《中国经济大讲堂》未来已来 人工智能将如何改变我们的生活?20190808 | CCTV财经
一位安全研究人员已经发布了一些代码,可以用来控制用于管理工业机械的计算机,这可能会给黑客带来进入公用事业公司,水厂乃至石油和天然气精炼厂的后门。
该软件于周五晚上发布Kevin Finisterre是一位研究人员,他表示他想提高对这些系统漏洞的认识,他说的问题往往被软件供应商淡化。 Finnishre是安全测试公司Netragard的研究负责人,他说:“这些供应商对他们生产的软件不负责任。 “他们告诉他们的客户没有问题,同时这个软件正在运行关键的基础设施。”
Finisterre公布了他的攻击代码,作为Metasploit的一个软件模块,一个广泛使用的黑客工具。安全专家说,通过与Metasploit集成,Finisterre使他的代码更易于使用。 PG&E信息安全经理Seth Bromberger表示:“将漏洞与Metasploit集成在一起,可以让广泛的用户访问这些攻击。” “
该代码利用Citect的CitectSCADA软件中的一个缺陷,该缺陷最初是由Core发现的安全技术并于六月份公开。 Citect在首次披露该漏洞时发布了一个补丁,该软件供应商曾表示,这个问题仅对那些将其系统直接连接到互联网而没有防火墙保护的公司构成风险,这些事情绝不会有意地进行。受害者还必须启用CitectSCADA产品中的特定数据库功能才能使攻击发挥作用。
传统上,这些类型的工业SCADA(监控和数据采集)过程控制产品一直难以获取和分析,很难让黑客探测到安全漏洞,但近年来越来越多的SCADA系统已经建立在众所周知的Windows或Linux操作系统的基础之上,使得它们既便宜又容易入侵。
IT安全专家用于快速和经常修补系统,但工业计算机系统不像PC。由于水厂或电力系统的停机可能导致灾难,工程师可能不愿意进行软件更改,甚至不愿意将计算机脱机进行修补。
这种差异导致了像Finisterre这样的IT专业人员之间的分歧看到安全漏洞被淡化,行业工程师负责保持这些系统的运行。 “过程控制工程师和IT人员之间正在发生一场文化冲突,”负责运行SCADA安全在线讨论列表的独立研究员Bob Radvanovsky说,他在这方面看到了一些激烈的讨论。话题。
Vijeo Citect说,它没有听说过因为这个缺陷而遭到黑客攻击的客户。但该公司计划在周二发布的一份声明(pdf)中发布带有新安全功能的CitectSCADA新版本。
由于Finisterre认为还有其他类似的编码,该版本不会太早发布CitectSCADA软件中的错误
虽然SCADA系统可能与工厂内的其他计算机网络分离,但它们仍然可能被破坏。例如,在2003年初,一家承包商据称用SQL Slammer蠕虫感染了Davis-Besse核电厂。
运行这些系统的许多人认为他们不受传统的约束IT“,Finisterre说。 “他们的行业通常不太熟悉黑客和黑客。”