黑帽大會：SCADA系統安全就像一顆“定時炸彈”

通過對120多個管理髮電廠、煉油廠和其他關鍵國家基礎設施的網路和系統的安全進行評估分析，Red Tiger Security公司發現了數以萬計的安全漏洞、過時的作業系統和未經授權的應用。

Red Tiger Security 是一家專門從事國家關鍵基礎設施安全的公司，其創始人兼首席顧問Jonathan Pollet在週三的黑帽大會2010上指出並分析了此次評估（這項評估歷經了九年的時間）。Pollet說，維護關鍵基礎設施的公司必須提高其安全性。

Pollet說，“我希望我們的訊息可以給大家一些警示。”

雖然執行監控和資料採集系統（SCADA）的公司經常聲稱這些系統是安全的，因為他們與外部世界是斷開的，並被許多物理和技術安全控制所包圍，但是，Pollet的評估分析結果顯示事實正好相反。

Pollet說，一些設施在計算機上執行Windows 95，並且執行設施所需的關鍵機器還安有未經授權的軟體，從點對點應用到遊戲到色情。

Pollet說，許多未經授權的軟體中含有主要缺陷，其中包括用於連線到網際網路的下載程式。我們還發現許多應用程式被連線到遊戲軟體的伺服器、成人影片目錄指令碼和網上約會服務資料庫。在一個設施中，安全專家發現其核心運作機器安裝有流行的Counter Strike遊戲，它還連線到一個外部伺服器。

“不需要零日漏洞，” Pollet說，“已經有很多方式能使系統陷入風險。” 聯邦政府近幾年來越來越多的考慮關鍵基礎設施和SCADA系統的安全性問題。由McAfee公司和美國戰略與國際研究中心（CSIS）發表的一份報告指出，許多已開發國家的關鍵基礎設施的安全問題亟需改善。該報告調查了600名IT和安全管理人員，三分之二的受訪者承認，他們的SCADA系統已連線到IP網路或網際網路，存在一些沒有解決的安全問題。

Pollet發現，一些中央SCADA系統可以通過它們所連線的業務系統來訪問。其他的攻擊是由配置問題、防火牆程式不當和安全系統維護不善導致的。Pollet稱SCADA系統和業務系統之間的區域為非軍事區（DMZ），一個“無人地帶”，其中企業IT專業人士不知道如何管理SCADA系統運算元據，而SCADA運營商則認為其他人在管理基礎設施。大約有一半的安全漏洞（18000個）在中間層被發現。

許多漏洞包含在Web伺服器、業務應用程式，以及和它們連線的資料庫伺服器上。大多數系統都遭受常見錯誤，容易受到SQL隱碼攻擊、跨站點指令碼和拒絕服務攻擊。超過一半的系統（62％）在基於微軟的作業系統上執行。紅帽Linux系統佔11％。

更糟糕的是，Pollet發現漏洞向公眾披露的時間與控制系統操作人員發現這個漏洞的時間相差近一年（330天）。在某些情況下，運營商甚至會花更長的時間來部署一個修補程式，因為一些系統不容許離線，而其他的設施太重要而不能去冒險安裝補丁程式（可能會破壞關鍵程式）。

北美電力可靠性公司（NERC）維護關鍵基礎設施保護標準，獨立組織國際自動化協會維護類似的標準（ISA S99）。Pollet說，這兩個標準提供了一個共同的安全框架，可以用來改善設施的安全。