近(jìn)日，佐治亞(yà)理工的網(wǎng)絡安全研究人員開(kāi)發了一種(zhǒng)針對(duì)能夠模拟接管控制水處(chù)理廠(chǎng)的勒(lè)索(suǒ)軟件。該(gāi)軟件在獲(huò)取訪問權限後(hòu)，能夠(gòu)命令可編程(chéng)邏(luó)輯控制器 (plc) 關閉(bì)閥門(mén)，添加水、 氯(lǜ)含量等操(cāo)作，能(néng)夠顯示錯誤的(de)讀數。
　　這次(cì)模拟(nǐ)攻擊是為(wéi)了顯示目(mù)前(qián)關鍵基(jī)礎設(shè)施(shī)信息安(ān)全的(de)脆弱性，據(jù)說是首次(cì)針對(duì)plc的勒(lè)索攻(gōng)擊。
　　raheem beyah副(fù)教授和david formby博士稱(chēng)：許多(duō)工(gōng)業控制(zhì)系統缺乏(fá)安全(quán)協議。但(dàn)由(yóu)于到(dào)目前為止這些(xiē)系統還沒有遭(zāo)受勒索攻擊，因(yīn)此脆弱性還難(nán)以得到(dào)人們(men)重視。而工業控制(zhì)系統中的plc很有可能是攻擊者(zhě)的下一步(bù)行動(dòng)目标。
　　formby 和 beyah使用搜(sōu)索程序找到了(le)1400個可(kě)以(yǐ)通過internet 直(zhí)接訪(fǎng)問的plc。大多(duō)數類(lèi)似設備位(wèi)于具有(yǒu)某(mǒu)種保護程(chéng)度(dù)的(de)業務(wù)系統之後，一旦(dàn)攻擊(jī)者進(jìn)入業(yè)務系統，則(zé)可以完全(quán)獲得控制(zhì)系統的(de)控(kòng)制權(quán)限。
　　他們稱，許多(duō)控制(zhì)系統具有(yǒu)較(jiào)弱(ruò)的訪問控(kòng)制策略，能夠讓入侵者輕易的(de)控制泵、 閥等工業控(kòng)制系統關(guān)鍵部(bù)件。
　　他(tā)們的(de)模拟(nǐ)攻(gōng)擊針對(duì)三個不同(tóng)的設備，并測試(shì)了他(tā)們的(de)安全設置(zhì)，包括(kuò)密碼保護(hù)和設置的(de)更改(gǎi)的易(yì)感性(xìng)。他們(men)模拟了(le)進(jìn)入系(xì)統，并(bìng)向水傾倒(dǎo)大(dà)量的(de)氯(lǜ)！
　　beyah 稱：我們希望(wàng)做的是(shì)引起人們對這一問題的重視(shì)。如果(guǒ)我們能成(chéng)功地(dì)攻擊這些(xiē)控制系(xì)統(tǒng)，惡(è)意攻擊者也可以(yǐ)做到(dào)。