的时间做一个感恩节火鸡,研究员发现有二十几漏洞软件用于工业控制系统在电厂、机场和生产设施。
所有的错误都是此前未知的安全漏洞,Aaron Portnoy联合创始人兼副总裁研究《出埃及记》智慧,周一说。Portnoy ICS-CERT计划报告的漏洞,一群在美国国土安全部(DHS),与供应商和安全专家报告安全漏洞在工业控制系统(ICS)。
在ICS的安全弱点一个著名的问题。很多在今天使用的开发技术的计算机系统被连接到互联网。此外,ICS软件通常使用内部网络不应该从外部访问。
随着时间的推移这些障碍分解为新的互联网技术引入了。有时如果妥协,这样的系统可以为黑客们提供一个进入内部网络。的超级工厂病毒恶意软件用于破坏伊朗的核设施在2010年展示了监控和数据采集系统的脆弱性,一种ICS。
Portnoy SCADA软件下载感恩节早晨从罗克韦尔自动化,施耐德电气,Indusoft RealFlex和伊顿。前7分钟内,他发现第一个利用零日漏洞。几个小时内,他发现23缺陷。其中7人可以用来运行代码从远程位置。
很多软件是大约5到10年前使用微软开发的编译器和工具之前建成安全成立作为开发过程的一部分。因此,代码很容易利用。
”我有点惊讶,考虑到临界,您可以有如果有人侵入系统控制基础设施硬件,“Portnoy说。
软件分析了Portnoy有许多功能,但一些可以用来监视和控制硬件在发电厂、水过滤系统、机场、生产设施和其他关键基础设施。Portnoy第一在他的博客上披露了漏洞。
【深度:SCADA-control安全的未来]
蜗牛的步伐,供应商已经搬到补丁SCADA软件导致一些安全专家公开披露漏洞之前通知软件开发者为了刺激更快行动。例如,安全公司数字键推出了一个叫做项目Basecamp的研究工作致力于揭露ICS的安全漏洞。
国土安全部已经青睐ICS安全立法。的2012年网络安全法案未能投票表决在参议院和8月仍然悬而未决。预计奥巴马总统发布行政命令实施该法案的条款,不需要国会的批准,如指导联邦机构与操作关键基础设施的公司分享网络威胁信息。
与此同时,一些公司已经发现SCADA漏洞到业务。例如,最近ReVuln发布了一个在线视频营销前所未知的漏洞中发现软件从通用电气(General Electric)施耐德电气,Kaskad, ABB /罗克韦尔,伊顿和西门子。ReVuln零日漏洞只披露对其客户。
ReVuln视频是什么促使Portnoy看看SCADA软件。他的发现让他考虑出售SCADA脆弱性情报服务,类似于他的公司提供企业软件。《出埃及记》漏洞细节影响供应商。
”这一点的研究结果之后,我在等待一个土耳其烹饪,我的团队将积极寻找更多的兴趣SCADA漏洞提供给我们的客户,”他说。
这个故事,“有二十几错误很容易发现在关键基础设施软件”最初发表的方案 。