工業(yè)控制系統(tǒng)缺乏安全 閥門關(guān)鍵部件首當其沖

【中國儀表網(wǎng) 儀表產(chǎn)業(yè)】近日，佐治亞理工的網(wǎng)絡(luò)安全研究人員開發(fā)了一種針對能夠模擬接管控制水處理廠的勒索軟件。該軟件在獲取訪問權(quán)限后，能夠命令可編程邏輯控制器 (PLC) 關(guān)閉閥門，添加水、 氯含量等操作，能夠顯示錯誤的讀數(shù)。
　　
　　這次模擬攻擊是為了顯示目前關(guān)鍵基礎(chǔ)設(shè)施信息安全的脆弱性，據(jù)說是首次針對PLC的勒索攻擊。
　　　　
　　Raheem Beyah副教授和David Formby博士稱：許多工業(yè)控制系統(tǒng)缺乏安全協(xié)議。但由于到目前為止這些系統(tǒng)還沒有遭受勒索攻擊，因此脆弱性還難以得到人們重視。而工業(yè)控制系統(tǒng)中的PLC很有可能是攻擊者的下一步行動目標。
　　
　　Formby 和 Beyah使用搜索程序找到了1400個可以通過internet 直接訪問的PLC。大多數(shù)類似設(shè)備位于具有某種保護程度的業(yè)務系統(tǒng)之后，一旦攻擊者進入業(yè)務系統(tǒng)，則可以完全獲得控制系統(tǒng)的控制權(quán)限。
　　
　　他們稱，許多控制系統(tǒng)具有較弱的訪問控制策略，能夠讓入侵者輕易的控制泵、 閥等工業(yè)控制系統(tǒng)關(guān)鍵部件。
　　
　　他們的模擬攻擊針對三個不同的設(shè)備，并測試了他們的安全設(shè)置，包括密碼保護和設(shè)置的更改的易感性。他們模擬了進入系統(tǒng)，并向水傾倒大量的氯！
　　
　　Beyah 稱：我們希望做的是引起人們對這一問題的重視。如果我們能成功地攻擊這些控制系統(tǒng)，惡意攻擊者也可以做到。
　　
　?。ㄔ瓨祟}：佐治亞理工安全研究人員首次公布對PLC的模擬勒索攻擊）