Katalog

Luka w oprogramowaniu SIMATIC SCADA
download Reklamacja

Transkrypt

Luka w oprogramowaniu SIMATIC SCADA 
Luka w oprogramowaniu SIMATIC SCADA
Wpisany przez Administrator
piątek, 23 grudnia 2011 13:22
Billy Rios (ekspert do spraw bezpieczeństwa pracujący w Google) podał do publicznej
wiadomości informację o wykryciu luki w oprogramowaniu SIMATIC (Siemens) po tym
jak niedawno Siemens oświadczył, że żadnej luki nie ma. Oprogramowanie zarządza
systemami automatyki przemysłowej produkowanymi przez tę firmę.
Lukę wykryto w maju br. o czym Siemens został od razu poinformowany. Jednak firma wydała
niedawno oświadczenie w którym stwierdza, że oprogramowanie SIMATIC pracuje poprawnie i
żadnego problemu nie ma. Rios napisał w związku z tym 20-go grudnia w swoim blogu, "biorąc
pod uwagę takie stanowisko firmy, myślę iż powinniśmy otwarcie powiedzieć, co wykryliśmy w
maju br. w oprogramowaniu SIMATIC".
Zdaniem Riosa oprogramowanie SIMATIC nie jest bezpieczne, ponieważ w przypadku
uruchomienia usług Web, VNC i Telnet stosuje domyślne hasła administratora. Domyślne hasło
administratora dla usługi Web to "Administrator:100", a w przypadku usługi VNC nie trzeba
nawet podawać nazwy użytkownika - wystarczy wpisać "100".
Rios uważa, że to właśnie takie domyślne hasła administratorów zostały wykorzystane przez
włamywaczy do niedawnego przejęcia kontroli nad automatyką sterującą pracą systemu
SCADA, który zaopatruje w wodę miasto South Houston (Teksas). Jeśli nawet administrator
zmieni domyślne hasło, ale zrobi to niepoprawnie, niebezpieczeństwo dalej istnieje. Dzieje się
tak dlatego, ponieważ zmiana hasła dla interfejsu Web nie zmienia hasła dla usługi VNC.
Kolejna pułapka - jeśli nowe hasło zawiera specjalne znaki, może być automatycznie
zresetowane i przybiera z powrotem wartość "100".
Rios twierdzi dalej, że największe jednak niebezpieczeństwo wynika z faktu, że tokeny sesji
generowane przez SIMATIC Web HMI (Human Machine Interface) można przewidzieć. Dlatego
włamywacz może wygenerować taki token i uzyskać w ten sposób dostęp do systemu bez
konieczności podawania ważnej nazwy użytkownika i hasła.
Siemens nie skomentował jak dotąd całej sprawy.
Źródło:networld.pl
1/1

Podobne dokumenty

Swiadectwo - PLC Control sc

Swiadectwo - PLC Control sc

Bardziej szczegółowo

FAX 0-22 870 9169

FAX 0-22 870 9169

Bardziej szczegółowo

Podsumowanie 2009 roku i plany rozwojowe

Podsumowanie 2009 roku i plany rozwojowe

Bardziej szczegółowo

PDF sterownik simatic s7-1500 - Kopia.indd

PDF sterownik simatic s7-1500 - Kopia.indd

Bardziej szczegółowo

folder 225x225mm 2015 str_po_stronie_poprawka finału.cdr

folder 225x225mm 2015 str_po_stronie_poprawka finału.cdr

Bardziej szczegółowo

Siemens Rekomendacje 2013

Siemens Rekomendacje 2013

Bardziej szczegółowo

1 Transfer licencji do panelu. W celu transferu licencji do panelu

1 Transfer licencji do panelu. W celu transferu licencji do panelu

Bardziej szczegółowo

Simlogic. – Twój dostawca systemów Siemens

Simlogic. – Twój dostawca systemów Siemens

Bardziej szczegółowo

SIMLOGIC. – dostawca rozwiązań, usług oraz szkoleń z zakresu

SIMLOGIC. – dostawca rozwiązań, usług oraz szkoleń z zakresu

Bardziej szczegółowo

mFAQ.1.6.Inicjowanie bloku danych zadanymi wartościami

mFAQ.1.6.Inicjowanie bloku danych zadanymi wartościami

Bardziej szczegółowo

siwarex wp521/wp522 - Automatyka

siwarex wp521/wp522 - Automatyka

Bardziej szczegółowo
2024 © doczz.pl
O nas | DMCA / GDPR | Nadużycie