Ein Sicherheitsforscher hat einen Code veröffentlicht, der die Kontrolle über Computer übernehmen könnte, die für die Verwaltung von Industriemaschinen verwendet werden, um Hackern eine Tür zu Versorgungsunternehmen, Wasserwerken und sogar Öl- und Gasraffinerien zu öffnen.
Die Software wurde am späten Freitagabend veröffentlicht von Kevin Finisterre, einem Forscher, der sagte, er wolle auf die Schwachstellen in diesen Systemen aufmerksam machen, Probleme, die er sagte, werden oft von Software-Anbietern heruntergespielt. "Diese Anbieter werden nicht für die Software verantwortlich gemacht, die sie produzieren", sagte Finisterre, der Forschungsleiter bei der Sicherheits-Testfirma Netragard ist. "Sie sagen ihren Kunden, dass es kein Problem gibt, während diese Software eine kritische Infrastruktur betreibt."
Finisterre veröffentlichte seinen Angriffscode als Softwaremodul für Metasploit, ein weit verbreitetes Hacker-Tool. Durch die Integration mit Metasploit hat Finisterre seinen Code wesentlich benutzerfreundlicher gemacht, sagten Sicherheitsexperten. "Durch die Integration des Exploits mit Metasploit erhält ein breites Spektrum von Menschen Zugang zum Angriff", sagte Seth Bromberger, Manager für Informationssicherheit bei PG & E. "Jetzt brauchen Sie nur noch Metasploit herunterzuladen und Sie können den Angriff starten."
Der Code nutzt einen Fehler in der CitectSCADA-Software von Citect, die ursprünglich von Core entdeckt wurde Sicherheitstechnologien und im Juni veröffentlicht. Citect hat bei der ersten Veröffentlichung einen Patch für den Fehler veröffentlicht, und der Softwarehersteller hat erklärt, dass das Problem nur für Unternehmen ein Risiko darstellt, die ihre Systeme ohne Firewall-Schutz direkt mit dem Internet verbinden, was niemals absichtlich geschehen würde. Ein Opfer müsste auch eine bestimmte Datenbankfunktion innerhalb des CitectSCADA-Produkts aktivieren, damit der Angriff funktioniert.
Diese Arten industrieller SCADA (Überwachungssteuerung und Datenerfassung) -Prozesssteuerungs-Produkte waren traditionell schwer zu beschaffen und zu analysieren und zu erstellen Es ist für Hacker schwierig, sie auf Sicherheitslücken zu untersuchen, aber in den letzten Jahren wurden immer mehr SCADA-Systeme auf bekannten Betriebssystemen wie Windows oder Linux gebaut, wodurch sie sowohl billiger als auch einfacher zu hacken sind.
IT-Sicherheitsexperten verwendet, um Systeme schnell und oft zu patchen, aber industrielle Computersysteme sind nicht wie PCs. Da ein Ausfall mit einer Wasseranlage oder einem Stromnetz zu einer Katastrophe führen kann, zögern Ingenieure, Softwareänderungen vorzunehmen oder die Computer sogar offline zu schalten.
Dieser Unterschied hat zu Meinungsverschiedenheiten zwischen IT-Fachleuten wie Finisterre geführt Sicherheitslücken werden heruntergespielt und Industrietechniker sind damit beschäftigt, diese Systeme am Laufen zu halten. "Zwischen den Prozessleitern und den IT-Leuten herrscht derzeit ein kleiner kultureller Konflikt", sagte Bob Radvanovsky, ein unabhängiger Forscher, der eine Online-Diskussionsliste für SCADA-Sicherheit betreibt, die einige hitzige Diskussionen darüber geführt hat Thema.
Citect sagte, dass er noch nie von Kunden gehört habe, die wegen dieses Fehlers gehackt wurden. Aber das Unternehmen plant, in Kürze eine neue Version von CitectSCADA mit neuen Sicherheitsfunktionen herauszubringen, (pdf), die am Dienstag veröffentlicht wurde.
Diese Veröffentlichung wird nicht zu früh kommen, da Finisterre glaubt, dass es andere, ähnliche Kodierungen gibt Fehler in der CitectSCADA-Software.
Und während SCADA-Systeme von anderen Computernetzwerken innerhalb von Anlagen getrennt werden können, können sie dennoch durchbrochen werden. Zum Beispiel hat ein Bauunternehmer Anfang 2003 das Kernkraftwerk Davis-Besse mit dem SQL-Slammer-Wurm infiziert.
"Viele Menschen, die diese Systeme betreiben, haben das Gefühl, dass sie nicht an die gleichen Regeln gebunden sind wie früher IT ", sagte Finisterre. "Ihre Branche ist mit Hacking und Hackern im Allgemeinen nicht sehr vertraut."
Bing jetzt ein ernster Herausforderer für Google
Bing hat wertvolle Tools und unterhaltsame Technologie hinzugefügt und ist damit ein beeindruckender Google-Konkurrent.
Das PCWorld Digital Magazine ist jetzt in verschiedenen Enhanced-Formaten verfügbar und wird jetzt für Printabonnenten
Kostenlos angeboten Sie können die digitale Version von PCWorld auf Ihrem iPad, Android-Tablet oder Kindle Fire E-Reader lesen.
Google Cloud Connect für Microsoft Office - Jetzt für alle verfügbar!
Google Cloud Connect für Microsoft Office ermöglicht kollaboratives Bearbeiten mehrerer Personen die vertraute Microsoft Office-Erfahrung. Sie können Microsoft Word-, PowerPoint- und Excel-Dokumente mit Kollegen teilen, sichern und gleichzeitig bearbeiten.