信息化觀察網(wǎng)

近日，以色列安全研究公司Security Joes發(fā)現(xiàn)，全球100多個地方安裝的Mottech Water Management公司的智能灌溉系統(tǒng)沒有更改出廠默認密碼，這些聯(lián)網(wǎng)設備很容易受到黑客的惡意攻擊。

研究人員立即向以色列CERT，受影響的公司以及智能灌溉系統(tǒng)供應商Mottech Water Management發(fā)出警報。

Mottech公司的系統(tǒng)可以通過臺式機和手機對農(nóng)業(yè)和草皮/園林綠化設施進行實時控制和灌溉監(jiān)控。傳感器網(wǎng)絡允許將水和肥料靈活，實時地分配給系統(tǒng)中的不同閥門。攻擊者訪問網(wǎng)絡可能導致灌溉系統(tǒng)淹沒田地或過量施肥，造成嚴重損失。

Security Joes的聯(lián)合創(chuàng)始人伊多·納爾（Ido Naor）表示，公司會定期在互聯(lián)網(wǎng)上掃描以色列的開放設備以檢查漏洞。最近，其研究人員發(fā)現(xiàn)，開放的互聯(lián)網(wǎng)上可以看到以色列境內(nèi)的55個灌溉系統(tǒng)，而沒有密碼保護。擴大搜索范圍后，他們發(fā)現(xiàn)了50個其他國家/地區(qū)的無保護設備，分布在法國、韓國、瑞士和美國等國家/地區(qū)。

“我們正在談論的是成熟的灌溉系統(tǒng)，它們可能是整個城市，”Naor說。“我們不會仔細查看灌溉系統(tǒng)的具體地址，因為我們不想造成任何麻煩。”

Naor透露，在最后一次檢查中，到目前為止，只有大約20％的已識別脆弱灌溉設備采取了緩解措施來保護它們。

以色列的供水系統(tǒng)曾遭攻擊

灌溉和供水系統(tǒng)的安全性問題不是杞人憂天，尤其是在以色列。據(jù)《以色列時報》報道，去年四月伊朗對以色列水系統(tǒng)發(fā)起網(wǎng)絡攻擊，試圖增加水中的氯含量以毒害平民，并最終中斷水供應。

據(jù)以色列時報報道，該國國家網(wǎng)絡管理局局長伊加爾·烏納（Yigal Unna）在5月下旬的亞洲CybertechLive會議上發(fā)出警告，即對人民的直接網(wǎng)絡攻擊掀開了網(wǎng)絡戰(zhàn)的新篇章。

報告說：“網(wǎng)絡冬季到來的速度比我想象的還要快，”他在會議上說，“我們才剛剛開始。”

七月的幾周后，以色列水務局表示，它能夠制止對以色列的農(nóng)業(yè)用水泵的襲擊以及對“國家中部”供水基礎設施的襲擊。

Naor說，這次發(fā)現(xiàn)的沒有密碼保護的灌溉系統(tǒng)與以前的攻擊無關。

目標鎖定以色列以外的公用事業(yè)

水系統(tǒng)的漏洞當然不僅限于以色列。

上個月，研究人員發(fā)現(xiàn)了CodeMeter的六個嚴重漏洞，該設備用于為美國的工業(yè)系統(tǒng)（包括水和電力設施）供電，可被利用來發(fā)起攻擊甚至允許第三方接管系統(tǒng)。

整個夏天，研究人員發(fā)現(xiàn)，用于在工業(yè)環(huán)境中遠程訪問運營技術（OT）網(wǎng)絡的VPN使現(xiàn)場設備容易受到攻擊，這可能會導致關機甚至造成物理損壞。

政府正在努力跟上整個關鍵基礎設施系統(tǒng)中物聯(lián)網(wǎng)（IoT）設備的增長。在美國，眾議院于9月通過了立法，規(guī)定了聯(lián)邦政府內(nèi)部對IoT設備的最低要求。

Naor指出，制定物聯(lián)網(wǎng)設備的最低安全標準是關鍵基礎架構保障的重要一步。他補充說，運營商需要認真對待安全性，兩因素身份驗證應該是從移動設備訪問這些物聯(lián)網(wǎng)系統(tǒng)的最低要求。