New
methods put industrial sabotage in hackers’ reach
By Jordan Robertson,
Associated Press
National / World News
7:27 a.m. Monday, October 24, 2011
Bài được đưa lên
Internet ngày: 24/10/2011
Lời
người dịch: Sau Stuxnet, thế giới đã không còn an toàn
như trước được nữa và “Các kỹ thuật đã thể hiện
trong những tháng gần đây nhấn mạnh tới sự nguy hiểm
cho các nhà máy điện, các hệ thống nước và hạ tầng
sống còn khác... Nhà nghiên cứu về an ninh Dillon Beresford
nói ông mất chỉ 2 tháng và 20.000 USD thiết bị để tìm
ra hơn một tá những chỗ bị tổn thương trong cùng dạng
các trình điều khiển điện tử được sử dụng tại
Iran. Những thứ này cho phép ông chiếm quyền kiểm soát
từ xa các thiết bị và tái lập trình chúng... Thậm chí
nhà tù cũng có khả năng bị tổn thương. Một đội
nghiên cứu đã được phép điều tra một cơ sở giáo
dưỡng - không cho biết tên là gì - và thấy những chỗ
bị tổn thương mà có thể cho phép nó mở và đóng các
cửa ra vào, tắt bỏ các cảnh báo và giả mạo với
thông tin giám sát của video”.
San Jose, Calif. - Khi
một cuộc tấn công máy tính đã đánh què nhà máy điện
hạt nhân của Iran vào năm ngoái, được giả thiết là
những tay tin tặc chuyên nghiệp hàng elite thực hiện với
sự trợ giúp của một số quốc gia.
Vâng những yếu tố
chính bây giờ đã được nhân bản trong những thiết lập
trong phòng thí nghiệm từ những chuyên gia về an ninh với
ít thời gian, tiền bạc và kỹ năng chuyên dụng hơn. Sự
phát triển đáng cảnh báo đó chỉ ra những tiến bộ kỹ
thuật đang làm xói mòn thế nào rào cản mà từ lâu đã
cản trở các cuộc tấn công máy tính từ nhảy vọt tới
thế giới vật lý.
Các
kỹ thuật đã thể hiện trong những tháng gần đây nhấn
mạnh tới sự nguy hiểm cho các nhà máy điện, các hệ
thống nước và hạ tầng sống còn khác.
“Mọi thứ hình như
cực kỳ đáng sợ ít năm về trước bây giờ đang tới”,
Scott Borg, giám đốc Đơn vị Hậu quả Không gian mạng
của Mỹ, một nhóm phi lợi nhuận giúp chính phủ Mỹ
chuẩn bị cho các cuộc tấn công trong tương lai.
Các
cuộc tấn công đang gia tăng. Phòng thí nghiệm Quốc gia
Idaho, ngôi nhà cho các phòng thí nghiệm bí mật dự định
bảo vệ các lưới điện, các hệ thống nước và các
hạ tầng sống còn khác, đã đáp trả nhiều hơn 3 cuộc
tấn công máy tính vào năm nay so với năm ngoái, Bộ An
ninh Nội địa đã hé lộ.
Nhiều năm, các tin
tặc có mục đích bệnh hoạn đã mơ về việc trút sự
tàn phá vào các cơ sở công nghiệp bằng việc đốt cháy
các nhà máy điện, làm nổ các đường ống dẫn dầu và
khí, hoặc làm ngưng các nhà máy sản xuất.
Nhưng chúng đã thiếu
một cách để chiếm quyền kiểm soát từ xa các hộp
“kiểm soát” điện tử đối với các máy móc hạng
nặng.
SAN
JOSE, Calif. — When a computer attack hobbled Iran’s nuclear
power plant last year, it was assumed to be by elite hacking
professionals with some nation’s backing.
Yet
key elements have now been replicated in laboratory settings by
security experts with little time, money or specialized skill. That
alarming development shows how technical advances are eroding the
barrier that has long prevented computer assaults from leaping to the
physical world.
Techniques
demonstrated in recent months highlight the danger to power plants,
water systems and other critical infrastructure.
“Things
that sounded extremely unlikely a few years ago are now coming
along,” said Scott Borg, director of the U.S. Cyber Consequences
Unit, a nonprofit group that helps the U.S. government prepare for
future attacks.
Attacks
are increasing. The Idaho National Laboratory, home to secretive labs
intended to protect power grids, water systems and other critical
infrastructure, has responded to three times more computer attacks
this year than last year, the Department of Homeland Security has
revealed.
For
years, ill-intentioned hackers have mused about wreaking havoc in
industrial settings by burning out power plants, bursting oil and gas
pipelines, or stalling manufacturing plants.
But
they’ve lacked a way to take remote control of the electronic
“controller” boxes for heavy machinery.
Cuộc
tấn công vào Iran, với một sâu máy tính gọi là Stuxnet,
đã thay đổi tất cả điều đó. Bây giờ, các chuyên
gia an ninh - và có lẽ, cả những tin tặc độc hại -
đang chạy đua tìm kiếm các điểm yếu. Họ đã tìm thấy
nhiều.
Các
kỹ thuật tin tặc mới làm cho tất cả các dạng hạ
tầng - kể cả các nhà tù - có khả năng bị tổn thương
nhiều hơn.
Các trình kiểm soát
điện tử làm các lệnh máy tính và chuyển các lệnh đó
tới máy móc, như việc điều chỉnh tốc độ của một
băng tải.
Ví dụ, Stuxnet đã
được thiết kế để gây thiệt hại cho các máy li tâm
trong nhà máy hạt nhân đang được xây dựng tại Iran
bằng việc gây ảnh hưởng cách mà các trình kiểm soát
được chỉ thị nhanh thế nào cho các máy li tâm quay.
Nhà
nghiên cứu về an ninh Dillon Beresford nói ông mất chỉ 2
tháng và 20.000 USD thiết bị để tìm ra hơn một tá những
chỗ bị tổn thương trong cùng dạng các trình điều
khiển điện tử được sử dụng tại Iran. Những thứ
này cho phép ông chiếm quyền kiểm soát từ xa các thiết
bị và tái lập trình chúng.
“Điều gì tất cả
những thứ này nói lên là bạn không phải là một nhà
nước quốc gia để thực hiện thứ này. Điều đó thật
đáng sợ”, Joe Weiss, một chuyên gia hệ thống kiểm soát
công nghiệp, nói.
Thậm
chí nhà tù cũng có khả năng bị tổn thương. Một đội
nghiên cứu đã được phép điều tra một cơ sở giáo
dưỡng - không cho biết tên là gì - và thấy những chỗ
bị tổn thương mà có thể cho phép nó mở và đóng các
cửa ra vào, tắt bỏ các cảnh báo và giả mạo với
thông tin giám sát của video.
Các nhà nghiên cứu
đã lưu ý các trình kiểm soát giống như vậy tại Iran.
Họ
nói là sống còn phải cách ly các hệ thống kiểm soát
sống còn khỏi Internet để ngăn chặn các cuộc tấn công
như vậy.
The
attack on Iran, by a computer worm called Stuxnet, changed all that.
Now, security experts — and presumably, malicious hackers — are
racing to find weaknesses. They’ve found plenty.
New
hacking techniques make all kinds of infrastructure — even prisons
— more vulnerable.
Electronic
controllers take computer commands and send instructions to
machinery, such as regulating a conveyor belt’s speed.
Stuxnet,
for example, was designed to damage centrifuges in the nuclear plant
being built in Iran by affecting how fast the controllers instructed
the centrifuges to spin.
Security
researcher Dillon Beresford said it took him just two months and
$20,000 in equipment to find more than a dozen vulnerabilities in the
same type of electronic controllers used in Iran. Those let him take
remote control of the devices and reprogram them.
“What
all this is saying is you don’t have to be a nation-state to do
this stuff. That’s very scary,” said Joe Weiss, an industrial
control system expert.
Even
prisons are vulnerable. One research team was allowed to inspect a
correctional facility — it won’t say which one — and found
vulnerabilities that would allow it to open and close the doors,
suppress alarms and tamper with video surveillance feeds.
The
researchers noticed controllers like the ones in Iran.
They
said it was crucial to isolate critical control systems from the
Internet to prevent such attacks.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.