Nul
Mobile apps bruges til at hjælpe med at køre internet tilsluttede systemer på kraftværker kunne misbruges af hackere, en rapport, der advarer.
Billede: iStock
Mobile applikationer, der bruges til at hjælpe med at kontrollere internet-tilsluttet Industriel Kontrol og Supervisory Control and Data Acquisition (SCADA) systemer, der er fyldt med sikkerhedshuller, som hvis de udnyttes, kunne blive brugt af hackere til at forstyrre eller skade kritisk infrastruktur.
El-og vandværker, der er blot to eksempler på den slags virksomheder, som i stigende grad bruger mobile enheder til at støtte med fjernovervågning af tjenester, sikkerhedsfirmaer advarer om, at svaghed i de programmer, der er udviklet til smartphones, som sætter hele systemet i fare fra hackere.
Med titlen “SCADA og Mobil Sikkerhed i Internet af Ting Æra,” analyse af cybersecurity virksomheder IOActive og Embedi tyder på, at hvis de på afstand kan få adgang til smartphone-enhed, som angribere kan udføre skadelige handlinger
“De fejl, vi fandt, var chokerende, og er bevis for, at mobil-applikationer bliver udviklet og brugt uden tanke på sikkerhed,” sagde Alexander Bolshev, Sikkerhed Konsulent for IOActive.
“Hvis smartphone-brugere downloader et skadeligt program af enhver type på den enhed, det program kan derefter angribe den sårbare applikation, der anvendes til ICS software og hardware,” tilføjede han.
Forskere tilfældigt udvalgt og test 34 ansøgninger til SCADA systemer, der er tilgængelige i Android i Google Play Butik, og fandt 147 sårbarheder på tværs af stikprøven. Tidligere analyser er gennemført i 2015 fundet 50 spørgsmål på tværs af 20 apps, førende forskere til at konkludere, at sikkerheden i denne sektor er blevet værre, ikke bedre, med en stigning fra et gennemsnit på 1,6 sårbarheder pr ansøgning.
Organisationer kan derfor potentielt være farende for at udvikle apps for at drage fordel af de fordele, de kan bringe til SCADA-systemer, men ikke til at sætte i den sikkerhedskontrol, der er forbundet med alle andre aspekter af miljøet.
“Early adopters er at skabe programmer, der bruger den samme hurtige udvikling tankegang, der er populære i mobile, snarere end målt og testet udvikling, der normalt forventes i industriel kontrol,” Jason Larsen, leder af advisory services i IOActive fortalte ZDNet.
Forskere har fundet ud af, at 94 procent af de testede apps sårbare over for at kode manipulation, som kan føre til, at ansøgningen bliver udsat og udnyttes på en forankret enhed, med meget lidt interaktion fra brugeren er påkrævet.
Usikre tilladelsen blev fundet at være et problem for 59 procent af de testede apps, med nogle apps ikke at omfatte en adgangskode eller enhver anden form for kontrol med, at app ‘ en blev brugt af den korrekte bruger. Dette er potentielt meget farligt, som et fravær af password beskyttelse, der kan gøre det muligt for angribere at fysisk adgang til en uovervåget eller stjålet enhed eller endda bruge det eksternt via brug af malware.
Se også: Forsvaret mod cyberkrig: Hvordan cybersecurity elite arbejder på at forhindre, at en digital apocalypse
Andre problemer, der findes til at være udbredt blandt de testede programmer var, at 53 procent var modtagelige for at blive reverse engineered tak til anvendelse af ikke-uklar-koden gør det muligt for hackere at se de indre funktioner i app ‘ en, og hvilke patches der er og har ikke været anvendt.
I mellemtiden, lige under halvdelen af de apps, der er testet, viste sig at være usikre data storage og utilsigtet datalækage, som kan give hackere adgang til app ‘ en eller data om SCADA-systemer. Dette, siger rapporten kan føre til, at angriberen manipulation med data til at forstyrre systemer eller aktivere yderligere angreb.
I mange tilfælde, men angriberne ville nødt til at være dygtige og har kendskab til de systemer, med henblik på at udføre særlige angreb.
“De fleste processer har sikkerhedsanordninger, som forhindrer den proces fra at indgå i en usikker tilstand. Tilfældigt at klikke rundt på operatørens skærm generelt ikke føre til katastrofale fejl, men det betyder ikke, at virkningen ikke vil være sever og dyrt,” sagde Larsen.
“I 2016 ukrainske angriber, en angriber, der blot skiftede alle marken udstyr til off, men ingen vil påstå, at angrebet var ikke effektiv”.
For at beskytte SCADA-systemer fra at blive angrebet via mobil, skal udviklerne tage så meget pleje med sikkerhed af de apps, som de ville gøre med enhver anden del af en industriel kontrol system.
“Udviklere er nødt til at huske på, at programmer som disse er dybest set gateways til mission critical ICS-systemer,” sagde Ivan Yushkevich, informationssikkerhed revisor for Embedi. “Det er vigtigt, at applikationsudviklere omfavne sikker kodning bedste praksis for at beskytte deres applikationer og systemer fra farlige og dyre-angreb.”
IOActive og Embedi underrettet de berørte leverandører af resultaterne gennem ansvarlig offentliggørelse, og koordinerer med dem for at sikre, at rettelser er på plads. Desuden anbefales det, at enhver mobil enhed ved hjælp af anvendt i ICS-miljøer bør have styrket sikkerhed.
“Mobile enheder kan være hærdet som enhver anden enhed og en god sikkerhed arkitektur kan altid hjælpe. De fleste mobile enheder er nødt til at oprette forbindelse til internettet for at modtage opdateringer, men de behøver ikke at være forbundet med både en industriel kontrol miljø og internet på samme tid,” sagde Larsen.
“Det skal altid være antages, at den kontrol perimeter netværk vil i sidste ende blive brudt”.
LÆS MERE OM IT-KRIMINALITET
Hack angreb på energi-virksomheder, rejser sabotage fearsWhy firewalls er ikke anbefalet for at sikre SCADA-systemer [TechRepublic]Industrielle virksomheder undlader at træffe grundlæggende sikkerhedsforanstaltninger mod hackersHackers rettet mod OS kernekraftværker, konstateres det, [CNET]Hackere angriber power virksomheder, stjæle kritiske data: Her er hvordan de gør det
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0