Сотрудник Google объявил об уязвимости в SCADA-системах Siemens

Николай Головко 23 Декабря 2011 - 18:18

Общее

Google

Защита критически важных объектов

Атаки на АСУ ТП

Уязвимости программ

...

Специалист Билли Райос в мае этого года выявил существенные изъяны в механизме удаленной аутентификации пользователей программного обеспечения Siemens SIMATIC. Данное ПО относится к SCADA-системам и активно используется для управления особо важными объектами инфраструктуры во многих странах мира. Исследователь незамедлительно направил производителю уведомление, но адекватного ответа не получил.

Говорить о том, что реакции от Siemens не было вовсе, нельзя: некоторое время назад представители компании сообщили журналистам, что на данный момент "нет никаких открытых вопросов", которые были бы связаны с проблемами обхода механизмов аутентификации. Аналитик Google ответил записью в блоге, где указал, что в таком случае пора рассказать общественности о выявленной уязвимости. По его мнению, отрицание наличия изъяна было бы прямой ложью со стороны производителя; "но Siemens не стала бы лгать, так что, полагаю, никаких проблем с обходом аутентификации нет", - не без иронии написал г-н Райос.

Итак, одним из опасных недостатков системы было использование стандартного административного пароля для служб Интернета, виртуальных сетевых вычислений (VNC) и Telnet-соединений. Логин-парольная комбинация, задаваемая производителем по умолчанию, состоит из имени "Administrator" и пароля "100", причем служба VNC не требует даже логина - достаточно ввести вышеуказанные три цифры, чтобы получить привилегированный доступ. Невнимательность администратора, забывшего изменить аутентификационные данные, в таком случае может открыть двери злоумышленникам. Специалист Google не исключает, что именно этот изъян мог обусловить успешное вторжение взломщика в SCADA-систему Южного Хьюстона, которое имело место в прошлом месяце: предполагаемый хакер, в частности, заявлял впоследствии, что на страже системы стоял пароль из трех знаков.

Изменение пароля по умолчанию также содержало ряд сюрпризов. Например, смена кодового слова для веб-интерфейса не оказывала никакого влияния на учетные данные к службе VNC, а если задаваемый пользовательский пароль содержал специальные символы, то он автоматически сбрасывался обратно на "100". Однако наиболее потенциально опасной проблемой, по мнению исследователя, являлась предсказуемость идентификаторов сессий, генерируемых интерфейсом SIMATIC Web Human Machine Interface; взломщик имел возможность сформировать "правильную" метку и получить доступ к системе вообще без учетных сведений.

О реакции Siemens на сообщение г-на Райоса пока ничего не известно.

PC World

Письмо автору

Следующая главная новость »

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »

Яков Шпунт 11 Февраля 2026 - 11:24

Утечки информации Умышленные утечки информации Кража данных Соответствие законодательству РФ Общее

Минтруду не удалось оспорить штраф за утечку данных

Министерству труда не удалось оспорить в Верховном суде штраф за утечку персональных данных сотрудников и членов их семей. Ранее административное наказание было назначено судами нижестоящих инстанций. Основным аргументом ведомства стало то, что причиной инцидента стала халатность внешнего подрядчика.

Объём утечки оказался относительно небольшим — около 1400 записей. Однако в открытый доступ попали наиболее востребованные на теневом рынке сведения, включая номера паспортов и реквизиты банковских карт.

Мировой судья оштрафовал Минтруд на 100 тыс. рублей. Ведомство попыталось оспорить решение, настаивая, что ответственность за защиту данных лежала на подрядной организации, а значит, само министерство следует считать пострадавшей стороной. В итоге спор дошёл до Верховного суда.

Верховный суд подтвердил, что именно Минтруд является оператором персональных данных и несёт полную ответственность за их защиту, включая контроль за действиями подрядчиков. Суд указал, что ведомство не приняло необходимых мер для обеспечения безопасности инфраструктуры, а о факте утечки узнало лишь после запроса контролирующего органа. Кроме того, был нарушен установленный порядок уведомления о компьютерных инцидентах, что также образует состав административного правонарушения.

Руководитель практики защиты данных Stonebridge Legal Денис Бушнев в комментарии для радиостанции «Коммерсантъ FM» назвал решение Верховного суда логичным продолжением сложившейся правоприменительной практики и разъяснений Роскомнадзора:

«Есть оператор и есть подрядчики оператора — так называемые обработчики или лица, действующие по поручению. Переложить ответственность на таких обработчиков не получится: оператор отвечает за всё. Верховный суд фактически подвёл черту под этим вопросом. Резонанс делу придаёт то, что в нём фигурирует Минтруд. При этом размер штрафа оказался сравнительно небольшим».

«Минтруд, имея возможность провести аудит, ничего не предпринял. Если бы были представлены акты проверок, ответственность можно было бы попытаться переложить на подрядчика, но для этого необходимо выполнить ряд мер. В выигрыше оказываются юристы, которые убеждают клиентов выстраивать корректную систему работы: раньше им не хватало наглядного судебного примера. Теперь он есть — с конкретным штрафом, да ещё в отношении госструктуры. А выигрывают и те, кто заранее выстроил процессы и “подстелил соломку”», — отметила руководитель практики комплаенса юридической фирмы LCH.LEGAL Елена Шершнева.

SOC без иллюзий: от выбора технологий к реальной защите - обсудим в эфире AM Live! Регистрируйтесь »