通过对120多个管理发电厂、炼油厂和其他关键国家基础设施的网络和系统的安全进行评估分析,Red Tiger Security公司发现了数以万计的安全漏洞、过时的操作系统和未经授权的应用。
Red Tiger Security 是一家专门从事国家关键基础设施安全的公司,其创始人兼首席顾问Jonathan Pollet在周三的黑帽大会2010上指出并分析了此次评估(这项评估历经了九年的时间)。Pollet说,维护关键基础设施的公司必须提高其安全性。
Pollet说,“我希望我们的消息可以给大家一些警示。”
虽然运行监控和数据采集系统(SCADA)的公司经常声称这些系统是安全的,因为他们与外部世界是断开的,并被许多物理和技术安全控制所包围,但是,Pollet的评估分析结果显示事实正好相反。
Pollet说,一些设施在计算机上运行Windows 95,并且运行设施所需的关键机器还安有未经授权的软件,从点对点应用到游戏到色情。
Pollet说,许多未经授权的软件中含有主要缺陷,其中包括用于连接到互联网的下载程序。我们还发现许多应用程序被连接到游戏软件的服务器、成人影片目录脚本和网上约会服务数据库。在一个设施中,安全专家发现其核心运作机器安装有流行的Counter Strike游戏,它还连接到一个外部服务器。
“不需要零日漏洞,” Pollet说,“已经有很多方式能使系统陷入风险。” 联邦政府近几年来越来越多的考虑关键基础设施和SCADA系统的安全性问题。由McAfee公司和美国战略与国际研究中心(CSIS)发表的一份报告指出,许多发达国家的关键基础设施的安全问题亟需改善。该报告调查了600名IT和安全管理人员,三分之二的受访者承认,他们的SCADA系统已连接到IP网络或互联网,存在一些没有解决的安全问题。
Pollet发现,一些中央SCADA系统可以通过它们所连接的业务系统来访问。其他的攻击是由配置问题、防火墙程序不当和安全系统维护不善导致的。Pollet称SCADA系统和业务系统之间的区域为非军事区(DMZ),一个“无人地带”,其中企业IT专业人士不知道如何管理SCADA系统操作数据,而SCADA运营商则认为其他人在管理基础设施。大约有一半的安全漏洞(18000个)在中间层被发现。
许多漏洞包含在Web服务器、业务应用程序,以及和它们连接的数据库服务器上。大多数系统都遭受常见错误,容易受到SQL注入、跨站点脚本和拒绝服务攻击。超过一半的系统(62%)在基于微软的操作系统上运行。红帽Linux系统占11%。
更糟糕的是,Pollet发现漏洞向公众披露的时间与控制系统操作人员发现这个漏洞的时间相差近一年(330天)。在某些情况下,运营商甚至会花更长的时间来部署一个修补程序,因为一些系统不容许脱机,而其他的设施太重要而不能去冒险安装补丁程序(可能会破坏关键程序)。
北美电力可靠性公司(NERC)维护关键基础设施保护标准,独立组织国际自动化协会维护类似的标准(ISA S99)。Pollet说,这两个标准提供了一个共同的安全框架,可以用来改善设施的安全。