Tidak Digaji, Pekerja Bangunan Hancurkan Rumah yang Dibangun | tvOne Minute
Pengendali yang digunakan untuk merayap melalui saluran pengudaraan.
Ratusan organisasi di seluruh Australia menggunakan sistem kawalan perindustrian yang sudah ada (ICS) untuk mengawal lampu, pemanasan dan penyejukan, kawalan akses dan juga lif.
Menggunakan Internet untuk menguruskan bangunan adalah mudah, tetapi ia mungkin datang pada harga yang curam, membentangkan peluang baru untuk penggodam.[Bacaan lanjut: Bagaimana untuk membuang malware dari PC Windows anda]
Ini juga boleh diakses oleh Internet, "kata Billy Rios, pengarah teknikal dan perunding untuk Cylance, sebuah syarikat keselamatan di Reston, Virginia.
Rios dan pengarah teknikal Cylance yang lain, Terry S. McCorkle Jr., mendedahkan awal minggu ini bahawa salah satu Pejabat Google di Sydney menggunakan platform NiagaraAX Tridium dengan kerentanan keselamatan yang boleh membiarkan mereka mengepam pemanasan.
Lebih 230,000 contoh platform NiagaraAX, yang dibuat oleh anak syarikat Honeywell Tridium, yang berpusat di Richmond, V
Rangka kerja berasaskan Java digunakan sebagai asas bagi aplikasi yang mengawal sistem keselamatan dan kuasa automatik, pencahayaan dan telekomunikasi.
Cylance menemui sistem rentan Google menggunakan Shodan, enjin carian yang direka untuk mencari mana-mana peranti yang disambungkan ke Internet, dari peti sejuk ke kamera CCTV ke iPhone dan turbin angin.
Carian Shodan menunjukkan Australia mempunyai sistem Internet NiagaraAX yang paling aktif di peringkat ketiga, di belakang Amerika Syarikat dan Kanada, dengan 658 sistem pada pagi Khamis. Lebih dari 100 terletak di Sydney.
Dalam penyelidikan mereka, McCorkle berkata biasanya tiga perempat daripada sistem NiagaraAX menjalankan perisian ketinggalan zaman. Mereka versi yang lebih kerap masih mempunyai kerentanan. Cylance telah menemui masalah di NiagaraAX yang paling teruknya akan membolehkan mereka mengatasi kawalan perisian pada sistem perkakasan.
Sebagai contoh, walaupun sistem pemanasan diprogramkan untuk mengehadkan suhu bilik, Rios berkata salah satu kelemahan yang mereka temukan di NiagaraAX akan membolehkan mereka mengatasinya.
Dalam kes Google, "Tridium telah mengeluarkan patch keselamatan yang akan menghalang pencerobohan itu-tetapi patch itu tidak digunakan untuk sistem NiagaraAX yang digunakan di laman web ini," tulis Jenny Graves, naib nasib Tridium Presiden untuk komunikasi pemasaran, dalam e-mel.
Platform NiagaraAX biasanya dipasang dan diselenggarakan oleh syarikat lain yang disebut penyepadu sistem.
"Sepertinya integrator tidak menyentuh peranti ini," kata Rios. "Masalahnya ialah tampalan itu tidak digunakan pada peranti di Internet, dan itu adalah tanggungjawab penyepadu."
Graves berkata Tridium terus "bekerja dengan penyepadu sistem dan pelanggan kami untuk menangani masalah melalui seminar, forum dan latihan dalam talian mengenai amalan terbaik keselamatan. "
Dengan sistem Google, ia juga muncul penyepadu, sebuah syarikat yang dikenali sebagai Controlworks, kelayakan login masuk dan kata laluan untuk panel kawalan berasaskan Web. "Ia sangat menonjolkan amalan keselamatan yang lemah yang digunakan oleh penyepadu di seluruh dunia," kata Rios.
Controlworks, yang mengkhususkan diri dalam membina automasi dan sistem pengurusan tenaga, mengemas kini sistem pelanggan dengan patch semasa penyelenggaraan, kata Sharyn Gregory, ketua pegawai kewangan syarikat. Sesetengah organisasi, bagaimanapun, menguruskan sistem mereka sendiri.
Syarikat menggalakkan para pelanggan untuk menggunakan kata laluan yang kuat, kata Gregory. Dengan Google, "kami pasti menyiasat apa yang mungkin berlaku, dan kami juga menguatkan dasar semasa kami," katanya.
Sistem NiagaraAX Google disambungkan melalui talian pelanggan digital yang mungkin tidak diketahui oleh syarikat, Kata Rios. Banyak ICS yang dipasang oleh penyepadu sistem tidak dimasukkan terus ke dalam rangkaian syarikat, yang membolehkan mereka melarikan diri dari imbasan keselamatan biasa.
Alat-alat perkakasan yang menjalankan NiagaraAX juga mungkin mempunyai dua pelabuhan rangkaian-satu yang disambungkan ke talian DSL yang ditadbirkan oleh integrator sistem, dan pelabuhan lain yang dihubungkan dengan jaringan internal perusahaan, kata McCorkle.
Pertemuan kedua koneksi tersebut adalah emas untuk penggodam.
Penyelidik mendapati kelemahan kritikal dalam produk antivirus Sophos
Penyelidik Keselamatan Tavis Ormandy menemui kelemahan kritikal dalam produk antivirus yang dibangunkan oleh firma keselamatan yang berpangkalan di UK Sophos dan dinasihatkan organisasi untuk mengelakkan menggunakan produk pada sistem kritikal melainkan penjual meningkatkan perkembangan produk, jaminan kualiti dan amalan respon keselamatan.
Angel DNS: Blokkan laman web yang tidak selamat dan kandungan yang tidak sesuai
Angel DNS alat mudah alih percuma untuk menapis dan menyekat laman web dewasa. Aplikasi ini mengubah pelayan DNS anda menjadi pilihan yang lebih mesra keluarga dalam satu klik ...
Untuk pembekal e-mel anda. Oleh itu, anda tidak mahu mempercayai sesiapa sahaja dengan e-mel anda kerana terdapat banyak yang berjalan di dalamnya. Biar saya memperkenalkan anda kepada ProtonMail, penyedia e-mel selamat di Switzerland. Switzerland sentiasa dikenali kerana undang-undang privasi yang ketat. Dan syarikat e-mel sepenuhnya mematuhi mereka. Menggunakan ProtonMail, anda boleh menyediakan akaun e-mel yang selamat dan terenkripsi dalam beberapa minit.
ProtonMail Pembekal Perkhidmatan E-mel