औद्योगिक प्रणालियों के लिए कंप्यूटर खतरा अब और अधिक गंभीर

एक सुरक्षा शोधकर्ता ने कोड प्रकाशित किया है जिसका उपयोग औद्योगिक मशीनरी का प्रबंधन करने के लिए उपयोग किए जाने वाले कंप्यूटरों का नियंत्रण लेने के लिए किया जा सकता है, जो संभवतः हैकर्स उपयोगिता कंपनियों, पानी के पौधों और यहां तक ​​कि तेल और गैस रिफाइनरी में बैक दरवाजा भी दे सकता है।

सॉफ़्टवेयर देर से शुक्रवार की रात प्रकाशित हुआ था केविन फिनिस्टरर द्वारा, एक शोधकर्ता ने कहा था कि वह इन प्रणालियों में कमजोरियों के बारे में जागरूकता बढ़ाना चाहता है, जो समस्याएं उनके द्वारा सॉफ़्टवेयर विक्रेताओं द्वारा अक्सर उल्लिखित की जाती हैं। "इन विक्रेताओं को वे सॉफ्टवेयर का उत्पादन करने के लिए जिम्मेदार नहीं ठहराया जा रहा है," फ़िन्स्टरर ने कहा, जो सुरक्षा परीक्षण फर्म नेटरागार्ड के साथ अनुसंधान के प्रमुख हैं "वे अपने ग्राहकों से कह रहे हैं कि कोई समस्या नहीं है, तब तक यह सॉफ्टवेयर महत्वपूर्ण बुनियादी ढांचे का संचालन कर रहा है।"

फाइनिस्ट्रे ने अपना हमला कोड मेटासप्लोइट के लिए सॉफ्टवेयर मॉड्यूल के रूप में जारी किया, जो व्यापक रूप से इस्तेमाल किया हैकिंग उपकरण है। मेटासप्लोइट के साथ एकीकृत करके, फ़िन्स्टेस्टर ने अपना कोड इस्तेमाल करना आसान बना दिया है, सुरक्षा विशेषज्ञों ने कहा। पीएजी और ई में सूचना सुरक्षा के प्रबंधक, सेठ ब्रोमबर्गर ने कहा, "मेटासप्लोइट के साथ शोषण को जोड़कर हमलों के लिए लोगों का व्यापक स्पेक्ट्रम मिल जाता है" "अब यह सब लेता है मेटासप्लोइट डाउनलोड कर रहा है और आप हमला शुरू कर सकते हैं।"

[और पठन: अपने विंडोज पीसी से मैलवेयर कैसे हटाया जाए]

कोड ने सिनेटेक्ट के सीटेक्टएससीएडीए सॉफ़्टवेयर में एक दोष का फायदा उठाया जो मूल रूप से कोर द्वारा खोजा गया था। सुरक्षा टेक्नोलॉजीज और जून में सार्वजनिक किया। जब पहली बार यह खुलासा किया गया था, तो सेंटेक्ट ने एक पैच को रिलीज़ किया, और सॉफ्टवेयर विक्रेता ने कहा है कि यह मुद्दा केवल उन कंपनियों के लिए एक जोखिम पैदा करता है जो फ़ायरवॉल सुरक्षा के बिना इंटरनेट पर सीधे अपनी सिस्टम से जुड़ते हैं, कुछ ऐसा जानबूझकर नहीं किया जा सकता है शिकार पर काम करने के लिए सीटेक्टएससीएडीए उत्पाद के भीतर एक विशेष डेटाबेस सुविधा को सक्षम करना होगा।

इस तरह के औद्योगिक SCADA (पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण) प्रक्रिया नियंत्रण उत्पादों को परंपरागत रूप से प्राप्त करना और विश्लेषण करना मुश्किल हो गया है, जिससे हैकर्स के लिए उन्हें सुरक्षा कीड़े की जांच करना मुश्किल है, लेकिन हाल के वर्षों में अधिक से अधिक SCADA सिस्टमों को विंडोज या लिनक्स जैसे प्रसिद्ध ऑपरेटिंग सिस्टम के ऊपर बनाया गया है जिससे उन्हें सस्ता और हैक करने में आसान बना दिया गया है।

आईटी सुरक्षा विशेषज्ञ जल्दी और अक्सर पैचिंग सिस्टम में इस्तेमाल होता था, लेकिन औद्योगिक कंप्यूटर सिस्टम पीसी की तरह नहीं होते क्योंकि एक जल संयंत्र या बिजली व्यवस्था के साथ डाउनटाइम में तबाही हो सकती है, इंजीनियरों सॉफ्टवेयर परिवर्तन करने या पैचिंग के लिए कंप्यूटर को ऑफ लाइन भी लाने में नाखुश हो सकती हैं।

इस अंतर ने आईटी पेशेवरों जैसे फाइनिस्टरर के बीच असहमति की है, सुरक्षा कमजोरियों को डाउनप्लेड किया जा रहा है, और उद्योग इंजीनियरों को इन सिस्टमों को चलाना रखने का आरोप लगाया गया है बॉब रडवाव्स्की, एक स्वतंत्र शोधकर्ता, जो एक SCADA सुरक्षा ऑनलाइन चर्चा सूची चलाती है जिसमें इस पर कुछ गर्म चर्चाएं हुईं हैं, "हमारे पास प्रक्रिया नियंत्रण इंजीनियरों और आईटी लोगों के बीच अभी चल रहे एक संस्कृति संघर्ष का थोड़ा सा हो रहा है" विषय।

सिटेक्ट ने कहा कि यह किसी भी ऐसे ग्राहक के बारे में नहीं सुना है जो इस दोष के कारण हैक किए गए थे। लेकिन कंपनी मंगलवार को जारी एक बयान में (पीडीएफ), एक बयान में, नए सुरक्षा सुविधाओं के साथ जल्द ही एक नया संस्करण रिलीज करने की योजना बना रहा है।

यह रिहाई किसी भी जल्द ही नहीं आएगी, क्योंकि फ़िन्स्टेस्टर का मानना ​​है कि अन्य समान हैं, कोडिंग CitectSCADA सॉफ्टवेयर में गलतियाँ।

और जब SCADA सिस्टम पौधों के भीतर अन्य कंप्यूटर नेटवर्क से अलग हो सकते हैं, तब भी उनका उल्लंघन हो सकता है। उदाहरण के लिए, 2003 के शुरुआती दिनों में, एक ठेकेदार ने डेविस-बेस्से परमाणु ऊर्जा संयंत्र को एसक्यूएल स्लैमर कीड़ा से संक्रमित किया।

"इन प्रणालियों को चलाने वाले बहुत से लोग महसूस करते हैं कि वे पारंपरिक नियमों के अनुसार बाध्य नहीं हैं आईटी, "फिनस्टर ने कहा। "उनका उद्योग सामान्य रूप से हैकिंग और हैकर्स से बहुत परिचित नहीं है।"