IBM X
近日,来自IBMX-Force安全研究团队的研究人员对1幢写字楼的自动化控制系统进行了测试,发现其中存在很多安全问题。他们进行测试的着手点,就是该写字楼的1台存在漏洞的路由器。
据Gartner(1家进行信息技术研究和分析的公司)发布的数据显示:2015年,在全球智能住宅和智能建筑中所使用的物联网装备总数为4.95亿,占全球物联网装备总数(11亿)的45%。对如此庞大的数量,安全专家表示了担心。他们表示,在这些装备建立的网络连接中,很多都是处在1定的安全风险中,给用户使用物联网带来了要挟。但是,接着就有1个好消息传来,来自IBM的X-Force安全研究小组已决定,要找出这些安全隐患。
X-Force团队是成立于1998年。起初,该团队只有10名网络红客。而经过这些年的发展,如今,它已发展成了1个全球性的网络安全研究团队,致力于研究最新的网络安全趋势,并向IBM公司客户和社会大众提供最新的安全资讯。
IBMX-Force团队的负责人,PaulIonescu表示,很少有人会去关注在智能建筑和智能住宅中所使用的物联网连接装备的安全性问题。缘由则是,在人们的观念中,这好像不属于传统网络安全的范畴。
在该团队发表的1篇研究论文中,他们对PaulIonescu的观点表示赞同。由于该团队对1幢装有自动化控制系统的智能建筑进行测试以后,发现其中确切存在着问题。同时在论文中,他们还写到:我们可以大胆地进行料想:如果这栋智能建筑的自动化系统被黑客入侵,将会产生甚么?
“如果我们对这些攻击置之不理,任其发展的话,那末这些攻击将会对装备造成巨大的影响,对网络物理环境也是如此。比如:破坏Web服务器;还有即是,即便是在1个普通的办公大楼,黑客也能够通过攻击,进而控制管理数据中心运行温度的装备,关闭其冷却风扇,致使服务器过热而瘫痪等。”
除会影响物理环境以外,这篇论文还暗示,黑客还会泄漏其物联网装备和相干网络连接的信息,并将其作为攻击网络基础设施的后门。
X-Force正对BAS系统进行测试
IBMX-Force团队成员的初衷是对单1的装备进行测试,但随后他们意想到,这类做法不够全面,必须要对1个完全的系统进行测试。最好的测试对象就是1种叫做大楼自动化的系统(BAS:BuildingAutomationSystems)。现在很多公司的办公楼都装有这类系统。
论文中提到:“我们的研究人员已对1栋商业办公楼中的,BAS控制的传感器和恒温器进行了评估(渗透测试)。”
BAS是通过1个远程中央服务器,控制几个建筑中系统的运行。下面A图就是该系统工作的原理图,包括1个远程中央服务器和两个单独的建筑(建筑1和建筑2)。
FigueA:
在B图中标出的每一个站点/建筑,都通过同1个路由器连接到BAS中央服务器,进而连入互联网。1栋大楼的自动化控制器连接着路由器和各种传感器。这些传感器能够将位置信息和要对BAS中央服务器设置进行更改的要求,传递给BAS中央服务器。
FigueB:
测试的结果
没过量久,IBMX-Force团队就找到了1种进入大楼网络的方法。IBMX-Force安全分析师ChrisPoulin指出,我们正是通过攻击1个存在漏洞的路由器,才进入了其网络。
接下来,该测试团队还尝试着获得该路由器的同享密码(该密码是以明文的情势保存),以后拿到访问BAS的权限,并控制其的运行。在拿到密码以后,他们结合该同享密码和路由上的安全漏洞,拿到了本地BAS控制器的管理权限。
全部进程就像玩多米诺骨牌1样,当其中1个关键步骤实现(指拿到路由器密码),剩下的就很轻松了。该团队终究拿到了BAS中央服务器的管理权限,并能控制美国几个地方多栋建筑中的自动化控制器。
团队成员纷纭对遇到的安全问题感到惊讶,包括前面提到的同享密码,重要信息以明文情势保存,路由器长时间存在漏洞和BAS软件存在安全隐患等。
Poulin表示,至此,此次测试就结束了。由于他们已拿到了足够的数据。随后,IBMX-Force团队成员将此次测试的结果,交给了1些BAS运营商和物联网装备制造商。他接着补充说道:相干各方都应当立即行动起来,对漏洞进行修复。
事后总结
团队成员为BAS运营商和其他相干企业建立了1个保护列表。这对他们来讲,将会非常有用。
1.必须确保所有装备及时进行更新;
2.如果没有任何的商业远程访问要求,就必须禁用BAS装备的远程访问功能;
3.制止长时间使用单1密码,也不能给无关人员同享该密码,制止将密码以明文情势进行保存;
4.必须使用带有安全认证的工程控制装备,来进行代码编写,履行shell指令;同时对密码进行加密;
5.SIEM(SecurityIncidentandEventManagement:安全事件和事件管理)系统可被用来扫描路由器,和BAS系统之间的网络活动,同时要使用嵌入式装备来辨认可疑网络活动。
这其实不是1次孤立的事件
很不幸,现在,公众对智能建筑中存在的安全风险,可能还抱着1种无所谓的态度。2015年1月,在1项由FacilitiesManagementNewsandEducation报纸展开的调查中,公众对“下面哪一个选项最好地表达了你对大楼自动户系统面所面临的网络安全要挟所持有的态度”的问题,给出了各自的答案:
1.还没采取任何措施—35%
2.了解过相干的信息—15%
3.进行过网络安全评估—14%
4.准备加强安全防护—7%
5.目前已完成相干保护措施—29%
这就是调查的结果。
我感到很遗憾,1旦黑客们看了这份调查结果,我想,他们又会开始行动了。
-
张艺谋妻女晒自拍母女颜值爆表
明星,怎么说也是个人吧。时不时晒晒照片,来个自拍什么的不足为奇。明星张婷与其女儿,在平安夜当晚晒自拍...[详细]
-
视帝陈豪爱妻陈茵媺爬山遇发哥为拍贴脸合照
视帝陈豪的爱妻陈茵媺“野生捕获”到周润发,抛开丈夫,完全放下矜持,就像树熊那样缠绕树干般搂紧周润发脖...[详细]
-
蒙面唱将猜猜猜第三季播出时间
《蒙面唱将猜猜猜》第三季于2018年10月21号每周日晚21:10分播出。《蒙面唱将猜猜猜》是江苏卫视的王牌节目,201...[详细]
-
郑爽才是中国好老板让助理出演角色进军娱乐
在年初的时候说到 中国好老板 ,大家的第一直觉就是我们的大幂幂了,用一部《三生三世十里桃花》把旗下的艺人...[详细]
-
盘点娱乐圈当下最俊朗的五大男神你喜欢哪一
靳东,1976年12月22日出生于山东,中国内地男演员。1993年,在电视剧《东方商人》中饰演少年高显扬;2005年,出演...[详细]
-
-
韩系进口维颜嘉玻尿酸问世
杭州2024年4月25日 /美通社/ -- 2024年首个韩系进
-
国际权威期刊发表Bentrio鼻喷剂针对季节性过敏性鼻炎研究成果
Allergy期刊发表了Bentrio鼻喷剂针对季节性过敏性
-
成都先导披露业绩报告:核心业务回升向好
创新能力矩阵持续释放增长势能
-
蓝纳成完成B+轮3亿元融资!
烟台2024年4月25日 /美通社/ --4月24日,东诚药业
-
世界免疫周:中国首部聚焦婴儿呼吸道合胞病毒感染和预防的纪录片倾情上线
赛诺菲携手各方守护儿童呼吸健康,以真实影
-
春末养生,A.O.史密斯AI-LiNK冷热即饮净水机与您共筑健康防线
南京2024年4月25日 /美通社/ -- 有着150年深厚底蕴
-
-
-
肝纤维化不能吃什么?肝纤维化饮食的注意事项有哪些?
中国人口14亿多,其中有9000万乙肝病毒感染者
-
肝硬化需要全疗程用药吗?哪个品牌的软肝片好?用药讲疗程,安全有保证!
人们常说“慢性病要以慢治慢”。古人倡导“
-
肝硬化的突出表现有哪些?用什么药软肝效果好?保肝软肝就选中成药
肝硬化是一种常见慢性病,引起肝硬化的病因
-
肝硬化的前期表现有哪些?肝硬化前期该如何选择软肝药品呢?
中国人的饮酒文化众所皆知,都特别喜欢酒桌
-
肝硬化患者吃什么药好,复方鳖甲软肝片有效吗?疗效值得认可
我国是肝病高发生率大国,每年有超过120万病
-
肝硬化吃复方鳖甲软肝片怎么样?复方鳖甲软肝片功效与作用来评价
肝硬化是一种常见的慢性肝病,是由一种或多
-
-
-
-
-
-
-
-
-
-
-
-
-