許多工業控制(zhì)系統缺乏安全協(xié)議 閥門關鍵部件(jiàn)首當其沖
近日,佐(zuo)治亞理工的網絡(luo)安全研究人員開(kāi)發了一種針對能(néng)夠模拟接管控制(zhì)水處理廠的勒索(suǒ)軟件。該軟件在⭕獲(huo)取訪問權限🍓後,能(néng)夠命令可編程邏(luó)輯控制器 (PLC) 關閉閥(fa)門,添加水、 氯含量(liang)等操作,能夠顯示(shì)錯誤的讀數。
這次(ci)模拟攻擊是為了(le)顯示目前關鍵基(ji)礎設施信息安全(quán)的脆弱性,據說是(shi)首次針對PLC的勒索(suo)攻擊。
Raheem Beyah副教授和David Formby博(bó)士稱:許多工業控(kong)制系統缺乏安全(quán)協🌈議😍。但由于到🔆目(mu)前為止這些系統(tong)還沒有遭受勒索(suǒ)攻擊,因此脆弱性(xìng)還難以得到人們(men)重視。而工業控制(zhì)系統中的PLC很有可(ke)能是攻擊者的下(xià)一步行動目标。
Formby 和(he) Beyah使用搜索程序找(zhao)到了1400個可以通過(guo)internet 直接訪問的PLC。大多(duō)數類似設備位于(yú)具有某種保護程(cheng)度的業務系統之(zhī)後,一旦攻擊者進(jìn)入業務系統,則可(kě)以完全獲得控制(zhi)系統的控制權限(xiàn)。
他們稱,許多控制(zhi)系統具有較弱的(de)訪問控制策略,能(neng)夠讓♋入侵者輕易(yì)的控制泵、 閥等工(gōng)業控制系統🤩關鍵(jian)部件。
他們的模拟(nǐ)攻擊針對三個不(bú)同的設備,并測試(shì)了🏒他們的安全設(she)置,包括密碼保護(hu)和設置的更改的(de)易感性。他們模拟(nǐ)了進入系統,并向(xiang)水傾倒大量的氯(lǜ)!
Beyah 稱:我們希望做的(de)是引起人們對這(zhe)一問題的重視。如(ru)果我們能💁成功地(di)攻擊這些控制系(xì)統,惡意攻擊者也(yě)可以做到。