Эксперт рассказал, как взломал атомную электростанцию.

В области кибербезопасности наихудший сценарий - захват хакерами контроля над критической инфраструктурой. В этом сценарии киберпреступники или хакеры, работающие на правительство какой-либо страны, смогут использовать свои эксплоиты для того, чтобы поставить под угрозу жизни людей.

Самая кошмарная ситуация - это когда хакеры получают доступ к атомным электростанциям или ядерным ракетам. Казалось бы, столь чувствительные объекты должны иметь усиленную защиту от кибератак, но так ли это на самом деле? Главный консультант по безопасности команды SpiderLabs ИБ-компании Trustwave Чарльз Гамильтон (Charles Hamilton) рассказал о своем опыте проведения тестирования на проникновение на атомной электростанции. Из соображений безопасности место и время проведения тестирования Гамильтон не сообщил.

По словам специалиста, в рамках тестирования на проникновение ему в прямом смысле удалось взломать атомную электростанцию. "Есть много подробностей, о которых я не могут рассказать по понятным причинам", - сообщил Гамильтон.

Как пояснил Гамильтон, главной целью тестирования было выяснить, могут ли хакеры захватить контроль над ядерным реактором. К счастью, это практически невозможно благодаря физическому барьеру между корпоративной сетью и самой электростанцией. Конечно, не стоит забывать о вредоносном ПО наподобие Stuxnet, разработанном специально для атак на атомную электростанцию и распространяющемся через USB-флешку. Однако такие сценарии не входят в план тестирования на проникновение.

Самая первая обнаруженная в ходе тестирования уязвимость была связана с подрядчиками, чьими услугами пользовалась электростанция. Подрядчики установили точку доступа Wi-Fi, не имевшую должного уровня безопасности и ставшую для исследователя точкой входа в корпоративную сеть.

"Когда я вошел, это была такая же корпоративная сеть, как и любая другая, с кучей систем Windows и Linux, и в этом случае они также работали под управлением Windows NT 4.0. Я смог получить прямой доступ к сети и некоторым интересным вещам, например, к инструментам мониторинга", - сообщил Гамильтон.

Спустя два часа исследователь уже имел привилегии администратора домена и получил доступ к информации о том, как работает электростанция.

"Если бы я занимался шпионажем или саботажем в интересах иностранного государства, я мог бы видеть такие показатели, как уровень давления и пр.", - сообщил исследователь.

По словам Гамильтона, даже для компаний или организаций, не задействованных в критически важной инфраструктуре, ключевой урок здесь заключается в том, что корпоративная сеть всегда будет одной из самых уязвимых точек. Компаниям всегда нужно помнить, что их внутренние сети так же уязвимы, как и внешние периметры.

InternetUA

https://internetua.com/

Новости по теме
Эксперт по безопасности получил $100 тысяч за обнаруженную уязвимость в Safari.

Эксперт по безопасности получил $100 тысяч за обнаруженную уязвимость в Safari.

Специалист по безопасности из RET2 Systems Джек Дэйтс (Jack Dates) получил награду в $100 тысяч за обнаружение новой уязвимости в браузере Safari. Эксплойт нулевого дня обнаружен на мероприятии Pwn2Own 2021.

InternetUA

Как правильно лечить больных коронавирусом?

Как правильно лечить больных коронавирусом?

UA - Лікар-реаніматолог з Ізраїлю Борис Бриль. Він розповів про симптоми хвороби та доцільне лікування хворих на коронавірус. До сих пор не подписаны на УНИАН в Telegram? RU - Врач-реаниматолог из Израиля Борис Брыль. Он рассказал о симптомах боле...

1

Лекарства от коронавируса, обновление в Фейсбуке и аукцион на миллионы евро.

Лекарства от коронавируса, обновление в Фейсбуке и аукцион на миллионы евро.

UA - У Мадриді на аукціоні переплутали авторів. Як коштовну картину Караваджи, яку оцінюють в мільйони євро, ледь не продали за півтори тисячі? Та унікальне дослідження індійських вчених, які знайшли альтренативні ліки від коронавірусу. Більше – в...

2

Будут ли найдены деньги для вакцин от COVID-19?

Будут ли найдены деньги для вакцин от COVID-19?

UA - Максим Степанов наголосив, що МОЗ має план подальших дій у боротьбі з коронавірусом та запевнив: необхідні гроші на вакцинацію будуть знайдені. До сих пор не подписаны на УНИАН в Telegram? RU - Максим Степанов отметил, что Минздрав имеет план...

«Российские ученые не смогут найти пресную воду под Азовским морем» – геолог.

«Российские ученые не смогут найти пресную воду под Азовским морем» – геолог.

Ученый секретарь Института геологических наук Национальной академии наук Украины Руслан Гаврилюк убежден, что проект по извлечению пресной воды из-под Азовского моря никак не сможет нейтрализовать эффекты засухи в Крыму. «Идея совершенно абсурдная...

Можно ли привлечь к уголовной ответственности  «ковидных экспертов» ?.

Можно ли привлечь к уголовной ответственности «ковидных экспертов» ?.

UA - Лікар-реаніматолог з Ізраїлю Борис Бриль. Медик наголосив: нефахівців, які займаються лікуванням хворих на коронавірус, можна притягнути до кримінальної відповідальності. До сих пор не подписаны на УНИАН в Telegram? RU - Врач-реаниматолог из ...

1

Обострение на Донбассе: НАТО выразило поддержку Украине.

Обострение на Донбассе: НАТО выразило поддержку Украине.

UA - Кораблі НАТО йдуть у Чорне море, а Путін стягує війська, і відмовляється від перемовин з Україною. Наскільки близьким до реальності є варіант розв'язання активних воєнних дій між Україною та Росією на нашій території, дивіться у нашому відео....