黑客已經能利用智能手機炸掉工廠——口袋裡的手機是定時炸彈
如今,許多企業會讓員工通過手機應用監控和管理機器,有時甚至會監控和管理整個工業生產流程。這類應用據稱可以提高效率,但同時也成了網路攻擊的靶子。最糟糕的可能性是,黑客會利用這些漏洞來破壞機器,進而很有可能摧毀整個工廠。
請點擊此處輸入圖片描述
去年,網路安全公司IOActive的亞歷山大?布爾什維(Alexander Bolshev)和Embedi公司的伊萬?尤什克維奇(Ivan Yushkevich)兩位安全研究人員檢測了西門子、施耐德電氣等公司的34款手機應用,共發現147個漏洞。這34款手機應用都是從谷歌商店隨機選擇的。布爾什維拒絕公開具體哪些企業的安全防禦能力最差,也不願透露具體應用中的漏洞,但他表示,這34款應用中只有2款應用算得上無懈可擊。
在研究人員發現的漏洞中,有一些可能會給黑客們可趁之機,干擾應用和機器或相關流程之間數據的傳輸。這樣以來工程師可能會誤以為機器在安全溫度下運轉,而實際上機器已經過熱。另一個漏洞則可能讓黑客們在移動設備上植入惡意代碼,從而向控制機器的伺服器發送虛假指令。不難想像,這類攻擊會給流水線帶來巨大的損失,或使煉油廠發生嚴重爆炸。
請點擊此處輸入圖片描述
儘管布爾什維一再強調黑客攻擊帶來的風險大小不一,但將手機應用與工業控制系統結合起來的確是「一種致命又脆弱的混合物」。部分企業可能會有多重自動保險系統降低潛在損失。同時,部分企業還會要求工程師要依靠多個數據源操作機器,而不能單單依靠手機應用上的單一數據。
不過這種方法並不能做到萬無一失,因為有證據表明,黑客已經能夠繞過生產設備的大範圍防禦了。而且隨著發電廠和交通運輸系統接入網路,風險的範圍也進一步擴大。這些領域的移動應用也會是整個系統的的弱點。
請點擊此處輸入圖片描述
研究人員稱他們還沒有具體研究是否這些漏洞曾被黑客真正利用過。在發表他們的研究成果之前,兩位研究人員都提前聯繫了手機應用存在漏洞的公司。一些漏洞已經被修復,但仍有許多公司未作出回應。
大西洋理事會網路安全創新方向研究院博?伍茲(Beau Woods)稱,企業面臨著進退兩難的境地。他說道,「緊急情況出現時,你最不想看到的情況就是操作人員被鎖定在關鍵系統之外,所以系統在設計時會考慮多種接入方式」,如通過手機應用等,「但接入方式增加後也給了壞人可乘之機。」
TAG:Creza |