據(jù)外媒報道,一份研究報告稱,美國數(shù)千個監(jiān)測地質(zhì)活動的地震感應(yīng)系統(tǒng)存在安全隱患,容易受到網(wǎng)絡(luò)攻擊。
在Def Con黑客大會上,安全專家詳細(xì)闡述了地震感應(yīng)系統(tǒng)傳輸數(shù)據(jù)的安全漏洞。
安全研究人員發(fā)現(xiàn),他們可以愚弄地震感應(yīng)系統(tǒng),或讓地震感應(yīng)系統(tǒng)超負(fù)荷運行,從而讓它顯示非常不準(zhǔn)確的監(jiān)測數(shù)據(jù)。
這一重大發(fā)現(xiàn)已向美國負(fù)責(zé)監(jiān)控全國基礎(chǔ)架構(gòu)的計算機應(yīng)急響應(yīng)小組(US Computer Emergency Readiness Team,簡稱US Cert)進(jìn)行了匯報。
“在此之前,我們尚未看到這個領(lǐng)域的任何安全研究報告。”哥斯達(dá)黎加的安全專家伯廷-博尼拉(Bertin Bonilla)說。他與同事詹姆斯-加拉(James Jara)一起進(jìn)行了這項安全研究工作。
博尼拉稱,地震感應(yīng)監(jiān)測網(wǎng)絡(luò)的安全問題是在另一個項目的實施過程中浮出水面的。那個項目試圖發(fā)現(xiàn)和繪制連接到網(wǎng)絡(luò)中的智能設(shè)備,并開發(fā)針對物聯(lián)網(wǎng)的搜索引擎。
由于這些聯(lián)網(wǎng)設(shè)備所在地理位置以及它們所收集數(shù)據(jù)的特殊性,它們很快就引起了安全研究人員的注意。
“這些聯(lián)網(wǎng)設(shè)備位于極端環(huán)境下,比如海洋中心和活火山附近。”博尼拉說。
他們通過深入的考察研究發(fā)現(xiàn),人們很容易連入這些地震感應(yīng)系統(tǒng),并查看它們收集和傳輸?shù)臄?shù)據(jù)。這些地震感應(yīng)系統(tǒng)每個造價約為3萬美元。
研究人員跟蹤查看負(fù)責(zé)收集數(shù)據(jù)的中央服務(wù)器的鏈接,結(jié)果發(fā)現(xiàn)了很多漏洞,包括常見的默認(rèn)密碼。攻擊者能夠利用這些漏洞來控制整個網(wǎng)絡(luò)。
“我們有一個根命令解釋程序(root shell)。”博尼拉說,“這是訪問地震感應(yīng)系統(tǒng)的最高級別的權(quán)限,我們可以利用這個權(quán)限來做我們想做的任何事情。但是,它一旦被侵入,就會造成很大的破壞。”
博尼拉稱,網(wǎng)絡(luò)和感應(yīng)系統(tǒng)本身的風(fēng)險很小。真正的風(fēng)險在于攻擊者可以輕易訪問這些網(wǎng)絡(luò)和地震感應(yīng)系統(tǒng)。
“這些設(shè)備監(jiān)測的是自然災(zāi)害。”他說,“濫用它們可能會給相關(guān)公司或國家造成無法估量的經(jīng)濟(jì)損失。”
有關(guān)這些漏洞的信息已向US Cert進(jìn)行了匯報。該應(yīng)急小組主要負(fù)責(zé)協(xié)調(diào)工作,加強國家基礎(chǔ)架構(gòu)協(xié)調(diào)的安全。
US Cert已將相關(guān)信息發(fā)送給了負(fù)責(zé)生產(chǎn)地震感應(yīng)系統(tǒng)和數(shù)據(jù)收集設(shè)備的加拿大公司Nanometrics。這些地震感應(yīng)系統(tǒng)和數(shù)據(jù)收集設(shè)備構(gòu)成了地震監(jiān)測網(wǎng)絡(luò)。
Nanometrics公司尚未就此發(fā)表評論。
分享到微信 ×
打開微信,點擊底部的“發(fā)現(xiàn)”,
使用“掃一掃”即可將網(wǎng)頁分享至朋友圈。