网络研究人员敦促水务和石油公用事业修复弱点 - 彭博社

Jake Bleiberg

2024-08-08

2023年3月2日，星期四，美国德克萨斯州米德兰的一座石油钻井平台。

摄影师：塞尔吉奥·弗洛雷斯/彭博社根据网络安全公司Censys Inc.首次提供给彭博新闻的研究，数百个用于控制水、石油、农业和其他美国工业的数字系统在开放互联网中容易受到外部干扰。

经过数月的互联网扫描，Censys研究人员发现全国超过430个工业机械的软件控制系统可以在线访问，其中超过一半没有保护措施来验证使用者身份。

该项目的首席研究员艾米莉·奥斯丁警告说，操控这些技术是多么简单。她说，如果你知道在哪里寻找，你可以使用简单的网页浏览器访问这些系统。

“在许多情况下，这些系统没有任何形式的身份验证保护，”奥斯丁告诉彭博社。“没有密码。它们实际上就坐落在公共互联网中，任何偶然发现它们的人都可以随意操控。”

这些发现更全面地反映了许多美国关键基础设施在网络攻击面前的脆弱性，此时黑客——其中一些与美国对手有关——一直在针对美国庞大的水务网络。

政府和公司使用Censys在线发现的这类软件控制，称为人机界面，作为运行工业系统的仪表板，涵盖从水坝和水泵到电力变电站和油井的各种设施。

美国人可能会醒来发现他们的淋浴无法使用，或者油井停机，Censys首席执行官布拉德·布鲁克斯在一次采访中表示。黑客可以访问并操控那些未受到保护的系统，他说。

没有迹象表明外部人员大规模劫持了这些技术，但确实有黑客操控它们的实例。

除了人机界面，Censys的审查发现大约有18,000个通常用于工业控制的系统在美国暴露于开放互联网。

公用事业可以成为软目标的事实在一月份得到了强调，当时黑客侵入了德克萨斯州的小社区的水系统，导致一个城市的水箱溢出。一个名为“CyberArmyofRussia_Reborn”的团体对此次入侵负责，美国官员多次警告国家黑客可能对关键领域进行攻击，如国防、堤坝、能源、金融服务和水系统。Censys能够识别出大约三分之一在开放互联网中发现的人机界面的所有者，因为他们恰好有带有标志或独特域名的网站。奥斯汀表示，该公司在二月份向这一群体发送了通知。但在几乎没有回应后，她说，公司在春季将这一工作移交给了美国环境保护局。

美国环保署发言人表示，该机构识别出了潜在的水系统IP地址。官员们成功联系了相关设备操作员，分享了有关安全问题的细节。

“作为回应，这些系统中的几个已经成功减轻了漏洞，”该机构在一份声明中表示。“环保署将继续评估并教育脆弱的公用事业，帮助其改善网络安全实践。”

该机构最近增加了对水务公用事业网络准备情况的检查。

去年，环保署放弃了要求各州评估水设施网络防御的计划。三州的共和党立法者称这一监管行为非法，指责环保署越权。

我们本周学到的

美国密歇根州兰辛市投票站的投票亭。摄影师：Emily Elconin/Bloomberg随着美国人准备在11月投票，身体暴力成为选举安全官员的首要关注点，US网络安全和基础设施安全局的即将离任的执行董事Brandon Wales表示。

CISA是国土安全部的一个单位，今年已在选举办公室和投票亭进行了超过600次的物理安全评估。Wales表示，官员们讨论了在投票地点周围安装更多摄像头和阻止车辆攻击的障碍物。

选举工作人员也正在接受去升级培训，以应对在选举办公室或投票站可能爆发暴力的场景，或在活跃的枪击事件中。

“我们还讨论他们与当地执法部门的联系。他们是否建立了正确的关系，以便在需要帮助时，双方都知道该期待什么？”威尔士告诉彭博新闻。

CISA自2017年以来还对选举网络进行了数百次网络安全评估。这些测试涉及检查漏洞、扫描数字风险，并尝试在黑客之前发现任何弱点，他说。

威尔士在政府工作超过20年后离开CISA。他的最后一天是8月14日。 — 杰米·塔拉拜

我们正在阅读的内容

乌克兰执法部门逮捕了一名嫌疑人，他涉嫌纵火警车并在线向俄罗斯宣传其他“服务”。
疑似中国黑客袭击了一个台湾研究中心。
达美航空表示，CrowdStrike 的故障对美国队的旅行计划造成了严重影响。
关于大规模囚犯交换的扣人心弦的故事，使埃文·格尔什科维奇获释。
俄罗斯黑客弗拉基斯拉夫·克柳辛，作为囚犯交换的一部分被美国送回家，据信掌握有关2016年选举干预的秘密。这是关于他的权威故事。
《界限》 播客探讨了军事行动与战争罪之间的道德和法律界限，美国海豹突击队是叙述的中心。
英国的最臭名昭著的犯罪是否以错误定罪告终？

钓鱼已去

**有新闻提示吗？**您可以联系杰夫·斯通 [email protected]。您还可以使用我们的 SecureDrop 安全且匿名地发送文件。

我们本周学到的

我们正在阅读的内容

钓鱼已去

更多来自彭博社