西門子對新的SCADA系統漏洞保密到家-2012-06-15
SCADA 系統 (Supervisory Control And Data Acquisition System)——-一種對生產過程進行全面監控的電腦系統——-也是駭客可以直接影響到現實世界的途徑。這將伴隨著恐怖,這已經並不是惡意人士刪除你的資訊、偷取你的個人資料或盜用你的信用卡這種等級,而是如噴射化學物質進入大氣層或傾倒污水進入河道這種全面性的影響。而這種漏洞是一種蠕蟲病毒:一種散佈超出控制導致最後自己毀滅的形式。別去探討這將造成多大真實的威脅,因為這實在太恐怖了。
上個星期,一個研究人員在西門子尚未修改漏洞之前,被”美國國土安全部”(DHS-Department of Homeland Security)成功地堵住了嘴,使其未對外透露任何細節。
黑帽駭客大會中的網路安全系統研究員Beresford無法確認西門子的產品中,總共找到了多少個系統漏洞,但是他給了西門子4個測試模組去做測試。他相信其中至少有一個漏洞同時影響到多個SCADA系統的供應商,並且這些供應商的產品是有共通性的。Beresford不願透露更多細節,但他希望能在日後進行更深入的討論。
多數人已經習慣這資訊暴露的時代,甚至已經遺忘過去那些資訊封閉的日子。
在資訊暴露成為常規之前,若研究人員找到軟體中所存在的漏洞並回報給軟體公司,公司會仰賴保密安全性並忽視這些消息。若有人打算洩露這些漏洞的訊息,公司甚至會以法律行動來威脅這些研究人員。
若研究人員宣布漏洞存在,但不公佈細節的方式來告知使用者這些訊息。軟體公司會聲稱這些漏洞消息只是”理論”,並且否認這些漏洞的存在。 當然,他們會繼續忽視這些漏洞可能會造成的問題,偶爾以法律行動來威脅批露這些漏洞消息的研究人員。接著,當駭客發現甚至開始利用這些漏洞時,軟體公司便釋出一份修補這些漏洞的補丁並且道歉,接著解釋說:整起事件都是由惡劣、卑鄙的駭客所造成的。
這些是我於2007年所撰寫的,而這正是西門子現在所採取的方式:
Beresford表示對西門子聲稱”由於這些漏洞的產生必須處於相當特別的實驗環境,其中條件包含對協定的無限制存取,所以駭客很難利用這些SCADA系統的漏洞。”的這個說法感到失望。
事實上根本不需要”對協議無限制的存取”和”特別的實驗環境”這些條件,Beresford在Monday雜誌提到了他是如何去計劃找出西門子PLC中能讓駭客可以攻擊的漏洞,”我的個人公寓位於治安較差的小鎮,並能在夜晚中聽見槍響,這種環境很難說是一個特殊實驗環境吧。”他利用公司的資金購買了西門子的控制器,並且找出了這些漏洞,他表示這些是心懷不軌的駭客也能做到的。
這便呼應到了以下,我於2007年所發表的:很不幸地,封鎖消息聽起來像是個好主意。他們認為只要不走漏軟體有漏洞的消息,駭客就不會發現……但是,這是在假設駭客無法自己發現這些漏洞,而且軟體公司會自己耗費時間和金錢來修補這些未被揭露的漏洞的前提下,當然這些假設都是假的,駭客早就被證明是非常善於發現這些未被揭密漏洞的,而消息走漏也是供應商唯一一個會更新並修補自家系統的原因。西門子公司很積極處理封鎖消息等公關問題來降低銷售市場壓力,但是卻忽視最重要的問題根源───系統漏洞。
本文為【網路管理實驗室】協助翻譯
原文網址:http://www.schneier.com/blog/archives/2012/01/going_dark_vs_a.html
Leave a Reply