據外媒報道,一份研究報告稱,美國數千個監測地質活動的地震感應系統存在安全隱患,容易受到網絡攻擊。
在Def Con黑客大會上,安全專家詳細闡述了地震感應系統傳輸數據的安全漏洞。
安全研究人員發現,他們可以愚弄地震感應系統,或讓地震感應系統超負荷運行,從而讓它顯示非常不準確的監測數據。
這一重大發現已向美國負責監控全國基礎架構的計算機應急響應小組(US Computer Emergency Readiness Team,簡稱US Cert)進行了匯報。
“在此之前,我們尚未看到這個領域的任何安全研究報告。”哥斯達黎加的安全專家伯廷-博尼拉(Bertin Bonilla)說。他與同事詹姆斯-加拉(James Jara)一起進行了這項安全研究工作。
博尼拉稱,地震感應監測網絡的安全問題是在另一個項目的實施過程中浮出水面的。那個項目試圖發現和繪制連接到網絡中的智能設備,并開發針對物聯網的搜索引擎。
由于這些聯網設備所在地理位置以及它們所收集數據的特殊性,它們很快就引起了安全研究人員的注意。
“這些聯網設備位于極端環境下,比如海洋中心和活火山附近。”博尼拉說。
他們通過深入的考察研究發現,人們很容易連入這些地震感應系統,并查看它們收集和傳輸的數據。這些地震感應系統每個造價約為3萬美元。
研究人員跟蹤查看負責收集數據的中央服務器的鏈接,結果發現了很多漏洞,包括常見的默認密碼。攻擊者能夠利用這些漏洞來控制整個網絡。
“我們有一個根命令解釋程序(root shell)。”博尼拉說,“這是訪問地震感應系統的最高級別的權限,我們可以利用這個權限來做我們想做的任何事情。但是,它一旦被侵入,就會造成很大的破壞。”
博尼拉稱,網絡和感應系統本身的風險很小。真正的風險在于攻擊者可以輕易訪問這些網絡和地震感應系統。
“這些設備監測的是自然災害。”他說,“濫用它們可能會給相關公司或國家造成無法估量的經濟損失。”
有關這些漏洞的信息已向US Cert進行了匯報。該應急小組主要負責協調工作,加強國家基礎架構協調的安全。
US Cert已將相關信息發送給了負責生產地震感應系統和數據收集設備的加拿大公司Nanometrics。這些地震感應系統和數據收集設備構成了地震監測網絡。
Nanometrics公司尚未就此發表評論。
京公網安備 11010502049343號