Half-Life & Portal - The Complete Story (What You Need to Know!)
Les intrus se glissaient dans les conduits de ventilation. Maintenant, ils utilisent le logiciel qui contrôle la ventilation.
Des centaines d'organisations à travers l'Australie utilisent des systèmes de contrôle industriels obsolètes (ICS) pour contrôler les lumières, le chauffage et le refroidissement, les contrôles d'accès et même les ascenseurs.
Utiliser Internet pour gérer les bâtiments est pratique, mais cela peut coûter très cher et présenter de nouvelles opportunités pour les pirates.
[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]"Les entreprises n'ont aucune idée »Billy Rios, directeur technique et consultant de Cylance, une entreprise de sécurité à Reston, en Virginie.
Rios et un autre directeur technique de Cylance, Terry S. McCorkle Jr., ont révélé plus tôt cette semaine que l'un des Les bureaux de Google à Sydney ont utilisé la plate-forme NiagaraAX de Tridium avec une vulnérabilité de sécurité qui aurait pu leur permettre d'augmenter le chauffage.
Plus de 230 000 instances de la plate-forme NiagaraAX fabriquée par Tridium, une filiale de Honeywell basée à Richmond, V L'infrastructure basée sur Java est utilisée comme base pour les applications contrôlant les systèmes de sécurité et d'alimentation automatisés, l'éclairage et les télécommunications.
Cylance a trouvé le système vulnérable de Google en utilisant Shodan, un moteur de recherche conçu pour trouver appareil connecté à Internet, allant des réfrigérateurs aux caméras de vidéosurveillance en passant par les iPhones et les éoliennes.
Une recherche de Shodan montre que l'Australie a le troisième plus grand nombre de systèmes actifs NiagaraAX sur Internet, juste derrière les États-Unis et le Canada. 658 systèmes à partir de jeudi matin. Plus de 100 sont situés à Sydney.
Dans leurs recherches, M. McCorkle a déclaré que les trois quarts des systèmes NiagaraAX utilisent généralement des logiciels obsolètes. Ces nouvelles versions ont souvent encore des vulnérabilités. Cylance a trouvé des problèmes dans NiagaraAX qui, au pire, leur permettraient de remplacer les contrôles logiciels sur les systèmes matériels.
Par exemple, même si un système de chauffage est programmé pour limiter la température d'une pièce, Rios a indiqué qu'une des vulnérabilités Dans le cas de Google, "Tridium avait émis un correctif de sécurité qui aurait empêché l'intrusion - mais le correctif n'avait pas été appliqué au système NiagaraAX utilisé sur le site", écrit Jenny Graves, vice de Tridium.
La plate-forme NiagaraAX est généralement installée et entretenue par d'autres sociétés appelées intégrateurs de systèmes.
"Il semble que les intégrateurs ne corrigent pas ces appareils", a déclaré M. Rios. "Le problème est que le correctif n'est pas appliqué à l'appareil sur Internet, et c'est la responsabilité de l'intégrateur."
Graves a déclaré que Tridium continue "de travailler avec nos intégrateurs et clients pour résoudre le problème par le biais de séminaires, forums et »
Avec le système de Google, l'intégrateur, une société appelée Controlworks, apparaissait également comme identifiant de connexion et de mot de passe réutilisé pour le panneau de contrôle Web.
Controlworks, spécialisée dans les systèmes de gestion de l'énergie et de l'automatisation des bâtiments, met à jour les systèmes des clients le directeur financier de la société. Certaines organisations, cependant, gèrent leurs propres systèmes.
L'entreprise encourage ses clients à utiliser des mots de passe forts, a déclaré Gregory. Avec Google, «nous sommes en train d'enquêter sur ce qui s'est passé et nous renforçons également nos politiques actuelles», a-t-elle dit.
Le système NiagaraAX de Google était connecté via une ligne d'abonné numérique., Dit Rios. De nombreux ICS installés par les intégrateurs de systèmes ne sont pas intégrés directement dans les réseaux d'une entreprise, ce qui peut leur permettre d'échapper aux contrôles de sécurité réguliers.
Les périphériques matériels exécutant NiagaraAX peuvent également avoir deux ports réseau, l'un connecté à la ligne DSL administrée par l'intégrateur système, et l'autre connecté au réseau interne de l'entreprise, dit McCorkle.
La réunion de ces deux connexions C'est l'or pour un hacker.
"C'est l'un des moyens classiques de connecter ces périphériques au réseau d'entreprise", a déclaré Rios. Les attaquants trouvent l'ICS sur Internet, le compromettent et l'utilisent ensuite "comme un nénuphar pour entrer sur le réseau de l'entreprise", a-t-il dit.
Les puces RFID pour passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un béant Selon les chercheurs en sécurité, les données sur les puces radioélectriques contenues dans les passeports électroniques peuvent être clonées et modifiées sans être détectées, ce qui représente un trou de sécurité béant dans les systèmes de contrôle des frontières de la prochaine génération.
Vers le haut de 50 pays déploient des passeports avec des puces RFID (identification par radiofréquence) intégrées contenant des données biométriques et personnelles. Cette mesure vise à réduire le nombre de passeports frauduleux et à renforcer les contrôles frontaliers, mais les experts en sécurité affirment que ces systèmes présentent plusieurs faiblesses.
Les chercheurs du MIT disent que les traits plus denses peuvent être gravés sur des puces Les chercheurs du Massachusetts Institute of Technology disent avoir fait une percée avec la technologie de la lumière qui pourrait éventuellement aider les fabricants de puces à créer des circuits plus fins.
Les chercheurs ont trouvé un moyen de focaliser un faisceau de lumière Rajesh Menon, ingénieur de recherche au département de génie électrique et d'informatique du MIT, a déclaré que les fabricants de puces dépendent de la lumière pour tracer des schémas de circuits sur les puces, mais la plupart des les techniques utilisées aujourd'hui ne peuvent pas produire de motifs plus petits que la longueur d'onde de la lumière elle-même.
Pour seulement quelques centaines de dollars, la communauté de designers de LogoTournament peut offrir des centaines de choix de logo de qualité.
J'ai confié à un seul designer la tâche de créer des logos dans le cadre d'une stratégie de marque précédente. Notre processus de va-et-vient a fonctionné, mais il est devenu cher, et j'ai perdu beaucoup de temps à essayer de nouvelles versions. Pour ma prochaine entreprise, j'essaie LogoTournament. Le site inverse l'idée d'un designer qui passe beaucoup de temps; ici beaucoup de designers passent un peu de temps, chacun soumettant leurs idées. Le gagnant récupère ma prime prépayée, et je reçois