09.02.2012 Новости, Безопасность3 февраля на конференции Kaspersky Security Analyst Summit в г. Канкум (Мексика) исследователи рассказали о тревожном состоянии безопасности систем SCADA (supervisory control and data acquisition). Эти решения широко используются в разных отраслях промышленности (например, в нефтяной), в электросетях, в системах водоснабжения и контроля зданий. По мнению исследователей, лежащая в их основе базовая модель безопасности совершенно не адекватна. Отраслевой исследователь Терри Мак-Коркл рассказал участникам конференции о двух исследователях, попробовавших найти 100 ошибок за 100 дней в промышленном управляющем ПО. Спустя небольшое время они поняли, что значение проблемы недооценивается. “В итоге мы обнаружили, что состояние безопасности ICS [Industrial Control System] заслуживает всяческих насмешек”, — сказал он. Мак-Коркл и его партнер по проекту Билли Райос использовали fuzz-техники и нашли более тысячи ошибок в программном обеспечении ICS. Причём ошибки эти были “родом из 90-х” и большей частью вопиюще очевидными. Для многих людей, с которыми общались исследователи, применение fuzz-тестов с целью поиска уязвимостей в ICS оказалось сюрпризом. Самыми распространенными были проблемы с форматами файлов, затем с ActiveX. Кроме того, они нашли несколько SQL-уязвимостей и множество проблем вида “переполнение буфера”. Были найдены примеры того, как ICS-программы используют VBScript для запуска командного процессора и других приложений, а также примеры доступа ...
читать далее.