دو محقق هلندی با ضربه زدن به نرم افزاری که شبکه های برق جهان، خطوط لوله گاز و غیره را اجرا می کند، برنده یک قهرمانی بزرگ هک شده اند. این ساده ترین چالش آنها بود.
Daan Keuper قبلاً زیر نورافکن روشن هک کرده بود.
در سال 2012، او یک آیفون کاملاً جدید را هک کرد و در حالی که در مرکز صحنه Pwn2Own، بزرگترین مسابقه هک در جهان حضور داشت، 30000 دلار به خانه برد. Keuper و همکارش Thijs Alkemade با کنجکاوی، سپس در سال 2018 یک ماشین را هک کردند. سال گذشته، با انگیزه همه‌گیری، نرم‌افزار کنفرانس ویدئویی و برنامه‌های ویروس کرونا را هک کردند.
این هفته، دو محقق هلندی با هدف قرار دادن نرم افزاری که به اجرای زیرساخت های حیاتی جهان کمک می کند، 90000 دلار و یک جایزه قهرمانی جدید Pwn2Own را به خانه بردند.
آنها می گویند که این ساده ترین چالش آنها تاکنون بوده است.
Keuper می گوید: "در سیستم های کنترل صنعتی، هنوز میوه های کم آویزان زیادی وجود دارد." "امنیت به شدت عقب مانده است."
Alkemade موافق است: "این قطعا محیطی آسان تر برای کار کردن است."
دقیقاً همزمان با تماشای این زوج روی صحنه در میامی که زرادخانه کوچکی از نرم‌افزارهای صنعتی حیاتی را هدف قرار می‌دادند، ایالات متحده و متحدانش هشداری درباره خطر افزایش تهدید هکرهای روسی برای تعقیب زیرساخت‌هایی مانند شبکه برق صادر کردند. راکتورهای هسته ای، سیستم های آب و غیره. هفته گذشته، یک گروه از هکرهای روسی در تلاش برای از بین بردن شبکه برق اوکراین و یک گروه هکر دیگر با هدف ایجاد اختلال در سیستم‌های صنعتی مهم دستگیر شدند.
در Pwn2Own، ریسک‌ها کمی کمتر است، اما سیستم‌ها همان چیزی است که در دنیای واقعی خواهید یافت. این هفته در میامی، همه سیستم‌های کنترل صنعتی که تأسیسات حیاتی را اجرا می‌کنند، هدف قرار گرفتند. تقریباً هر نرم افزاری که به عنوان هدف ارائه می شد به دست هکرها افتاد. این همان چیزی است که حامیان مالی برای آن پرداخت می کنند – هکرهایی که موفق می شوند تمام جزئیات را به اشتراک می گذارند تا نقص برطرف شود. اما این همچنین نشانه ای است که امنیت زیرساخت های حیاتی راه درازی در پیش دارد.
داستین چایلدز که امسال این نمایشگاه را اجرا کرد، می‌گوید: «بسیاری از اشکالاتی که در دنیای سیستم‌های کنترل صنعتی مشاهده می‌کنیم، مشابه اشکالاتی هستند که 10 تا 15 سال پیش در دنیای نرم‌افزار سازمانی دیدیم. "هنوز کارهای زیادی برای انجام دادن وجود دارد."
یکی از اهداف قابل توجه در نمایشگاه امسال، Iconics Genesis64 بود، یک ابزار رابط انسان و ماشین که هکرها می توانند به آن نفوذ کنند تا اهداف مهم را از بین ببرند و در عین حال اپراتورهای انسانی را فریب دهند تا فکر کنند هیچ چیز اشتباهی نیست.
ما می دانیم که این یک تهدید واقعی است زیرا یک دهه پیش، یک کمپین هکری برجسته به نام استاکس نت برنامه هسته ای ایران را هدف قرار داد. هکرهایی که گمان می‌رود برای ایالات متحده و اسرائیل کار می‌کنند، کنترل‌کننده‌های منطقی قابل برنامه‌ریزی را در داخل سانتریفیوژهای گازی که برای جداسازی مواد هسته‌ای استفاده می‌شوند، خراب کردند، اما آنها همچنین به ماشین‌ها گفتند که به اپراتورهای ایرانی بگویند که همه چیز خوب پیش می‌رود. آن خرده خرابکاری هوشمندانه، موفقیت عملیات را چند برابر کرد.
برای حمایت از روزنامه نگاری MIT Technology Review، لطفاً مشترک شوید .
در میامی، Iconics Genesis64 حداقل شش بار هک شد تا کنترل کامل به مهاجمان داده شود. تیم هایی که در این چالش شرکت کردند در مجموع 75000 دلار برنده شدند.
Childs می‌گوید: «از دیدن این همه اشکال منحصربه‌فرد در Iconics Genesis64 شگفت‌زده شدم. این فقط نشان می‌دهد که عمق واقعی باگ‌هایی وجود دارد که باید استخراج شوند. خیلی بیشتر از آن چیزی است که مردم در حال حاضر گزارش می دهند.
نکته قابل انکار این نمایش متعلق به Keuper و Alkemade بود که یک پروتکل ارتباطی به نام OPC UA را هدف قرار دادند. آن را به عنوان زبانی در نظر بگیرید که بخش‌های مختلف یک سیستم عملیات حیاتی برای صحبت با یکدیگر در محیط‌های صنعتی از آن استفاده می‌کنند. Keuper و Alkemade – که تحت نام شرکت خود، Computest رقابت می‌کردند، با موفقیت از بررسی برنامه‌های مورد اعتماد عبور کردند.
وقتی این اتفاق افتاد، اتاق فوراً با بزرگترین تشویق های کل رقابت یک هفته ای روبرو شد. وقتی Keuper و Alkemade لپ‌تاپ‌هایشان را می‌چرخانند تا همه ما شاهد موفقیت آن‌ها باشیم، غوغای تماشاگران را تماشا کردم. تنها در چند ثانیه، تیم 40000 دلار و امتیاز کافی برای کسب عنوان قهرمانی مسابقات، "Master of Pwn" به دست آورد.
چایلدز می گوید: «ما دقیقاً به دنبال چنین چیز بزرگی هستیم.
سربازان و تانک ها ممکن است به مرزهای ملی اهمیت دهند. سایبر اینطور نیست.
Keuper می گوید: "OPC UA در همه جای جهان صنعتی به عنوان یک اتصال دهنده بین سیستم ها استفاده می شود." این یک جزء مرکزی شبکه‌های صنعتی معمولی است و ما می‌توانیم احراز هویت را که معمولاً برای خواندن یا تغییر هر چیزی لازم است دور بزنیم. به همین دلیل است که مردم آن را مهم ترین و جالب ترین می دانستند. فقط چند روز طول کشید تا پیدا شود.»
هک آیفون 2012 سه هفته کار متمرکز طول کشید. در مقابل، هک OPC UA یک پروژه جانبی بود، حواس پرتی از مشاغل روزانه Keuper و Alkemade. اما تاثیر آن بسیار زیاد است.
تفاوت های زیادی بین عواقب هک کردن آیفون و نفوذ به نرم افزارهای زیرساخت حیاتی وجود دارد. یک آیفون را می توان به راحتی به روز کرد و یک تلفن جدید همیشه در گوشه و کنار است.
برعکس، در زیرساخت های حیاتی، برخی از سیستم ها می توانند چندین دهه دوام بیاورند. برخی از نقص های امنیتی شناخته شده به هیچ وجه قابل رفع نیستند. اپراتورها اغلب نمی‌توانند فناوری خود را برای رفع مشکلات امنیتی به‌روزرسانی کنند، زیرا آفلاین کردن یک سیستم قابل بحث نیست. روشن و خاموش کردن مجدد کارخانه مانند کلید چراغ – یا مانند لپ تاپ آسان نیست.
Keuper می گوید: «در سیستم های کنترل صنعتی، زمین بازی کاملاً متفاوت است. "شما باید در مورد امنیت متفاوت فکر کنید. شما به راه حل های مختلف نیاز دارید. ما به تغییرات بازی نیاز داریم.»
علیرغم موفقیتشان در این هفته، Keuper و Alkemade دچار هیچ توهم نیستند که مشکلات امنیتی صنعتی فوراً حل شده است. اما برای این دو، شروع خوبی است.
Alkemade می گوید: «من برای منافع عمومی تحقیق می کنم تا به جهان کمک کنم تا کمی ایمن تر شود. بحث پول نیست این هیجان و نشان دادن آنچه می توانیم انجام دهیم است.
Keuper می‌گوید: «امیدواریم دنیا را به مکانی امن‌تر تبدیل کنیم.
در همین حال، مسابقات Pwn2Own با اهدای 2 میلیون دلار در سال گذشته، همچنان ادامه دارد. ماه آینده، هکرها در ونکوور گرد هم می آیند تا پانزدهمین سالگرد نمایش را جشن بگیرند. یکی از اهداف؟ یک ماشین تسلا
اگر روسیه ارتباط خود را با نهادهای حاکم بر اینترنت قطع کند یا از آن خارج شود، ممکن است دیگر هرگز برای هیچ یک از ما اینترنت مانند قبل نباشد.
شرکت‌ها بالاخره از الفبایی اعدادی نامطمئن به روش‌های دیگر احراز هویت روی می‌آورند.
استارت‌آپ‌های محاسبات کوانتومی همه‌گیر هستند، اما مشخص نیست که آیا در آینده نزدیک می‌توانند کار مفیدی تولید کنند یا خیر.
کاخ سفید سریعاً روسیه را به دلیل حمله سایبری به اوکراین سرزنش کرد، که آخرین نشانه این است که اسناد سایبری ابزاری حیاتی در زرادخانه آمریکاست.
پیشنهادهای ویژه، داستان های برتر، رویدادهای آینده و موارد دیگر را کشف کنید.
از اینکه ایمیل خود را ثبت کردید، متشکریم!
به نظر می رسد مشکلی پیش آمده است.
ما در ذخیره تنظیمات برگزیده شما با مشکل روبرو هستیم. سعی کنید این صفحه را بازخوانی کنید و یک بار دیگر آنها را به روز کنید. اگر همچنان این پیام را دریافت می‌کنید، با فهرستی از خبرنامه‌هایی که می‌خواهید دریافت کنید، از طریق customer-service@technologyreview.com با ما تماس بگیرید.
گزارش‌های عمیق ما نشان می‌دهد که اکنون چه خبر است تا شما را برای اتفاقات بعدی آماده کند.
اشتراک در برای حمایت از روزنامه نگاری ما
© 2022 بررسی فناوری MIT

source

توسط techkhabari