Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Groźne dziury w oprogramowaniu przemysłowym

Rekomendowane odpowiedzi

Eksperci z firmy Rapid 7 alarmują, że znaleźli trzy krytyczne dziury w programach kontroli przemysłowej, z których na całym świecie korzysta ponad 7600 elektrowni, fabryk chemicznych i petrochemicznych. Dziury znaleziono m.in. w popularnym Centum CS 3000 R3 firmy Yokogawa Electric Corporation. Jeśli popatrzysz na klientów Yokogawy, to znajdziesz tam kilkanaście firm o globalnym zasięgu, które prowadzą operacje w wielu krajach, w tym w Wielkiej Brytanii. Dziury pozwalają na przeprowadzenie różnego typu ataków – od prostego wycieku danych w postaci zrzutu ekranowego aktualnego procesu inżynieryjnego po przejęcie kontroli nad komponentem HIS (Human Interface Station) - mówi Tod Beardsley z Rapid 7. W przypadku oprogramowania Yokogawy HIS to serwer pracujący pod kontrolą Windows. Jeśli jest on podłączony do internetu, to udany atak pozwala napastnikowi przejęcie kontroli nad zakładem produkcyjnym.

Informacje takie są o tyle niepokojące, że przed paru laty mieliśmy do czynienia z robakiem Stuxnet, który zaatakował irańską infrastrukturę służącą do wzbogacania uranu. Wiadomo zatem, że możliwy jest zdalne sabotowanie oprogramowania do zarządzania procesami przemysłowymi. Stuxnet to bardzo skomplikowane narzędzie, którego stworzenie wymaga posiadania olbrzymich zasobów i umiejętności, a jego autorami są prawdopodobnie służby USA i Izraela. To oznacza, że przynajmniej niektóre państwa posiadają możliwości sabotowania gospodarki swoich wrogów.

Firma Yokogawa została poinformowana o problemie i rozpoczęła dostarczanie łatek swoim klientom.

W styczniu ubiegłego roku znaleziono dziury w oprogramowaniu Ecava IntegraXor, wykorzystywanym przez przemysł w 38 krajach, w tym w Polsce.



« powrót do artykułu

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
W przypadku oprogramowania Yokogawy HIS to serwer pracujący pod kontrolą Windows. Jeśli jest on podłączony do internetu, to udany atak pozwala napastnikowi przejęcie kontroli nad zakładem produkcyjnym.

 

No.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Akurat w takich celowanych atakach OS nie ma znaczenia. Tego typu cele atakuje się z uwzględnieniem oprogramowania zainstalowanego na maszynach. Jeśli jest oprogramowanie przemysłowe działające pod Linuksem/Uniksem i zawiera błędy, to do OS-a też można się dostać.

To nie są masowe ataki na setki tysięcy userów.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Mariusz, pierwszy hckman z brzegu (za wujkiem okularnikiem):

http://www....(jednak politycznie nie podam) :)

I cóż my tam mamy o linux'ie? Triki w powłoce bash? Mój syn pewnie będzie się tarzał po dywanie, jak mu to pokażę. :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

To, że nie znasz/nie potrafisz znaleźć żadnych tutoriali, baz exploitów czy aukcji 0day, to nawet lepiej. ;-) A jednak miałem rację "Windows be, Linux rulez!".

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Nie potrafię, Wilk, nie potrafię. ;) Tego się trzymajmy. ;)

Serio, to żadne tam wojenki, zwyczajnie nie mogę się czasem powstrzymać. :)

A bardziej serio, to sądzę, że o jakości systemu świadczy zadowolenie jego użytkowników.

Większość łatwo zadowolić. :D

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jako zwolennik windowsa mogę powiedzieć, że nie ma OS-ów uniwersalnych. Są rzeczy, których nawet nie próbuję instalować na windowsie, bo czytając opis jak to zrobić zaczynam się załamywać... a w linuxie jest to kwestia 2-3 komend.

 

Ogólnie... jeśli potrzebny jest UI, z którym byle debil sobie poradzi to piszemy na windowsa (bo ów debil może mieć problemy z włączeniem apki w linuxie... nawet jak ma windowso-podobny UI). Jak piszemy coś co ma działać tylko z konsoli to raczej linux... raczej.

Czasem koszt produkcji softu jest wyższy niż koszt hostingu, a potencjalnie ma być dużo dużo zmian w kodzie, wtedy moim zdaniem lepiej postawić serwer na windowsie i pisać w .necie - prostsze od javy i pewniejsze od php (słabo znam javę, mogę się mylić... a php zwyczajnie nie lubię choć od niego zaczynałem).

 

W OS-ach nie ma odpowiedzi absolutnych o wyższości jednego nad drugim.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...