» »

Raziskovalca umaknila predavanje o ranljivosti sistemov SCADA

Raziskovalca umaknila predavanje o ranljivosti sistemov SCADA

Slashdot - Od sobote do četrtka je v Dallasu potekala konferenca TakeDownCon 2011, kjer raziskovalci predstavljajo odkrite ranljivosti v sistemih ter razpravljajo o izboljšavah in pristopu k večji varnosti. Za sredo je bila napovedana tudi predstavitev varnostnih pomanjkljivosti v Siemensovih industrijskih kontrolnih procesih SCADA (ki se uporabljajo za nadzor in krmiljenje industrijskih procesov, recimo zloglasnih centrifug, ki jih je prizadel Stuxnet). Pripravljala sta jo Brian Meixell in Dillon Beresford iz NSS Labs, pa sta se v zadnjem trenutku odločila, da jo zaradi prevelike nevarnosti odpovesta.

Meixell in Beresford poudarjata, da jima ni nihče grozil ali na vrata pošiljal odvetnikov. O odkritih ranljivostih sta razpravljala s Siemensom in ameriško Službo za domovinsko varnost (DHS), ki sta jih opozorila na morebitne posledice razkritja. Siemens je sicer pripravil popravek, ki pa ni bil uspešen. Zato sta se odločila, da odkritja ne predstavita, dokler Siemens ne zakrpa sistemov SCADA. Pri tem ponavljata, da informacija ne bo zakopana, ampak je zgolj začasno zadržana pred javnostjo. Odločitev je po njunih besedah avtonomna, saj Siemens in DHS naj ne bi bila zahtevala odpovedi predavanja.

11 komentarjev

borisk ::

Meixell in Beresford poudarjata, da jima ni nihče grozil ali na vrata pošiljal odvetnikov.


Ja, sej verjamemo

antonija ::

saj Siemens in DHS naj ne bi bila zahtevala odpovedi predavanja.
Pri Siemensu bi seveda bili navduseno nad objavo luknje ki je ne znajo zaflikati.
Statistically 3 out of 4 involved usually enjoy gang-bang experience.

Tear_DR0P ::

obstajajo ogovorni hekerji, ki nočejo razkrivati velikih nevarnosti, dokler so ranljive
"Figures don't lie, but liars figure."
Samuel Clemens aka Mark Twain

mjk ::

obstajajo pa tudi hekerji z računov v tuji državi ... verjetno je Simens tole kar plačal -- pa sej tako delajo white hat-i :P

klavdijL ::

če so jima plačal še toliko boljše... imtat fanta vsaj kaj od tega ... sicer se pa strinjam, da se takih ranljivosti ne odkriva, dokler ni popravka - saj lahko z odkritjem prizadeneš nedolžen folk, ki nima nič zraven (edit: ja tud luknja v Os lahko prizadane nodolžen folk, ampak ne v tej meri, tako da upam da je razlika očitna)

Zgodovina sprememb…

  • spremenilo: klavdijL ()

bzp ::

Se bojim da v industriji, tudi teoretično zakrpana ranljivost predstavlja ogromno nevarnost. Ker mora večina zadev laufati čimbolj brez prekinitev in ker se upgrade-i praviloma nameščajo tako, da pridejo tehniki od Siemensa fizično na lokacijo in se vse skupaj za kak dan ali dva ugasne - kar je avtomatsko >5k EUR račun Siemensa + stroški neobratovanja.

borisk ::

bzp je izjavil:

Se bojim da v industriji, tudi teoretično zakrpana ranljivost predstavlja ogromno nevarnost. Ker mora večina zadev laufati čimbolj brez prekinitev in ker se upgrade-i praviloma nameščajo tako, da pridejo tehniki od Siemensa fizično na lokacijo in se vse skupaj za kak dan ali dva ugasne - kar je avtomatsko >5k EUR račun Siemensa + stroški neobratovanja.



Hmm, js sm kupil krmilnik brez stranskih vrat, da lahko nemoteno obogatujem uran, zato update zahtevam na njihove stroške +izpad proizvodne :))

Zgodovina sprememb…

  • spremenil: borisk ()

gruntfürmich ::

bzp je izjavil:

Se bojim da v industriji, tudi teoretično zakrpana ranljivost predstavlja ogromno nevarnost. Ker mora večina zadev laufati čimbolj brez prekinitev in ker se upgrade-i praviloma nameščajo tako, da pridejo tehniki od Siemensa fizično na lokacijo in se vse skupaj za kak dan ali dva ugasne - kar je avtomatsko >5k EUR račun Siemensa + stroški neobratovanja.


...ali pa se ne zakrpa, imho. tko da bolje, da take stvari ne gredo v javnost, ampak naj gre v javnost samo opozorilo da obstaja luknja, ki je nevarna in naj se odgovorni čim prej zmigajo.
"Namreč, da gre ta družba počasi v norost in da je vse, kar mi gledamo,
visoko organizirana bebavost, do podrobnosti izdelana idiotija."
Psiholog HUBERT POŽARNIK, v Oni, o smiselnosti moderne družbe...

ingo ::

razpravljala s Siemensom in ameriško Službo za domovinsko varnost (DHS)


Sem že enkrat omenil, kako v ameriki pri vseh ''nacionalno pomembnih'' zadevah, v senci stojijo razne agencije, pa so bili eni precej skeptični! V svobodnem tržnem kapitalizmu pa ja lahko vsak dela biznis! Itak! :P

amigo_no1 ::

DHS ima v US kar huda pooblastila oz. veliko drugih pomembnih agencij pod seboj.Ni čudno da sta si "premislila" ;((.

Osprey ::

bzp je izjavil:

Ker mora večina zadev laufati čimbolj brez prekinitev in ker se upgrade-i praviloma nameščajo tako, da pridejo tehniki od Siemensa fizično na lokacijo in se vse skupaj za kak dan ali dva ugasne - kar je avtomatsko >5k EUR račun Siemensa + stroški neobratovanja.


A ja? A to pomen, da jaz delam za petino njihove cene? In tudi pri ostalem malo pretiravaš, no ja, mogoče v primeru res velikih zadev, na splošno pa prav gotovo ne.

Zgodovina sprememb…

  • spremenilo: Osprey ()


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

Siemens popravil del napak v sistemih SCADA

Oddelek: Novice / Varnost
53126 (2237) borisk
»

Raziskovalca umaknila predavanje o ranljivosti sistemov SCADA

Oddelek: Novice / Varnost
113239 (2421) Osprey
»

Pisci Stuxneta bodisi površni bodisi nevešči

Oddelek: Novice / Omrežja / internet
378744 (5516) Jst
»

Črv Stuxnet napadal iranski jedrski program?

Oddelek: Novice / Varnost
268347 (6342) WarpedGone

Več podobnih tem