Сотрудник Google объявил об уязвимости в SCADA-системах Siemens

Николай Головко 23 Декабря 2011 - 18:18

Общее

Google

Защита критически важных объектов

Атаки на АСУ ТП

Уязвимости программ

...

Специалист Билли Райос в мае этого года выявил существенные изъяны в механизме удаленной аутентификации пользователей программного обеспечения Siemens SIMATIC. Данное ПО относится к SCADA-системам и активно используется для управления особо важными объектами инфраструктуры во многих странах мира. Исследователь незамедлительно направил производителю уведомление, но адекватного ответа не получил.

Говорить о том, что реакции от Siemens не было вовсе, нельзя: некоторое время назад представители компании сообщили журналистам, что на данный момент "нет никаких открытых вопросов", которые были бы связаны с проблемами обхода механизмов аутентификации. Аналитик Google ответил записью в блоге, где указал, что в таком случае пора рассказать общественности о выявленной уязвимости. По его мнению, отрицание наличия изъяна было бы прямой ложью со стороны производителя; "но Siemens не стала бы лгать, так что, полагаю, никаких проблем с обходом аутентификации нет", - не без иронии написал г-н Райос.

Итак, одним из опасных недостатков системы было использование стандартного административного пароля для служб Интернета, виртуальных сетевых вычислений (VNC) и Telnet-соединений. Логин-парольная комбинация, задаваемая производителем по умолчанию, состоит из имени "Administrator" и пароля "100", причем служба VNC не требует даже логина - достаточно ввести вышеуказанные три цифры, чтобы получить привилегированный доступ. Невнимательность администратора, забывшего изменить аутентификационные данные, в таком случае может открыть двери злоумышленникам. Специалист Google не исключает, что именно этот изъян мог обусловить успешное вторжение взломщика в SCADA-систему Южного Хьюстона, которое имело место в прошлом месяце: предполагаемый хакер, в частности, заявлял впоследствии, что на страже системы стоял пароль из трех знаков.

Изменение пароля по умолчанию также содержало ряд сюрпризов. Например, смена кодового слова для веб-интерфейса не оказывала никакого влияния на учетные данные к службе VNC, а если задаваемый пользовательский пароль содержал специальные символы, то он автоматически сбрасывался обратно на "100". Однако наиболее потенциально опасной проблемой, по мнению исследователя, являлась предсказуемость идентификаторов сессий, генерируемых интерфейсом SIMATIC Web Human Machine Interface; взломщик имел возможность сформировать "правильную" метку и получить доступ к системе вообще без учетных сведений.

О реакции Siemens на сообщение г-на Райоса пока ничего не известно.

PC World

Письмо автору

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Екатерина Быстрова 12 Февраля 2026 - 18:55

GenAI (генеративный искусственный интеллект)Соответствие законодательству РФ Общее

Путин поручил запустить пилот по обучению ИИ и информационной безопасности

Владимир Путин поручил запустить в Московской области пилотный проект по обучению технологиям искусственного интеллекта и информационной безопасности. Соответствующие поручения опубликованы на сайте Кремля по итогам заседания Госсовета.

Проект правительство должно реализовать совместно с властями региона. Доклад о его запуске президент ожидает до 1 июля — его представят премьер-министр Михаил Мишустин и губернатор Подмосковья Андрей Воробьёв.

Кроме того, к 15 июля поручено включить компетенции в сфере ИИ в образовательные и профессиональные стандарты. Речь идёт о том, чтобы навыки работы с искусственным интеллектом стали частью формальной системы подготовки специалистов.

Отдельно поставлена задача организовать программы повышения квалификации для преподавателей и учителей по направлениям ИТ и ИИ — с участием технологических компаний.

Тема развития искусственного интеллекта ранее уже звучала на федеральном уровне. В ноябре, выступая на конференции AI Journey-2025, президент заявил о необходимости создать штаб по управлению отраслью ИИ и поручил правительству совместно с регионами сформировать национальный план внедрения генеративного ИИ.

Тогда Владимир Путин подчеркнул, что зависимость от иностранных нейросетей недопустима, поскольку речь идёт о технологическом суверенитете страны. Новые поручения, судя по всему, становятся практическим шагом в этом направлении.

Анастасия Федорова, руководитель образовательных программ Positive Education, поделилась с Anti-Malware.ru своим комментарием:

«Поручение о запуске пилотного проекта по обучению ИИ и кибербезопасности — сигнал о приоритете повышения безопасности в цифровой среде. Это поможет интегрировать ключевые компетенции в образование и сформировать культуру кибербезопасности на всех уровнях.

Внимание к вопросу кибербезопасности на самом высшем уровне говорит о том, что киберугрозы воспринимаются как серьезная проблема, решение которой — межотраслевая задача.

Аналитики Positive Technologies в 2026 году прогнозируют рост успешных атак на компании и частных лиц на 30–35% по сравнению с 2025 годом. Важно понимать, что сегодня личный и корпоративный кибербез неразделимы — часть атак на бизнес начинается с компрометации устройств или аккаунтов сотрудников в личном пространстве. Поэтому обучение должно фокусироваться на реальных повседневных сценариях, где ошибка одного человека может запустить цепную реакцию до уровня компании. В Positive Education мы активно развиваем именно такие корпоративные программы».

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »