上周美国一家净水厂遭黑客远程控制重要系统,差点造成危害水质。麻州政府于本周发布公告,指出酿祸原因在使用了Windows 7、TeamViewer,以及没装防火墙、共享密码等不安全的环境及使用行为。
上周五早上,美国佛罗里达州位于奥德马尔(Oldsmar)市的净水处理厂,内部计算机软件遭不明人士通过TeamViewer连接访问,企图将用于改善水质的氢氧化钠浓度,从正常的100 ppm调高到危险的11,100 ppm。虽然最后因为管理员发现而未酿成大祸,但也引发恐慌。
麻州政府在对公共给水企业的公告中,说明整起事件的肇祸症结。佛州这家净水厂将远程桌面软件TeamViewer,安装在净水厂管理员用来检查系统状态及问题排除(troubleshoot)的其中一台计算机上。管理员使用的所有计算机都连上了系统监控和资料搜集(SCADA,Supervisory Control And Data Acquisition)系统,也都还在跑32-bit Windows 7操作系统。此外,所有计算机共享同一组远程访问的密码,且似乎也都直接连上互联网,公司系统没有任何防火墙防护。
同时,ZDNet引述FBI本周发出的民间产业通知(Private Industry Notice,PIN),警告使用微软已不支持的Windows 7、弱密码及TeamViewer等桌面共享软件有高风险,呼吁民间和联邦政府机关检查内部网络和访问政策。
FBI更指出TeamViewer让攻击者得以远程控制受害计算机或植入恶意文件,好比RAT。但是它比RAT风险更高,因为攻击者合法使用TeamViewer,会降低终端用户与管理员对异常活动的警觉性。
麻州政府建议公共给水企业严禁SCADA系统的远程连接,特别是允许实际管控和操弄SCADA网络内的设备,最好以单向式监控设备来监控SCADA系统,也应安装防火墙软、硬件,防火墙不得和非授权来源连接。
其次,应将计算机、设备的软件及应用程序,包括SCADA/工控系统软件升级到最新版本,确实安装修补程序,其中应优先修补有已知漏洞的联网系统,以及处理互联网资料的软件,像是浏览器、浏览器插件或文件读取器等。最后,应激活具强密码的双重验证,也最好以VPN等安全连接来远程访问。