網絡研究人員敦促水務和石油公用事業修復弱點 - 彭博社

Jake Bleiberg

2024-08-08

2023年3月2日，星期四，美國德克薩斯州米德蘭的一座石油鑽井平台。

攝影師：塞爾吉奧·弗洛雷斯/彭博社根據網絡安全公司Censys Inc.首次提供給彭博新聞的研究，數百個用於控制水、石油、農業和其他美國工業的數字系統在開放互聯網中容易受到外部干擾。

經過數月的互聯網掃描，Censys研究人員發現全國超過430個工業機械的軟件控制系統可以在線訪問，其中超過一半沒有保護措施來驗證使用者身份。

該項目的首席研究員艾米莉·奧斯丁警告説，操控這些技術是多麼簡單。她説，如果你知道在哪裏尋找，你可以使用簡單的網頁瀏覽器訪問這些系統。

“在許多情況下，這些系統沒有任何形式的身份驗證保護，”奧斯丁告訴彭博社。“沒有密碼。它們實際上就坐落在公共互聯網中，任何偶然發現它們的人都可以隨意操控。”

這些發現更全面地反映了許多美國關鍵基礎設施在網絡攻擊面前的脆弱性，此時黑客——其中一些與美國對手有關——一直在針對美國龐大的水務網絡。

政府和公司使用Censys在線發現的這類軟件控制，稱為人機界面，作為運行工業系統的儀表板，涵蓋從水壩和水泵到電力變電站和油井的各種設施。

美國人可能會醒來發現他們的淋浴無法使用，或者油井停機，Censys首席執行官布拉德·布魯克斯在一次採訪中表示。黑客可以訪問並操控那些未受到保護的系統，他説。

沒有跡象表明外部人員大規模劫持了這些技術，但確實有黑客操控它們的實例。

除了人機界面，Censys的審查發現大約有18,000個通常用於工業控制的系統在美國暴露於開放互聯網。

公用事業可以成為軟目標的事實在一月份得到了強調，當時黑客侵入了德克薩斯州的小社區的水系統，導致一個城市的水箱溢出。一個名為“CyberArmyofRussia_Reborn”的團體對此次入侵負責，美國官員多次警告國家黑客可能對關鍵領域進行攻擊，如國防、堤壩、能源、金融服務和水系統。Censys能夠識別出大約三分之一在開放互聯網中發現的人機界面的所有者，因為他們恰好有帶有標誌或獨特域名的網站。奧斯汀表示，該公司在二月份向這一羣體發送了通知。但在幾乎沒有回應後，她説，公司在春季將這一工作移交給了美國環境保護局。

美國環保署發言人表示，該機構識別出了潛在的水系統IP地址。官員們成功聯繫了相關設備操作員，分享了有關安全問題的細節。

“作為回應，這些系統中的幾個已經成功減輕了漏洞，”該機構在一份聲明中表示。“環保署將繼續評估並教育脆弱的公用事業，幫助其改善網絡安全實踐。”

該機構最近增加了對水務公用事業網絡準備情況的檢查。

去年，環保署放棄了要求各州評估水設施網絡防禦的計劃。三州的共和黨立法者稱這一監管行為非法，指責環保署越權。

我們本週學到的

美國密歇根州蘭辛市投票站的投票亭。攝影師：Emily Elconin/Bloomberg隨着美國人準備在11月投票，身體暴力成為選舉安全官員的首要關注點，US網絡安全和基礎設施安全局的即將離任的執行董事Brandon Wales表示。

CISA是國土安全部的一個單位，今年已在選舉辦公室和投票亭進行了超過600次的物理安全評估。Wales表示，官員們討論了在投票地點周圍安裝更多攝像頭和阻止車輛攻擊的障礙物。

選舉工作人員也正在接受去升級培訓，以應對在選舉辦公室或投票站可能爆發暴力的場景，或在活躍的槍擊事件中。

“我們還討論他們與當地執法部門的聯繫。他們是否建立了正確的關係，以便在需要幫助時，雙方都知道該期待什麼？”威爾士告訴彭博新聞。

CISA自2017年以來還對選舉網絡進行了數百次網絡安全評估。這些測試涉及檢查漏洞、掃描數字風險，並嘗試在黑客之前發現任何弱點，他説。

威爾士在政府工作超過20年後離開CISA。他的最後一天是8月14日。 — 傑米·塔拉拜

我們正在閲讀的內容

烏克蘭執法部門逮捕了一名嫌疑人，他涉嫌縱火警車並在線向俄羅斯宣傳其他“服務”。
疑似中國黑客襲擊了一個台灣研究中心。
達美航空表示，CrowdStrike 的故障對美國隊的旅行計劃造成了嚴重影響。
關於大規模囚犯交換的扣人心絃的故事，使埃文·格爾什科維奇獲釋。
俄羅斯黑客弗拉基斯拉夫·克柳辛，作為囚犯交換的一部分被美國送回家，據信掌握有關2016年選舉干預的秘密。這是關於他的權威故事。
《界限》 播客探討了軍事行動與戰爭罪之間的道德和法律界限，美國海豹突擊隊是敍述的中心。
英國的最臭名昭著的犯罪是否以錯誤定罪告終？

釣魚已去

**有新聞提示嗎？**您可以聯繫傑夫·斯通 [email protected]。您還可以使用我們的 SecureDrop 安全且匿名地發送文件。

我們本週學到的

我們正在閲讀的內容

釣魚已去

更多來自彭博社