Комментарии 6
KNX — не компания, а стандарт связи, поддерживаемый устройствами многих разных компаний. Устройства под KNX делают ABB, Siemens, Gira, Busch-Jäger и др.
Вообще, использовать такую стратегию сброса пароля, что даже сам вендор не может ресетнуть без дампа памяти - бред. Сделали бы как Hikvision - хочешь ресетнуть пасс - отправляешь вендору серийник девайса + верменный ИД из девайса, полученный из safe-мода.
И что происходит дальше? Производитель высылает пароль которым можно разблокировать устройство без потери конфига/данных? Ну это тоже такое себе в плане безопасности.
Обычно на подобных девайсах есть аппаратная кнопка позволяющая сбросить пароль вместе с конфигом/данными. Да, тоже не приятно, но хотя бы без демонтажа устройства и отправки его производителю на замену (это конечно бред полный). Некоторые устройства ещё и имеют настройку позволяющую отключить такую возможность если владелец вдруг решил, что оно ему не надо.
Обычно на подобных девайсах есть аппаратная кнопка позволяющая сбросить пароль вместе с конфигом/данными. Да, тоже не приятно, но хотя бы без демонтажа устройства и отправки его производителю на замену (это конечно бред полный). Некоторые устройства ещё и имеют настройку позволяющую отключить такую возможность если владелец вдруг решил, что оно ему не надо.
Во-вторых, проблемы бы не было, если бы владельцы системы «умного дома» воспользовались фичей для защиты контроллеров и установили пароль самостоятельно. Будучи незадействованной, эта функция принесла больше проблем, чем пользы.
Это на самом деле весьма спорное утверждение. Потому что подавляющее большинство обычных людей к паролям относятся примерно так:
1. Ой, здесь надо поставить какой-то пароль
2. Поставлю «123456»
3. Система — не даёт поставить простой пароль
4. Пользователь — ставит какой-то более сложный пароль
5. Проходит 30 минут
6. Пароль успешно забыт (ведь его же всегда можно восстановить через e-mail/телефон, не так ли? сервисы всех приучили к этому)
Я хочу сказать, что если в обслуживающей организации бардак (а чаще всего так и есть), то забыть (здесь подошло бы более жёсткое слово) пароль шансов на порядки больше чем подвергнуться атаке хакеров. А если систему ставил подрядчик без дальнейшего принятия на обслуживание, то они тоже не будут ставить пароль. Потому они его передадут заказчику, а он см. выше. А при таком подходе вендора, когда забытый пароль просто окирпичивает устройство без возможности даже сброса к заводским настройкам, делает ситуацию вдвойне пикантной.
Не ставить пароль это не правильно сточки зрения инфобеза. Но в жизни это именно так и происходит.
Жертвам атаки относительно повезло: на всех устройствах злоумышленники установили одинаковый пароль.
Какой? Нигде найти не могу, дезинформация?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Security Week 52: цифровой вандализм в промышленных системах