En sikkerhedsforsker har udgivet kode, der kunne bruges til at tage kontrol over computere, der bruges til at styre industrimaskiner, hvilket potentielt giver hackere en bagdør til brugsvirksomheder, vandplanter og endda olie- og gasraffinaderier.
Softwaren blev offentliggjort sent fredag aften af Kevin Finisterre, en forsker, der sagde, at han vil øge bevidstheden om sårbarhederne i disse systemer, bliver problemer, som han sagde, ofte nedslået af softwareleverandører. "Disse leverandører bliver ikke holdt ansvarlige for den software, de producerer", siger Finisterre, som er forskningschef hos sikkerhedstestfirmaet Netragard. "De fortæller deres kunder, at der ikke er noget problem, mens denne software kører kritisk infrastruktur."
Finisterre udgav sin angrebskode som et software modul til Metasploit, et udbredt hackingsværktøj. Ved at integrere det med Metasploit har Finisterre gjort sin kode meget lettere at bruge, sagde sikkerhedseksperter. "Integration af udnyttelsen med Metasploit giver et bredt spektrum af mennesker adgang til angrebet," siger Seth Bromberger, leder af informationssikkerhed hos PG & E. "Nu er alt, hvad der kræves, downloadet Metasploit, og du kan starte angrebet."
Koden udnytter en fejl i Citects CitectSCADA-software, som oprindeligt blev opdaget af Core Sikkerhedsteknologier og offentliggjort i juni. Citect udgivet en patch for fejlen, da den først blev afsløret, og softwareleverandøren har sagt, at problemet kun udgør en risiko for virksomheder, der forbinder deres systemer direkte til internettet uden brandvandsbeskyttelse, noget der aldrig ville blive gjort med vilje. Et offer skal også muliggøre en særlig databasefunktion inden for CitectSCADA-produktet til angrebet på arbejde.
Disse typer industrielle SCADA (overvågnings- og dataovervågning) processtyringsprodukter har traditionelt været svære at opnå og analysere, hvilket gør det muligt Det er svært for hackere at afprøve dem for sikkerhedsfejl, men i de senere år er flere og flere SCADA-systemer bygget ud over kendte operativsystemer som Windows eller Linux, hvilket gør dem både billigere og nemmere at hacke.
IT-sikkerhedseksperter er bruges til at patch systemer hurtigt og ofte, men industrielle computersystemer er ikke som pc'er. Fordi en nedetid med et vandværk eller et el-system kan føre til katastrofe, kan ingeniører være tilbageholdende med at foretage softwareændringer eller endda bringe computere off-line til patching.
Denne forskel har ført til uoverensstemmelser mellem it-fagfolk som Finisterre, hvem se, at sikkerhedsproblemer bliver nede, og industriens ingeniører har ansvaret for at holde disse systemer kørende. "Vi har en lille smule af en kulturkonflikt, der foregår lige nu mellem processtyringsingeniørerne og IT-folkene", siger Bob Radvanovsky, en uafhængig forsker, der driver en SCADA-sikkerhed online-diskussionsliste, der har set nogle opvarmede diskussioner om dette emne.
Citect sagde, at det ikke havde hørt om nogen kunder, der var blevet hacket på grund af denne fejl. Men selskabet planlægger snart at frigive en ny version af CitectSCADA med nye sikkerhedsfunktioner i en erklæring (pdf), der udgives tirsdag.
Denne udgivelse vil ikke komme for tidligt, da Finisterre mener, at der er andre lignende, kodende fejl i CitectSCADA-softwaren.
Og mens SCADA-systemer kan adskilles fra andre computernetværk inden for planter, kan de stadig blive brudt. For eksempel i begyndelsen af 2003 smittede en entreprenør sig med atomkraftværket Davis-Besse med SQL Slammer-ormen.
"Mange af de mennesker, der driver disse systemer, føler, at de ikke er bundet af de samme regler som traditionelle IT, "sagde Finisterre. "Deres industri er ikke særlig bekendt med hacking og hackere generelt."
Kan ikke vælge mellem en stationær pc og en bærbar computer? Hvad med en arbejdsstation og en bærbar computer? Lenovos ThinkPad W700 desktop erstatning (og desktop-størrelse) bærbar computer indeholder mange af de nyeste mobile arbejdsstationsfunktioner, mens du også pakker ind i nogle usædvanlige - og meget velkomne - godbidder til grafikeren eller CAD-designeren.
Du kan virkelig bunke om mulighederne ved konfiguration af W700, men vores testsystem (normalt prissat til $ 3963, men opført på $ 3295 pr. 12/01/2008), mens det ikke var bare knogler på nogen måde, var relativt beskedent udstyret med en 2,8 GHz Core 2 Duo T9600 CPU, 4 GB RAM og 64-bit Windows Vista Ultimate. Du kan også vælge enten en 3,06 GHz Core 2 Extreme ($ 600 ekstra) eller en 2,53 GHz Core 2 Quad Extreme QX9300 (kun $ 1000 ekstra). Lenovo siger, at du kan pakke W700 med op til 8 GB RAM, m
Patch Tuesday Fixes Serious Zero-Day Holes, Leaves Another Open
Microsofts månedlige patchcyklus lukker to underfaldsfejl, der involverer ActiveX og QuickTime-filer og andre sikkerhedshuller.
Firefox Update Fixes Serious SSL, Andre fejl
Mozilla udgivet nye 3.5.X og 3.0.X browserversioner i dag, der løser en række fejl, herunder et seriøst sikkerhedshull til 3,0 browsere, der kan kompromittere online banking sessioner og anden krypteret webtrafik.