工控网络安全不远,其实就在你身边! 点击:1170 | 回复:19
近年来,针对工业控制系统的各种网络攻击事件日益增多,暴露出工业控制系统在安全防护方面的严重不足。匡恩网络会陆续为大家总结工控网络安全事件,以了解工业控制系统所面临的安全威胁,促进国内工控网络安全事业不断发展。也欢迎大家积极互动
今天先分享第一件:
澳大利亚马卢奇污水处理厂非法入侵事件
2000年3月,澳大利亚昆士兰新建的马卢奇污水处理厂出现故障,无线连接信号丢失,污水泵工作异常,报警器也没有报警。本以为是新系统的磨合问题,后来发现是该厂前工程师Vitek Boden因不满工作续约被拒而蓄意报复所为。
这位前工程师通过一台手提电脑和一个无线发射器控制了150个污水泵站;前后三个多月,总计有100万公升的污水未经处理直接经雨水渠排入自然水系,导致当地环境受到严重破坏。
巴西知名SCADA曝严重拒绝服务漏洞
巴西知名SCADA(数据采集与监视控制系统)ElipseSCADA近日曝出一个严重的拒绝服务漏洞,目前其官方Elipse已修复此漏洞。SCADA是以计算机为基础的DCS与电力自动化监控系统。
漏洞描述
在各国许多机构都有SCADA(数据采集与监视控制系统)的踪影,常常包括制造业,能源行业、水资源行业等等。ElipseSCADA的常用于过程自动化系统,主要业务为电力和植物供水。
这个漏洞出现在ElipseSCADA部署的DNP3协议上。漏洞版本号为CVE-2014-5429,它允许攻击者提交包含格式错误的数据报文,消耗系统资源,而造成拒绝服务攻击。
该漏洞的表现形式随着SCADA部署的不同而变化:在ElipseE3中,服务会中断;在Elipse动力系统中,大概会产生30秒左右的停顿;而ElipseSCADA则会直接宕机。该漏洞还可以被远程利用,虽然现在还没有发现真实案例。
影响范围
工业控制网络应急响应中心表示:“黑客如果通过该漏洞攻击系统,工控设备会停止响应,直到被人工重启。”
目前该ElipseSCADA系统已经推出了新版的DNP3驱动,受到此漏洞影响,需要更新驱动的产品有:
ElipseSCADA2.29build141
ElipseE3v1.0到v4.6版本
Elipse动力系统v1.0到v4.6版本
DNP3.0Masterv3.02版本
安全人员同时表示,这是一个通用类型的漏洞,预计其他SCADA和同类工控软件也会有类似问题。
比Suxnet强大20倍的Flame火焰病毒肆虐中东地区
Flame火焰病毒具有超强的数据攫取能力,不仅袭击了伊朗的相关设施,还影响了整个中东地区。据报道,该病毒是以色列为了打聋、打哑、打盲伊朗空中防御系统、摧毁其控制中心而实施的高科技的网络武器。以色列计划还包括打击德黑兰所有通讯网络设施,包括电力、雷达、控制中心等。
我们发现,Flame火焰病毒最早诞生于2010年,迄今为止还在不断发展变化中。该病毒结构非常复杂,综合了多种网络攻击和网络间谍特征。一旦感染了系统,该病毒就会实施一系列操作,如监听网络通讯、截取屏幕信息、记录音频通话、截获键盘信息等等;所有相关数据都可以远程获取。
可以说,Flame病毒的威力大大超过了目前所有已知的网络威胁。
朝鲜网络全面崩溃 具体原因尚未明确
据路透社报道,美国互联网基础设施监测公司DynResearch称,周一朝鲜互联网全面宕机,具体原因不明。
DynResearch互联网分析主管道格·麦德瑞(DougMadory)表示,“在过去24小时内,朝鲜连接外界互联网的连通性能逐步下降,现在则完全宕机。”
麦德瑞补充说:“关于此次宕机,乐观的原因是他们的路由器出现了软件问题——存在这样的可能。同时也有可能是有人指导,对他们发起了攻击,目前他们很难上线。”
美国总统奥巴马上周五郑重许诺,称将对索尼影业遭到的黑客攻击事件作出回应,并将此次事件归咎于朝鲜。
美国国务院发言人玛丽·哈弗(MarieHarf)在周一举行的例行新闻发布会上表示,她无法证实朝鲜互联网宕机是否跟此前索尼网络遭受攻击有关。?
麦德瑞称,朝鲜的互联网一直很稳定,尽管过去也曾遭受过攻击,包括在2013年与韩国关系紧张期间。麦德瑞表示,现在很多人,包括潜在的青少年黑客,都能发起“分布式拒绝服务”攻击,从而导致朝鲜互联网瘫痪。如果这是引起朝鲜互联网宕机的原因,“这并不需要一些大的国家才能能做到。”
2011年,某石化企业某装置控制系统分别感染Conficker病毒,造成控制系统服务器与控制器通讯不同程度地中断。
在江苏某地级市,该市自来水公司将所有小区泵站的PLC都通过某公司企业路由器直接联网,通过VPN远程进行控制访问,实时得到各泵站PLC的数据;结果发现大量的PLC联网状态不稳定,出现时断时续的现象。经过现场诊断,发现是PLC的TCP/IP协议栈存在明显缺陷导致,最后靠厂家升级PLC固件解决。
某大型石化公司,控制网内已经部署了大量某外国品牌的工业防火墙,以为可以从此高枕无忧。但实际情况却是控制网内大量工程师站、操作员站感染了大量病毒,导致控制软件运行缓慢,正常操作无法进行。
2014年,某大型冶金厂车间控制系统发现病毒,是因为员工在某一台工作站上私自安装娱乐软件带入在控制网扩散。
中石化SCADA系统连遭攻击
2015年5月23日,上海市奉贤区人民法院宣判了一起破坏SCADA系统的案件。涉案人员徐某、王某以谋取维修费用为目的,由徐某针对中石化华东公司SCADA系统开发了一套病毒程序,王某利用工作之便,将此病毒程序植入到华东公司SCADA系统的服务器中,导致SCADA系统无法正常运行,软件公司先后安排十余名中外专家均无法解决问题。此时,两名嫌疑人再里应外合,由公司内部的王某推荐开发病毒程序的徐某前来“维修”,骗取高额维修费用,实现非法牟利。
点评:此次事件,充分暴露出工控现场信息安全管理制度、防护措施的严重缺乏,相关工作人员安全技术水平、防范意识不足等一系列问题。
措施:为了杜绝类似事件的发生,不仅要加强人员管理,还应在技术上进行积极防御。如在工控主机中部署工控卫士,对工控上位机与工控服务器进行全面的安全防护,监控工控主机的进程状态、网络端口状态、USB端口状态,以白名单的技术方式,全方位的保护主机的资源使用,使恶意软件无所遁形,自然也就不会发生上述案例中的事件。
海康威视,“黑天鹅”安全门事件
事件:2015年3月,国内著名网络摄像头生产制造企业海康威视遭遇“黑天鹅”安全门事件,监控设备存在严重安全隐患,部分设备已被境外IP地址控制。
点评:此次事件,凸显了安防行业乃至整个工控行业面临的严峻的信息安全挑战。相关工作人员的安全意识亟待提升,整个行业的信息安全技术水平亦需要全方位的改善和提高。
技术分析:海康威视安防监控设备主要存在以下三个方面安全风险:
(1) 容易被黑客在线扫描发现。
黑客至少可以通过3种方式探索发现海康威视安防监控产品:通过百度、Google等网页搜索引擎检索海康威视产品后台URL地址,通过Shodan等主机搜索引擎检索海康威视产品HTTP/Telnet等传统网络服务端口关键指纹信息,通过自主研发的在线监测平台向海康威视产品私有视频通讯端口发送特定指令获取设备详细信息。
(2) 弱口令问题普遍存在,易被远程利用。
据监测统计,有超过60%的海康威视产品的root口令和web登陆口令均为默认口令。
(3) 产品自身存在安全漏洞。
海康威视产品在处理RTSP协议(实时流传输协议)请求时缓冲区大小设置不当,被攻击后可导致缓冲区溢出甚至被执行任意代码。
措施:海康威视的安全门事件值得深思,如何才能有效保护设备安全?安全监管平台能够很好的解决这个问题,具有如下功能。
安全终端管理:统一控制配置、管理安全终端,对安全终端部署安全规则,监测终端所在网络的通信流量与安全事件。
源头事件追踪:对于保护终端所产生的安全事件和平台系统事件进行行为关联性追踪,找到引起当前结果事件的源头事件,为分析从源头事件到结果事件的整个过程提供依据。
基准行为审计:建立工业控制网络日常行为基准,对当前网络的异常行为做实时动态的行为审计,找到控制网内符合协议规范,但不符合企业日常生产规律的隐秘异常的行为,帮助发现内部误操作,内部攻击等不易发现的安全威胁。
网络拓扑管理:专业的工业控制网络拓扑构建和管理工具,提供丰富的资产信息展示功能,同时关联多种安全分析工具,呈现丰富的功能视图,对拓扑管理进行颠覆式的功能改进,帮助用户最大化的了解自身工业控制网络。
系统入侵检测:对网络的当前和历史行为与事件进行工业控制安全入侵分析、检测与发现,发现HaveX、Sand-Worm、Stuxnet等APT攻击和工业病毒的入侵痕迹,提供对应的防护修护策略。
怎么没人和我一起讨论呢- 请问高手modbus和tcp/ip哪个...
[4095] - 求助:现场总线方案论证[2470]
- lrc校验码计算方法[3098]
- BACnet协议中文版 目录[2759]
- 求助:SwiftNet现场总线的特...[1464]
- 组态王与多台CP1H以CP1W-CIF...[1454]
- PLC的LIN总线通讯解决方案[1979]
- abb机器人涂胶包和SCA的涂胶...[1629]
- PLC上有一个指示灯"DIA"是出...[2718]
- 什么情况下can会出现stuff e...[6629]
官方公众号
智造工程师
-
客服
-
小程序
-
公众号
工控网智造工程师好文精选
