Сотрудник Google объявил об уязвимости в SCADA-системах Siemens

Николай Головко 23 Декабря 2011 - 18:18

Общее

Google

Защита критически важных объектов

Атаки на АСУ ТП

Уязвимости программ

...

Специалист Билли Райос в мае этого года выявил существенные изъяны в механизме удаленной аутентификации пользователей программного обеспечения Siemens SIMATIC. Данное ПО относится к SCADA-системам и активно используется для управления особо важными объектами инфраструктуры во многих странах мира. Исследователь незамедлительно направил производителю уведомление, но адекватного ответа не получил.

Говорить о том, что реакции от Siemens не было вовсе, нельзя: некоторое время назад представители компании сообщили журналистам, что на данный момент "нет никаких открытых вопросов", которые были бы связаны с проблемами обхода механизмов аутентификации. Аналитик Google ответил записью в блоге, где указал, что в таком случае пора рассказать общественности о выявленной уязвимости. По его мнению, отрицание наличия изъяна было бы прямой ложью со стороны производителя; "но Siemens не стала бы лгать, так что, полагаю, никаких проблем с обходом аутентификации нет", - не без иронии написал г-н Райос.

Итак, одним из опасных недостатков системы было использование стандартного административного пароля для служб Интернета, виртуальных сетевых вычислений (VNC) и Telnet-соединений. Логин-парольная комбинация, задаваемая производителем по умолчанию, состоит из имени "Administrator" и пароля "100", причем служба VNC не требует даже логина - достаточно ввести вышеуказанные три цифры, чтобы получить привилегированный доступ. Невнимательность администратора, забывшего изменить аутентификационные данные, в таком случае может открыть двери злоумышленникам. Специалист Google не исключает, что именно этот изъян мог обусловить успешное вторжение взломщика в SCADA-систему Южного Хьюстона, которое имело место в прошлом месяце: предполагаемый хакер, в частности, заявлял впоследствии, что на страже системы стоял пароль из трех знаков.

Изменение пароля по умолчанию также содержало ряд сюрпризов. Например, смена кодового слова для веб-интерфейса не оказывала никакого влияния на учетные данные к службе VNC, а если задаваемый пользовательский пароль содержал специальные символы, то он автоматически сбрасывался обратно на "100". Однако наиболее потенциально опасной проблемой, по мнению исследователя, являлась предсказуемость идентификаторов сессий, генерируемых интерфейсом SIMATIC Web Human Machine Interface; взломщик имел возможность сформировать "правильную" метку и получить доступ к системе вообще без учетных сведений.

О реакции Siemens на сообщение г-на Райоса пока ничего не известно.

PC World

Письмо автору

Следующая главная новость »

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!

Екатерина Быстрова 30 Марта 2026 - 13:05

iOS Соответствие законодательству РФ Общее Apple

С 1 апреля в России отключат пополнение Apple ID со счёта телефона

Для российских пользователей iPhone с 1 апреля может исчезнуть ещё один привычный способ оплаты сервисов Apple. операторы «большой четвёрки» получили указание отключить возможность пополнять баланс Apple ID со счёта мобильного телефона. Обсуждение этого вопроса, по данным издания, прошло 28 марта на совещании с главой Минцифры Максутом Шадаевым.

Как пишет РБК со ссылкой на три источника на телеком-рынке, среди причин такого шага называлась в том числе необходимость затруднить оплату VPN-сервисов.

Ранее мы писали, что 28 марта обсуждали возможность временно приостановить оплату сервисов Apple со счёта мобильного телефона. Идея в том, чтобы подтолкнуть компанию к возвращению популярных российских приложений в App Store.

Другими словами, история тут не только про Apple как таковую, но и про более широкий контроль над цифровыми сервисами, которые оплачиваются через экосистему компании.

На данный момент прямое пополнение Apple ID с мобильного счёта доступно у МТС и «ВымпелКома» под брендом «Билайн». У «МегаФона» и T2 такая схема тоже есть, но уже через партнёрские механизмы. Если решение действительно вступит в силу, пользователи iPhone в России лишатся ещё одного оставшегося рабочего способа оплачивать подписки, приложения и другие покупки внутри сервисов Apple.

Сама по себе эта опция стала особенно востребованной после 2022 года, когда привычная оплата российских карт в экосистеме Apple перестала работать из-за санкционных ограничений. На этом фоне мобильный счёт для многих оказался удобным обходным вариантом, особенно когда нужно было оплатить подписку или пополнить внутренний баланс аккаунта.

Пока официальных подробных комментариев немного. Представители «МегаФона», T2 и «ВымпелКома» от комментариев отказались. Запросы также были направлены в МТС и Минцифры. Так что формально история пока выглядит как информация от источников, но сама новость уже вызвала заметный резонанс — слишком уж чувствительная тема для владельцев iPhone в России.

Если всё произойдёт именно так, то уже с 1 апреля пользователям придётся искать новые способы пополнения Apple ID. А это значит, что доступ к платным сервисам Apple в России снова станет менее удобным.

Российские альтернативы Microsoft CA: чем заменить и не проиграть?
Регистрируйтесь на эфир!