Wiadomości
Luka w oprogramowaniu SIMATIC SCADA
Billy Rios (ekspert do spraw bezpieczeństwa pracujący w Google) podał do publicznej wiadomości informację o wykryciu luki w oprogramowaniu SIMATIC (Siemens) po tym jak niedawno Siemens oświadczył, że żadnej luki nie ma. Oprogramowanie zarządza systemami automatyki przemysłowej produkowanymi przez tę firmę.
Luka w systemie SIMATIC?
Zobacz też:
- Oracle łata dziurę w Java.com
- Forrester radzi administratorom: Nie spieszcie się z łataniem dziur wykorzystanych przez hakerów.
- Facebook zapłaci za informacje o lukach bezpieczeństwa
Zdaniem Riosa oprogramowanie SIMATIC nie jest bezpieczne, ponieważ w przypadku uruchomienia usług Web, VNC i Telnet stosuje domyślne hasła administratora. Domyślne hasło administratora dla usługi Web to "Administrator:100", a w przypadku usługi VNC nie trzeba nawet podawać nazwy użytkownika - wystarczy wpisać "100".
Rios uważa, że to właśnie takie domyślne hasła administratorów zostały wykorzystane przez włamywaczy do niedawnego przejęcia kontroli nad automatyką sterującą pracą systemu SCADA, który zaopatruje w wodę miasto South Houston (Teksas). Jeśli nawet administrator zmieni domyślne hasło, ale zrobi to niepoprawnie, niebezpieczeństwo dalej istnieje. Dzieje się tak dlatego, ponieważ zmiana hasła dla interfejsu Web nie zmienia hasła dla usługi VNC. Kolejna pułapka - jeśli nowe hasło zawiera specjalne znaki, może być automatycznie zresetowane i przybiera z powrotem wartość "100".
Rios twierdzi dalej, że największe jednak niebezpieczeństwo wynika z faktu, że tokeny sesji generowane przez SIMATIC Web HMI (Human Machine Interface) można przewidzieć. Dlatego włamywacz może wygenerować taki token i uzyskać w ten sposób dostęp do systemu bez konieczności podawania ważnej nazwy użytkownika i hasła.
Siemens nie skomentował jak dotąd całej sprawy.
Komentarze (0)
- Prawo Moore’a zagrożone?
- Bezpieczeństwo WiFi - bezprzewodowe testy penetracyjne
- Wirtualizacja: obsługa SMB na czterech U
- Open source: zmierzch ery GPL? Nie do końca...
- ROVER - prosty sposób na słabość BGP?
- Zaawansowane stacje Wi-Fi Ruckus Wireless
- Rozstanie z Javą nie będzie proste
- Google Drive uwypukla słabe strony publicznych chmur obliczeniowych
- Serwery "zombie" w centrum danych
- Microsoft Office 15 będzie obsługiwał standard ODF 1.2
Reklama
Huawei celuje w rynek biznesowy
Huawei nieustannie rozwija się jako dostawca infrastruktury dla branży telekomunikacyjnej. W tym roku chiński koncern zamierza umocnić swoją pozycję również na rynku rozwiązań Enterprise.
Polecane
Koniec Windows XP początkiem problemów?
Microsoft oficjalnie potwierdził, że za dwa lata definitywnie zakończy się era Windows XP - systemu operacyjnego,...
Spokój i luz administratora
Wymagania wobec pracowników działów IT rosną proporcjonalnie do stopnia rozwoju teleinformatyki. Oczekuje się, że...