— Рита, к вам на стажировку прикрепляются два новых курсанта Академии. Татьяна и Поль. Судя по отзывам из Академии, они хорошо образованы и могут вполне неплохо влиться в ваш коллектив.
— Спасибо, Иоганн, я как раз хотела попросить у вас двух новых «незасвеченных» людей для проведения оперативного мероприятия.
— В чем суть операции?
— Нужно проверить систему физической безопасности в банке на
— То есть служба безопасности знать об этом ничего не будет?
— Да. Проблема в том, что именно служба безопасности участвовала в проектировании здания изначально и поэтому привлекать их на данном этапе считаю недопустимым.
— Что смущает вас в проекте?
— Блокировка дверей с помощью RFID-карты.
— Ну вот с этого и начнем, тем более Поль и Татьяна писали на эту тему курсовые проекты. Пусть и покажут, чему их научили в Академии. А для начала Татьяна идет в экономический отдел, а Поль в техподдержку банка. Дадим им пару недель.
Прошло две недели.
— Шеф, ваша идея принесла плоды. Я в очередной раз хочу отметить высокий уровень наших курсантов. Поль обнаружил уязвимости в системе офисных контроллеров для управления физической безопасностью. Он заметил, что зашифрованные сообщения, рассылаемые устройствами по внутренней сети банка, не были случайными. А при надлежащей защите зашифрованные сообщения всегда должны выглядеть как случайный набор символов.
Он также обнаружил вшитый ключ шифрования, используемый для всех устройств. Ему удалось успешно скопировать ключ и подделать команды, в том числе для разблокировки дверей. С тем же успехом он мог просто заново воспроизвести команды для разблокировки дверей, что имело бы аналогичный эффект. Он смог блокировать замки и не впускать других сотрудников офиса. Более того, все его действия не регистрировались системой.
— И как это восприняли в банке?
— Как маленькое землетрясение! Ох сколько было крику, когда глава службы безопасности смог попасть к себе в кабинет только с четвертого раза. Причем его ключ то срабатывал, то нет.
— А что компания-производитель? Меры приняты?
— Меры-то приняты, да потребителям не легче, ведь фактически нужно заново покупать новые замки, починить-то их невозможно!
— Думаю, что стоит обязать компанию заменить все замки старого образца на новые бесплатно.
— Но ведь это может привести к банкротству компании?
— А лучше, чтобы за их разгильдяйство платили добросовестные покупатели? Думаю, нет!
Не так давно в офисе Google своим же сотрудником была выявлена уязвимость в дверных замках, благодаря наличию которой он смог открывать и блокировать все двери в офисе. Так что это, увы, не сказка.
