Onderzoekers hebben het industriële controlesysteem van Google's hoofdkwartier in Australië weten te hacken omdat de zoekgigant een beveiligingsupdate niet had geïnstalleerd. Het gebouw werd beheerd via het Tridium Niagara AX platform, waar in het verleden regelmatig kwetsbaarheden in zijn ontdekt. Het systeem wat Google gebruikte miste een update die de ontwikkelaar had uitgegeven.

Daardoor konden twee onderzoekers het beheerderswachtwoord ('anyonesguess') achterhalen en toegang tot de controlepanelen krijgen. Op de panelen waren knoppen weergegevens met teksten als 'actieve alarmen', 'alarm console', 'LAN Diagram, 'planning' en een knop genaamd 'BMS key' wat staat voor Building Management System key. Ook was er een knop genaamd 'AfterHours Button'.

Blauwdruk
In plaats van de knoppen te activeren of het systeem te verstoren besloten de onderzoekers Google te waarschuwen. Wel kregen Billy Rios en zijn collega Terry McCorkle toegang tot blauwdrukken van verdiepingen en daken, alsmede een overzicht van de waterleidingen door het gebouw en de watertemperatuur in de leidingen en de locatie van een lek.

Via de kwetsbaarheid was het mogelijk geweest om een rootkit te installeren, laat McCorkle tegenover Wired weten. "We hadden het besturingssysteem kunnen overnemen en andere controlesystemen op hetzelfde netwerk kunnen benaderen. We hebben dat niet gedaan omdat dat niet de bedoeling was." De onderzoeker merkt op dat een aanvaller dit waarschijnlijk wel zou doen.

Impact
Een woordvoerder van Google heeft het lek bevestigd en stelt dat het controlesysteem inmiddels niet meer op het internet is aangesloten. Ondanks de gevonden knoppen zou het systeem alleen de verwarming en airconditioning in het gebouw besturen.

Het zou niet mogelijk zijn geweest om er de elektriciteit, liften of toegangsdeuren mee te besturen. Daarnaast zou het systeem niet op een netwerk zijn aangesloten dat met andere systemen of het bedrijfsnetwerk werd gedeeld.

Patches
Het controlesysteem is volgens de onderzoekers waarschijnlijk door een derde partij geïnstalleerd, een probleem waar veel bedrijven mee te maken hebben. Deze eindgebruikers weten niet dat hun systemen op het internet zijn aangesloten en vaak onveilige versies draaien.

De integrators installeren meestal geen patches, ook al zijn ze wel beschikbaar. Een grote leverancier van controlesystemen liet de onderzoekers weten dat minder dan een tiende van één procent van de klanten patches downloadt als die beschikbaar zijn.