警惕從空調系統潛入公司的黑客
責編:admin |2014-04-29 10:54:39 黑客們無法侵入一家大型石油公司的電腦網絡,于是在這家石油企業的員工中廣受歡迎的一家中餐館的網上菜單里植入了惡意軟件。員工們瀏覽菜單時,不經意間下載了代碼,讓黑客在該公司龐大的計算機網絡中找到了突破口。
被召來解決問題的安全專家不準透露入侵事件的相關細節,但該事件帶來了非常明顯的教訓:努力 鎖系統,防止黑客和政府監控人員入侵的公司,可能需要查看那些最不可能受到攻擊的地方。
最近盜取塔吉特(Target)付款卡片信息的黑客們,通過其供暖及制冷系統獲取了該零售商店的數據。在其他案例中,黑客們利用打印機、恒溫器和視頻會議設備獲取過信息。
公司總是需要保持警惕,防患于未然——電子郵件和存在漏洞的員工設備是個老問題,但現在情況變得日益復雜、緊迫,因為有數不勝數的第三方取得了訪問公司系統的權限。進入系統的通路包括控制著公司所需的各種服務的軟件系統:如供暖、通風、空調系統;賬單、開支、人力資源管理系統;圖表及數據分析系統;醫療保險公司,甚至自動售貨機。
只要能夠侵入一個系統,就有機會侵入所有系統。
網絡安全公司FlowTraq首席執行官文森特·伯克(Vincent Berk)表示,“我們總是遇到這樣的狀況,遠程接入的外部服務提供者,擁有打開城堡大門的鑰匙。”
很難確定有多大比例的網絡攻擊,與存在漏洞的第三方有關,這在很大程度上是因為受害企業的律師會尋找各種理由,阻止入侵事件的公開。但安全研究公司波耐蒙研究所(Ponemon Institute)去年對全球逾3500名IT及網絡安全從業者開展了調查,結果發現大約四分之一(23%)的入侵事件都可以歸咎于第三方的疏忽。
安全專家表示,這個數字太低。馬薩諸塞州伯靈頓的網絡安全公司Arbor Networks的戰略副總裁阿拉貝拉·哈拉韋爾(Arabella Hallawell)估計,該公司檢查到的入侵事件中約有70%與第三方供應商有關。
哈拉韋爾表示,“通常是人們永遠都不會懷疑的那些供應商。”
通過中餐館菜單入侵是一種非常極端的手段。這種被稱為“水坑式”攻擊的手段,相當于網上捕食——捕食者藏在水坑邊,等口渴的獵物到來時將其撲倒。安全研究人員表示,在大多數情況下,由于各種設備的管理軟件直接連接到了公司網絡,攻擊者幾乎不需要如此大費周章。供暖和制冷服務提供商現在可以遠程調節辦公室的溫度,自動售貨機供貨商也可以查看健怡可樂(Diet Coke)和奇多(Cheetos)何時售完。這些供應商并沒有維持與客戶相同的安全標準,但出于商業原因,它們并沒有被攔在保護網絡的防火墻之外。
安全專家表示,對于黑客來說,供應商是非常誘人的目標,因為它們往往運行比較舊的系統,比如微軟(Microsoft)的Windows XP軟件。安全專家還表示,這些看似無害的設備,如視頻會議設備、恒溫器、自動售貨機和打印機,在交貨時安全設置通常是默認關閉的。一旦黑客們找到一條入侵的渠道,這些設備就會成為他們在光天化日之下進行隱藏的地方。
“好處就是沒人會查看那些地方,”安全公司Crowdstrike首席執行官喬治·庫爾茨(George Kurtz)說。“因此,對手很容易藏在這些地方。”
去年,安全研究人員發現了一條入侵的途徑,可以通過樓宇管理服務商進入谷歌(Google)在澳大利亞悉尼的總部和悉尼北岸私立醫院(North Shore Private),并侵入其通風、照明設備和攝像頭。后來,上述研究人員又發現他們可以通過供暖和制冷服務商侵入索契奧運會一座運動場里的斷路器。
幸運的是,研究人員只是對那些可能被真正的黑客利用的漏洞進行檢測。
上述研究人員中包括安全公司科力斯(Qualys)的威脅情報主管比利·里奧斯(Billy Rios)。他表示,一種越來越常見的做法是,公司草率地建立起網絡,并將空調系統接入其中,而存儲著專有源代碼或客戶信用卡信息等敏感資料的數據庫也處在同一個網絡中。
里奧斯表示,“空調系統不應該與人力資源數據庫通訊,但出于某些原因,過去沒人討論這個問題。”