上周,一名安全研究员自愿取消了一场关于西门子工业控制系统关键漏洞的讲座,他指责这家德国巨头对这一问题的淡化
上周自愿取消了一场关于西门子工业控制系统关键漏洞的演讲的安全研究员周一指责这家德国巨头对这一问题的淡化。
NSS实验室的研究人员Dillon Beresford反对西门子的说法,称他和同事Brian Meixell发现的漏洞是“在可以无限访问协议和控制器的特殊实验室条件下工作”时发现的。
“当时没有‘可以无限使用协议的特殊实验室条件’。我的私人公寓在城市的另一边,晚上我能听到枪声,很难定义一个特殊的实验室。消息贴在公共安全邮件列表上。“我用公司慷慨地提供给我的钱购买了控制器。”
而西门子上周承诺会这样做修补漏洞贝雷斯福德认为,西门子淡化了对其工业控制系统以及数千家依赖西门子PLC(可编程逻辑控制)系统的公司的威胁。
“这非常令人沮丧……当供应商为了在公众面前保住面子而试图将关键问题的影响降到最低时,”贝雷斯福德在后续消息中说SCADASEC邮件列表.“它向那些试图做正确事情的人发出了错误的信息。”
在日本,像西门子这样的工业控制系统监控和管理着从石油钻井设备、发电厂运营到摩天大楼电梯和高速列车等一切事物。
这些被称为SCADA的系统具有“监督控制和数据采集”的功能,自从近一年前Stuxnet蠕虫病毒被发现以来,这些系统及其安全一直受到严格审查。Stuxnet,一种被一些专家称为“开创性”的蠕虫病毒,据信已经被建立破坏伊朗的核计划,特别是该国用于铀浓缩的气体离心机。
震网病毒是第一个攻击SCADA系统的蠕虫病毒。
在周一的一次采访中,NSS实验室的首席执行官、贝雷斯福德的老板里克·莫伊(Rick Moy)对他的研究人员表示支持。
莫伊在谈到西门子上周的声明时表示:“西门子选择使用模糊和具有误导性的语言。”该声明暗示,这些缺陷将很难被利用。“他们试图淡化对客户的影响。这就是我们所关心的。”
贝雷斯福德和Meixell把他们的演讲在与西门子和美国国土安全部(DHS)磋商后,他们表示担心黑客可能会利用这些信息。
但莫伊说,西门子的客户应该了解更多。
莫埃表示:“(西门子)为客户做的正确事情,是让他们知道,他们需要重新评估自己的网络架构。”“这些问题完全消除了对软件的需求,并允许攻击者直接访问plc。”
Stuxnet利用Windows的漏洞感染运行西门子SCADA软件的计算机,使攻击者能够访问该软件,进而控制PLC设备。
“这与Stuxnet所利用的漏洞完全不同,”Moy说。“这比Stuxnet还要严重。”
Moy继续说,NSS实验室不会公开PLC漏洞的技术细节,也不会公开概念验证利用代码。但该公司将绕过西门子,与SCADA运营商讨论这些已被证实是合法的缺陷。
在接下来的一两周内,NSS实验室将在邀请的基础上展示这些漏洞对SCADA操作员的影响。Moy要求关注西门子PLC设备的用户联系该公司,了解NSS实验室计划在加州卡尔斯巴德办公室举行的演示的更多细节。
与此同时,NSS实验室还将概述用户可能采取的缓解措施,以保护他们的SCADA系统免受攻击。
“老头”认为这是一条正确的道路。“拥有这些设备的公司对西门子的缓慢反应非常愤怒,”莫埃说。
与此同时,他对使用西门子PCL设备的公司几乎没有什么建议。“把你的东西都拔掉,”老头说。
“事实上,事情没那么简单,”他继续说道。“但等待西门子的解决方案并不是最好的办法。”
他拒绝透露SCADA运营商可以采取哪些步骤。
莫伊还对去年震网病毒成功的消息表示失望——伊朗官员已经承认了这一点蠕虫病毒影响了它的一级铀浓缩设施——并没有促使西门子等SCADA供应商在安全方面加大力度。
但他希望,最新的发现将促使西门子采取行动,促使SCADA运营商更加关注安全问题。
“好的一面是,这些并不是唯一的弱点。对于工控运营商来说,肯定还有更大的问题。”“这些漏洞的可见性有望给行业带来更多动力,促使其提高安全性,并解决这些问题。”
贝雷斯福德和莫伊声称,西门子正在将SCADA系统及其管理的工业系统面临的威胁最小化。对此,西门子没有回应置评请求。
Gregg Keizer为Computerworld报道微软、安全问题、苹果、网络浏览器和一般技术突发新闻。在Twitter上关注格雷格@gkeizer或订阅格雷格的RSS提要.他的电子邮件地址是gkeizer@computerworld.com.
阅读更多关于安全性的信息在计算机世界的安全主题中心。
这篇文章,“研究人员指责西门子对SCADA的威胁轻描轻写”最初是由《计算机世界》 .