חוקרים מוצאים מאות מערכות בקרת מבנים לא מאובטח

פולשים נהגו לזחול פנימה דרך צינורות אוורור. עכשיו הם פורצים באמצעות התוכנה ששולטת על אוורור.

מאות ארגונים ברחבי אוסטרליה משתמשים במערכות בקרה תעשייתיות לא מעודכנות (ICS) כדי לשלוט על האורות, החימום והקירור, בקרות הגישה ואפילו המעליות.

שימוש באינטרנט כדי לנהל בניינים הוא נוח, אך הוא עשוי להגיע במחיר גבוה, המציג הזדמנויות חדשות עבור האקרים.

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

"לחברות אין מושג זה אפילו נגיש לאינטרנט ", אמר בילי ריוס, מנהל טכני ומייעץ בחברת Cylance, חברת אבטחה ברסטון, וירג'יניה.

ריוס ועוד מנהל טכני של סיילנס, טרי ס 'מק'רקל ג'וניור, גילו בתחילת השבוע כי משרדיה של גוגל בסידני השתמשו בפלטפורמת NiagaraAX של Tridium עם פגיעות אבטחה שיכולה לאפשר להם לארכב את החימום.

יותר מ -230,000 מקרים של פלטפורמת NiagaraAX, שבוצעו על ידי חברת טרידיום של Honeywell, הממוקמת בריצ'מונד, V irginia, פועל ברחבי העולם.

מסגרת מבוססת Java משמשת כבסיס ליישומים השולטים באבטחה ובמערכות חשמל אוטומטיות, תאורה ותקשורת.

Cylance מצאה את המערכת הפגיעה של גוגל באמצעות Shodan, מנוע חיפוש שנועד למצוא כל המכשיר מחובר לאינטרנט, החל מקררים למצלמות טלוויזיה במעגל סגור ועד לאייפונים ולטורבינות רוח.

חיפוש בשודאן מראה כי לאוסטרליה יש את המספר השלישי במספר הגבוה ביותר של מערכות ניאגרה-אקספלוקס הפועלות מול האינטרנט, ממש מאחורי ארה"ב וקנדה, עם 658 מערכות ביום חמישי בבוקר. יותר מ -100 מהם נמצאים בסידני.

במחקר שלהם, אמר McCorkle בדרך כלל שלושה רבעים של מערכות NiagaraAX להפעיל תוכנות מיושנות. אלה גירסאות חדשות יותר עדיין יש פגיעויות. Cylance מצא בעיות ב NiagaraAX כי במקרה הגרוע יאפשר להם לעקוף את התוכנה שולטת על מערכות חומרה.

לדוגמה, גם אם מערכת חימום מתוכנת להגביל את טמפרטורת החדר, אמר ריוס אחת הפגיעויות שהם מצאו ב NiagaraAX תאפשר כדי לעקוף אותו. במקרה של גוגל, "טרידיום הוציאה תיקון אבטחה שימנע את החדירה - אבל התיקון לא הוחל על מערכת NiagaraAX בשימוש באתר", כתבה ג'ני גרייבס, סגן טרידיום נשיא תקשורת שיווקית, בדואר אלקטרוני.

פלטפורמת NiagaraAX מותקנת ומתוחזקת בדרך כלל על ידי חברות אחרות הנקראות אינטגרטורים של מערכות.

"נראה שהאינטגרטורים לא מתקנים את המכשירים האלה", אמר ריוס. "הבעיה היא שהטלאי לא מוחל על המכשיר באינטרנט, וזו האחריות של האינטגרטור".

גרייבס אמר כי טרידיום ממשיכה "לעבוד עם אינטגרטורים ומערכות של המערכת שלנו כדי לטפל בבעיה באמצעות סמינרים, פורומים ו הדרכה מקוונת על שיטות עבודה מומלצות בתחום האבטחה. "

עם מערכת של גוגל, זה גם הופיע אינטגרטור, חברה בשם Controlworks, שימוש חוזר אישורי כניסה וסיסמה עבור לוח הבקרה מבוסס אינטרנט. "זה מאוד מדגיש את שיטות האבטחה המסכנות בשימוש על ידי אינטגרטורים בכל רחבי העולם", אמר ריוס. "

Controlworks, המתמחה בבניית מערכות אוטומציה וניהול אנרגיה, מעדכן את מערכות הלקוחות עם תיקונים במהלך תחזוקה, אמר שרין גרגורי, סמנכ"ל הכספים של החברה. יש ארגונים שמנהלים את המערכות שלהם.

החברה מעודדת את לקוחותיה להשתמש בסיסמאות חזקות, אמר גרגורי. עם גוגל, "אנחנו בהחלט בודקים מה יכול לקרות, ואנחנו גם מחזקים את המדיניות הנוכחית שלנו", היא אומרת.

מערכת NiagaraAX של Google היתה מחוברת באמצעות קו מנוי דיגיטלי שהחברה לא היתה מודעת לו, אמר ריוס. מערכות ICS רבות המותקנות על-ידי אינטגרטורים של המערכת אינן משולבות ישירות ברשתות של חברה, דבר שעלול לאפשר להן להימלט מסריקות אבטחה רגילות.התקני חומרה הפועלים ב- NiagaraAX עשויים לכלול גם שתי יציאות רשת - אחת המחוברת לקו ה- DSL המנוהל על-ידי אינטגרציית המערכות, והנמל האחר המחובר לרשת הפנימית של החברה, אמר מק'ורקל.

המפגש של שני החיבורים הוא זהב עבור האקר. "זה אחד מהדרכים הקלאסיות שמכשירים אלה מקשרים לרשת הארגונית", אמר ריוס. התוקפים מוצאים את ה- ICS באינטרנט, מתפשרים עליו ואז משתמשים בו "ככרטיס לילי כדי לעלות על הרשת הארגונית", הוא אומר.