शोधकर्ताओं को सैकड़ों असुरक्षित भवन नियंत्रण प्रणाली मिलती हैं

घुसपैठियों वेंटिलेशन नलिकाओं के माध्यम से रेंगते थे। अब वे वेंटिलेशन को नियंत्रित करने वाले सॉफ़्टवेयर का उपयोग करने में टूट जाते हैं।

ऑस्ट्रेलिया भर में सैकड़ों संगठन रोशनी, हीटिंग और कूलिंग, एक्सेस कंट्रोल और यहां तक ​​कि लिफ्टों को नियंत्रित करने के लिए पुराने औद्योगिक नियंत्रण प्रणाली (आईसीएस) का उपयोग कर रहे हैं।

इमारतों का प्रबंधन करने के लिए इंटरनेट का उपयोग करना सुविधाजनक है, लेकिन यह हैकर्स के लिए नए अवसर पेश करते हुए, एक तेज कीमत पर आ सकता है।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

"कंपनियों को कोई जानकारी नहीं है वर्जीनिया के रेस्टोन में एक सुरक्षा कंपनी, साइंस के लिए तकनीकी और परामर्श निदेशक बिली रियोस ने कहा, "यह इंटरनेट भी सुलभ है।"

रियोस और एक अन्य साइंस तकनीकी निदेशक टेरी एस मैककोर्ले जूनियर ने इस सप्ताह के शुरू में खुलासा किया कि इनमें से एक सिडनी में Google के कार्यालयों ने ट्रिडियम के नियाग्राक्स प्लेटफ़ॉर्म का उपयोग सुरक्षा भेद्यता के साथ किया था जो उन्हें हीटिंग को क्रैंक करने की अनुमति दे सकता था।

रिचमंड, वी में स्थित हनीवेल सहायक ट्रिडियम द्वारा बनाई गई नियाग्राक्स प्लेटफॉर्म के 230,000 से अधिक उदाहरण irginia, दुनिया भर में चल रहे हैं।

जावा-आधारित ढांचे को स्वचालित सुरक्षा और बिजली प्रणालियों, प्रकाश व्यवस्था और दूरसंचार को नियंत्रित करने वाले अनुप्रयोगों की नींव के रूप में उपयोग किया जाता है।

Cylance को शोडन का उपयोग करके Google की कमजोर प्रणाली मिली, एक खोज इंजन जिसे किसी भी खोजने के लिए डिज़ाइन किया गया है इंटरनेट से कनेक्ट डिवाइस, रेफ्रिजरेटर से लेकर सीसीटीवी कैमरों तक आईफोन और पवन टरबाइन तक।

शोडन की एक खोज से पता चलता है कि ऑस्ट्रेलिया में संयुक्त राज्य अमेरिका और कनाडा के पीछे सक्रिय इंटरनेट-सामना करने वाली नियाग्राक्स प्रणाली की तीसरी सबसे अधिक संख्या है। गुरुवार की सुबह के रूप में 658 सिस्टम। सिडनी में 100 से अधिक स्थित हैं।

अपने शोध में, मैककोर्ले ने कहा कि आमतौर पर नियाग्राक्स सिस्टम के तीन-चौथाई पुराने सॉफ्टवेयर चलाते हैं। उन नए संस्करणों में अक्सर कमजोरियां होती हैं। साइलांस ने नियागैक्स में समस्याएं पाई हैं जो सबसे बुरी तरह से उन्हें हार्डवेयर सिस्टम पर सॉफ़्टवेयर नियंत्रणों को ओवरराइड करने की अनुमति देगी।

उदाहरण के लिए, यहां तक ​​कि अगर एक हीटिंग सिस्टम को कमरे के तापमान को सीमित करने के लिए प्रोग्राम किया जाता है, तो रियोस ने कहा कि नियाग्राक्स में मिली भेद्यताओं में से एक को अनुमति होगी उन्हें ओवरराइड करने के लिए।

Google के मामले में, "ट्रिडियम ने एक सुरक्षा पैच जारी किया था जो घुसपैठ को रोकता था-लेकिन साइट पर उपयोग में नायागैक्स प्रणाली पर पैच लागू नहीं किया गया था," ट्रिडियम के उपाध्यक्ष जेनी ग्रेव्स ने लिखा एक ईमेल में विपणन संचार के लिए अध्यक्ष।

नियाग्राक्स मंच आमतौर पर सिस्टम इंटीग्रेटर्स नामक अन्य कंपनियों द्वारा स्थापित और रखरखाव किया जाता है।

"ऐसा लगता है जैसे इंटीग्रेटर्स इन उपकरणों को पैच नहीं कर रहे हैं," रियोस ने कहा। "समस्या यह है कि पैच इंटरनेट पर डिवाइस पर लागू नहीं हो रहा है, और यह इंटीग्रेटर की ज़िम्मेदारी है।"

कब्रों ने कहा कि ट्रिडियम जारी है "सेमिनार, मंचों और समस्याओं के माध्यम से समस्या को हल करने के लिए हमारे सिस्टम इंटीग्रेटर्स और ग्राहकों के साथ काम करना जारी रखता है। सुरक्षा सर्वोत्तम प्रथाओं के बारे में ऑनलाइन प्रशिक्षण। "

Google की प्रणाली के साथ, यह इंटीग्रेटर भी दिखाई देता है, जिसे कंट्रोलवर्क्स नामक एक कंपनी, वेब-आधारित नियंत्रण कक्ष के लिए लॉगिन और पासवर्ड प्रमाण-पत्रों का पुन: उपयोग किया जाता है। रियोस ने कहा, "यह दुनिया भर में इंटीग्रेटरों द्वारा उपयोग की जाने वाली खराब सुरक्षा प्रथाओं पर बहुत अधिक प्रकाश डाला गया है।"

ऑटोमेशन और ऊर्जा प्रबंधन प्रणालियों के निर्माण में माहिर कंट्रोलवर्क, रखरखाव के दौरान पैच के साथ ग्राहकों के सिस्टम को अद्यतन करता है, शारिन ग्रेगरी ने कहा, कंपनी के मुख्य वित्तीय अधिकारी। हालांकि, कुछ संगठन अपने सिस्टम का प्रबंधन करते हैं।

कंपनी अपने ग्राहकों को मजबूत पासवर्ड का उपयोग करने के लिए प्रोत्साहित करती है, ग्रेगरी ने कहा। उन्होंने कहा, "हम निश्चित रूप से जांच कर रहे हैं कि क्या हो सकता है, और हम अपनी वर्तमान नीतियों को भी मजबूत कर रहे हैं।" 99

Google की नियाग्राक्स प्रणाली डिजिटल उपभोक्ता लाइन के माध्यम से जुड़ी हुई थी जिसे कंपनी को भी पता नहीं था, रियोस ने कहा। सिस्टम इंटीग्रेटर्स द्वारा स्थापित कई आईसीएस सीधे कंपनी के नेटवर्क में शामिल नहीं होते हैं, जो उन्हें नियमित सुरक्षा स्कैन से बचने की अनुमति दे सकते हैं।

निकगाराक्स चलाने वाले हार्डवेयर उपकरणों में दो नेटवर्क पोर्ट हो सकते हैं- जो कि सिस्टम इंटीग्रेटर द्वारा प्रशासित डीएसएल लाइन से जुड़ा हुआ है, और अन्य बंदरगाह जो कंपनी के आंतरिक नेटवर्क से जुड़ा हुआ है, मैककोर्ले ने कहा।

उन दो कनेक्शनों की बैठक रियोस ने कहा, एक हैकर के लिए सोने है।

"यह उन क्लासिक तरीकों में से एक है जो इन उपकरणों को कॉर्पोरेट नेटवर्क से कनेक्ट करते हैं।" हमलावर इंटरनेट पर आईसीएस ढूंढते हैं, समझौता करते हैं और फिर इसे "कॉर्पोरेट नेटवर्क पर जाने के लिए लिली पैड के रूप में" उपयोग करते हैं।