalian Industri, yang didedikasikan untuk mempelajari masalah keamanan dengan tujuan mengamankan infrastruktur nasional yang kritis.

Rios menulis di blognya November lalu bahwa sistem kontrol industri Niagara adalah salah satu yang paling banyak digunakan di dunia. Dia menemukan kerentanan lain dalam perangkat lunak, yang dia laporkan.

Setelah respon awal yang lambat, Rios menulis bahwa Tridium dan Honeywell akhirnya memberinya akses khusus untuk meninjau patch mereka, yang memperbaiki masalah transversal direktori, masalah sesi yang lemah dan masalah yang melibatkan penyimpanan tidak aman atas kredensial pengguna.