- 1、本文档共2页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
张小只智能机械工业网
全球上百款工业控制系统产品默认密码泄
来自俄罗斯的ICS/SCADA研究人员已经在线发布了一份高人气工业系统清单
但这可不是什么荣誉榜,此次各入围方案所使用的默认密码已经被成功解包。
ICS/SCADA方面希望能够借此提醒各供应商其中包括部分ICS/SCADA成员调整自身
安全实践方式。
这份被称为SCADAPaas的清单囊括了超过100款产品,涵盖范围从控制器到
Web服务器,而相关厂商则涉及艾伦-布拉德利、施耐德电气以及西门子等业界巨头。
研究人员们从上述产品当中成功收集到了默认密码内容,例如admin.admin、
password、root以及administrator等等。而更令人担心的是,这些密码内容源自多种来
源,其中一部分甚至已经被网络上的开放密码列表以及厂商说明文件所提及。在研究
人员们看来,这还仅仅是众多包含默认验证密码的ICS/SCAD产品中的冰山一角。
所谓默认密码,也就是在出厂时预装在产品中的密码内容。很明显,客户(例
如职能部门)或者安装人员有责任在拿到产品之后为其设定一条新的、强度更高的密
码,正如IT管理员们需要对其网络设备或者其它硬件进行密码管理一样。不过研究人
员们强调称,这样的处理方式在ICS/SCADA当中并未得到良好遵循。
我们的目标是转变供应商的既定思路,告诉他们这种在工业系统当中使用简单/
默认密码且不采取适当安全控制机制的作法殊不可取具体来讲,他们需要调整首次登
录与密码设定的复杂性水平。着眼于IT领域,供应商们的产品在被交付至用户手上之
后,往往会要求其变更默认密码以进行安装。但同样的情况在工业控制系统领域则有
着不同的走向,白帽黑客SCADA奇爱团队成员SergeyGordeychik解释称其参与并发
布了此次SCADAPass清单。
张小只机械知识库
张小只智能机械工业网
操作人员更倾向于如果一切运转正常,那就别碰它原则。有时候他们甚至接触
不到各类设备控制功能的具体信息,他表示。使用简单密码或者干脆不设置密码在配
合本地接入以及物理保护型系统,例如HMI或者MES面板,时倒不是什么大问题。
但他强调称,如果用户们采用与网络或者无线接入相等同的验证方式,则会引发问题
巨大的问题。
他同时指出,他和所在团队并未发布其在研究过程中发现的一份长度惊人的硬
编码密码清单。具体来讲,硬编码密码无法为用户所变更。
当然,最大的危险还是以root方式对工业路由器、PLC或者其它ICS/SCADA
设备进行远程接入,这将基本宣告我们运营体系的崩溃。具体来讲,一旦入侵成功,
攻击者将了解到整个工业流程例如水源处理并借此发动破坏性袭击,他解释称。
tips:感谢大家的阅读,本文由我司收集整编。仅供参阅!
张小只机械知识库
文档评论(0)