Ошибка в криптографии угрожает миллионам устройств smart grid
14 мая 2015
На днях стало известно, что модуль криптографии, используемый в протоколе OSGP, с помощью которого реализовано «общение» большинства умных электросчетчиков и прочих устройств по типу smart grid, может быть легко взломан.
С 2012 года, когда был принят стандарт OSGP, было выпущено порядка 4 миллионов устройств smart grid.
Об этом говорят специалисты по информационной безопасности Филипп Йованович и Самуель Ньювес. Которые недавно опубликовали своё исследование, где подробно изложили несколько различных криптографических атак против системы OMA, используемой для установки зашифрованных соединений в протоколе OSGP.
«Мы нашли крайне опасную уязвимость, которая приводит к тому, что множество применяющихся сегодня устройств могут быть легко взломаны», - подытожили своё исследование специалисты. - «При этом данная уязвимость может сказаться не только на возможности нелегального подключения к устройствам smart grid. Но и на перехвате данных с последующей расшифровкой».
Как утверждают некоторые эксперты, данная уязвимость в очередной раз доказывает, что разработчикам стоит использовать отработанные и проверенные временем решения, когда дело доходит до криптографической защиты. Поскольку разработка собственной подсистемы в данном случае может оказаться слишком сложной. Из-за чего в финальном продукте могут быть скрыты вот такие вот опасные уязвимости.
Протокол OSGP был признан стандартом индустрии в 2012 году европейским институтом ETSI. С тех пор на международный рынок поступило более четырех миллионов устройств smart grid.
Кстати, специалисты, обнаружившие дефект, ещё в прошлом году уведомили организацию OSGP Alliance, курирующую разработку протокола OSGP. Организация OSGP Alliance никак не прокомментировала информацию о найденной уязвимости. Однако в прошлом месяце OSGP Alliance опубликовала заявление, в котором было сказано, что планируется обновление протокола OSGP, чтобы обеспечить более высокий уровень безопасности. При этом, насколько известно на текущий момент, изначальная архитектура системы безопасности всё же будет сохранена. А перехода на какие-то другие сторонние модули для криптографии не ожидается. Организация-куратор также обратила внимание на то, что до сих пор не установлен ни один факт взлома устройств типа smart grid.
Всего за несколько часов до провокационного съезда карикатуристов в Техасе следователи ФБР предупредили местных силовиков о том, что один из подозреваемых в экстремизме, возможно, захочет сорвать съезд. Однако директор ФБР в своей недавней речи подчеркнул - следователи всё же не считали настоящий теракт вероятным.
Специалисты Гарварда начали применять методики для извлечения данных с устаревших носителей, схожие с теми, которые используются криминалистами в полиции и ФБР. Всё ради того, чтобы ценная информация, которая на данный момент хранится на, к примеру, магнитных дискетах, не была утеряна. А пересохранена в современных базах данных.
В Китае обсуждается новый законопроект о государственной безопасности. В который теперь включено понятие и кибер-суверенитета. Эксперты утверждают, что новый закон будет использоваться для того, чтобы помочь Китаю «защищать» свои интересы в киберпространстве.
Стало известно, что военно-морской флот США ищет нового поставщика серверного оборудования по соображениям безопасности. Дело в том, что недавно компания Lenovo поглотила одно из серверных подразделений IBM. Которое выпускало серверы, в том числе и для американских ракетных крейсеров и эсминцев.
На днях стало известно о первом успешном взломе программно-аппаратной защиты популярной игровой приставки Sony PlayStation 4. Которая широко распространена по всему миру и используется не только для игр. Но и для общения с другими людьми через Интернет и просмотра сайтов.
Фишинг-атаки типа «копьё» или целенаправленный фишинг представляют собой одну из наиболее опасных и, если так можно выразиться, вероломных атак, набирающую популярность среди современных хакеров.