Текущая траектория развития технологий указывает на мир, где повседневные предметы все больше цифровизируются и подключаются к облаку, под предлогом огромного удобства. От регулирования температуры в холодильнике простым касанием до установки на телевизоре вашего любимого шоу до вашего прихода домой с помощью телефона, эта будущая перспектива притягательна.
Однако, среди всех этих удобств скрывается обратная сторона – проблемы безопасности. Есть нечто проблематичное в этом техно-савви будущем, особенно когда речь заходит о безопасности. Инженеры, разработчики и дизайнеры часто не придают безопасности приоритета с самого начала, и отсутствует ответственность. Недавний происшествие с компрометацией системы гостиничных замков компании “Сфлок”, что могло нанести ущерб трем миллионам замков гостиничных номеров, ясно демонстрирует эту проблему.
Уязвимости систем гостиничных замков
После дерзкого хака в MGM в прошлом году со стороны известной банды “Мошенник”, который потенциально принес ущерб в размере порядка 30 миллионов долларов, отельная индустрия снова столкнулась с проблемами безопасности. Недавнее вторжение в систему гостиничных замков компании “Сфлок” оставило в уязвимом положении до трех миллионов замков гостиниц, подвергая риску множество гостиничных сетей, полагающихся на эту систему. Данный сложный, но относительно простой хак включал использование RFID и механизмов шифрования с использованием запасной карты-ключа.
К счастью, этичные исследователи по безопасности обнаружили эту уязвимость. Таким образом, они выявили слабые места как в шифровании компании “Дормакаба”, так и в базовой системе RFID, которую они используют, известной как MIFARE Classic. Путем эксплуатации этих уязвимостей хакеры продемонстрировали тревожную легкость и быстроту, с которой можно обойти замки “Сфлок” с помощью карты-ключа. Их метод заключается в получении любой карты-ключа из целевого отеля — будь то через бронирование номера или получение использованной карты-ключа — затем извлечении определенного кода из этой карты с помощью устройства для считывания и записи по технологии RFID стоимостью 300 долларов. В результате они разрабатывают две новые карты собственного изготовления, которые, когда толкаются в замок, изменяют определенный элемент данных замка и позволяют второй карте его открыть.
Полный масштаб уязвимостей в ненужно подключенных к сети устройствах остается неопределенным. Более того, широкое распространение осознания того, насколько легко могут быть скомпрометированы такие системы замков, вызывает серьезные опасения. Хотя мы надеемся, что жизнь и имущество будут оставаться в безопасности, пока уязвимости замков не будут устранены, реальность в том, что решение проблем взаимосвязанных устройств потребует повышенного внимания, времени и обширной ручной интервенции. Необходимо принять оперативные меры для укрепления безопасности этих систем с целью защиты безопасности и конфиденциальности гостей. Они также служат предостережением об других, схожих существующих уязвимостях.
Ситуация с отельными картами-ключами подчеркивает значительные заботы, связанные с неумолимым дигитализацией присущим современному миру, в сочетании с избыточной зависимостью от удобства. Возрастающая зависимость от цифровых средств безопасности, отраженная в системах бесключевого доступа к автомобилям и умных замках для домов, представляет собой серьезную угрозу безопасности. Мы находимся в тревожном тренде приоритезации удобства за счет безопасности. Этот тренд усугубляется отсутствием осязаемых последствий для дизайнеров продуктов, не включающих меры безопасности, и тенденцией к изобилию, часто присущей многим крупным странам.
В эпоху, где доминировали физические ключи, существовало воспринимаемое чувство безопасности. Обычно существовала только одна доступная копия ключа, и копирование требовало физического доступа. Однако переход к цифровым ключам представляет собой новые уязвимости. Распространенность краж автомобилей, облегченная удаленным копированием системы для доступа без физического взаимодействия, подчеркивает эту уязвимость. Точно так же, распространение приложений для автомобилей, позволяющих удаленное отслеживание и управление, создает значительные риски безопасности. Возникает важный вопрос: перевешивают ли удобства, предлагаемые цифровыми системами, связанные риски? Это насущный дилемма, требующий нашего внимания, поскольку мы постоянно сталкиваемся с разделением между удобством и безопасностью.
Обнародованные открытия относительно системы замков гостиницы “Сфлок” и их уроки не должны быть недооценены; их последствия огромны, затрагивая как отдельных лиц, так и бизнес и широкую технологическую индустрию:
Экспозиция также имеет значительные последствия для производителей цифровых систем замков, ставя под сомнение надежность и безопасность их продуктов, и потенциально приводя к потере доверия клиентов, сокращению продаж и необходимости значительных усилий в области безопасности.
Для сообщества по безопасности это происшествие должно служить явным призывом, отмечающим врожденные уязвимости в цифровых системах. Такие случаи внушают здоровую долю скепсиса относительно безопасности цифровых систем, начиная от устройств для умного дома до критической инфраструктуры. Это является жестким напоминанием о том, что даже на первый взгляд незначительные удобства могут проложить путь к серьезным уязвимостям в области безопасности и хакерства.
По мере нашего движения вперед, главная цель новых технологий должна состоять в том, чтобы обеспечить, что удобство никогда не происходило за счет безопасности и конфиденциальности. Необходимо тщательно переосмыслить способы интеграции безопасности в цифровые технологии, даже если это означает отказ от цифровизации в целом. Пришло время прекратить небезопасные технологические практики и выстроить будущее, где инновации и безопасность будут синонимами. Только тогда мы сможем по-настоящему использовать потенциал цифровых прогрессов, обеспечивая целостность наших систем и конфиденциальность наших данных.