信息化觀察網(wǎng)

近日，以色列安全研究公司Security Joes發(fā)現(xiàn)，全球100多個(gè)地方安裝的Mottech Water Management公司的智能灌溉系統(tǒng)沒有更改出廠默認(rèn)密碼，這些聯(lián)網(wǎng)設(shè)備很容易受到黑客的惡意攻擊。

研究人員立即向以色列CERT，受影響的公司以及智能灌溉系統(tǒng)供應(yīng)商Mottech Water Management發(fā)出警報(bào)。

Mottech公司的系統(tǒng)可以通過臺(tái)式機(jī)和手機(jī)對(duì)農(nóng)業(yè)和草皮/園林綠化設(shè)施進(jìn)行實(shí)時(shí)控制和灌溉監(jiān)控。傳感器網(wǎng)絡(luò)允許將水和肥料靈活，實(shí)時(shí)地分配給系統(tǒng)中的不同閥門。攻擊者訪問網(wǎng)絡(luò)可能導(dǎo)致灌溉系統(tǒng)淹沒田地或過量施肥，造成嚴(yán)重?fù)p失。

Security Joes的聯(lián)合創(chuàng)始人伊多·納爾（Ido Naor）表示，公司會(huì)定期在互聯(lián)網(wǎng)上掃描以色列的開放設(shè)備以檢查漏洞。最近，其研究人員發(fā)現(xiàn)，開放的互聯(lián)網(wǎng)上可以看到以色列境內(nèi)的55個(gè)灌溉系統(tǒng)，而沒有密碼保護(hù)。擴(kuò)大搜索范圍后，他們發(fā)現(xiàn)了50個(gè)其他國(guó)家/地區(qū)的無保護(hù)設(shè)備，分布在法國(guó)、韓國(guó)、瑞士和美國(guó)等國(guó)家/地區(qū)。

“我們正在談?wù)摰氖浅墒斓墓喔认到y(tǒng)，它們可能是整個(gè)城市，”Naor說。“我們不會(huì)仔細(xì)查看灌溉系統(tǒng)的具體地址，因?yàn)槲覀儾幌朐斐扇魏温闊?rdquo;

Naor透露，在最后一次檢查中，到目前為止，只有大約20％的已識(shí)別脆弱灌溉設(shè)備采取了緩解措施來保護(hù)它們。

以色列的供水系統(tǒng)曾遭攻擊

灌溉和供水系統(tǒng)的安全性問題不是杞人憂天，尤其是在以色列。據(jù)《以色列時(shí)報(bào)》報(bào)道，去年四月伊朗對(duì)以色列水系統(tǒng)發(fā)起網(wǎng)絡(luò)攻擊，試圖增加水中的氯含量以毒害平民，并最終中斷水供應(yīng)。

據(jù)以色列時(shí)報(bào)報(bào)道，該國(guó)國(guó)家網(wǎng)絡(luò)管理局局長(zhǎng)伊加爾·烏納（Yigal Unna）在5月下旬的亞洲CybertechLive會(huì)議上發(fā)出警告，即對(duì)人民的直接網(wǎng)絡(luò)攻擊掀開了網(wǎng)絡(luò)戰(zhàn)的新篇章。

報(bào)告說：“網(wǎng)絡(luò)冬季到來的速度比我想象的還要快，”他在會(huì)議上說，“我們才剛剛開始。”

七月的幾周后，以色列水務(wù)局表示，它能夠制止對(duì)以色列的農(nóng)業(yè)用水泵的襲擊以及對(duì)“國(guó)家中部”供水基礎(chǔ)設(shè)施的襲擊。

Naor說，這次發(fā)現(xiàn)的沒有密碼保護(hù)的灌溉系統(tǒng)與以前的攻擊無關(guān)。

目標(biāo)鎖定以色列以外的公用事業(yè)

水系統(tǒng)的漏洞當(dāng)然不僅限于以色列。

上個(gè)月，研究人員發(fā)現(xiàn)了CodeMeter的六個(gè)嚴(yán)重漏洞，該設(shè)備用于為美國(guó)的工業(yè)系統(tǒng)（包括水和電力設(shè)施）供電，可被利用來發(fā)起攻擊甚至允許第三方接管系統(tǒng)。

整個(gè)夏天，研究人員發(fā)現(xiàn)，用于在工業(yè)環(huán)境中遠(yuǎn)程訪問運(yùn)營(yíng)技術(shù)（OT）網(wǎng)絡(luò)的VPN使現(xiàn)場(chǎng)設(shè)備容易受到攻擊，這可能會(huì)導(dǎo)致關(guān)機(jī)甚至造成物理?yè)p壞。

政府正在努力跟上整個(gè)關(guān)鍵基礎(chǔ)設(shè)施系統(tǒng)中物聯(lián)網(wǎng)（IoT）設(shè)備的增長(zhǎng)。在美國(guó)，眾議院于9月通過了立法，規(guī)定了聯(lián)邦政府內(nèi)部對(duì)IoT設(shè)備的最低要求。

Naor指出，制定物聯(lián)網(wǎng)設(shè)備的最低安全標(biāo)準(zhǔn)是關(guān)鍵基礎(chǔ)架構(gòu)保障的重要一步。他補(bǔ)充說，運(yùn)營(yíng)商需要認(rèn)真對(duì)待安全性，兩因素身份驗(yàn)證應(yīng)該是從移動(dòng)設(shè)備訪問這些物聯(lián)網(wǎng)系統(tǒng)的最低要求。