在本周于佛罗里达州迈阿密举办的 Pwn2Own 2022 大会上,两名来自荷兰的白帽黑客获得了第四次胜利。作为这场年度黑客大会的大赢家,Dean Keuper 和 Thijs Alkemade 获得了 90000 美元奖励、且捧走了冠军奖杯。此前这对搭档曾于 2012、2018 和 2021 年创下过佳绩。
本次挑战期间,俩人将目标瞄向了名为“OPC UA”的工业控制软件。其采用的开源通信协议,被广泛应用于连接全球电网和其它关键基础设施等工业系统。
尽管攻破 OPC UA 已经让外人感到相当不安,Keuper 和 Alkemade 仍声称这是他们能够搞定的“最简单”的系统。
Keuper 在接受 MIT 科技评论采访时称:“在工业控制系统中,仍有许多隐患可被轻松利用,该领域的安防已经严重落后于现实世界”。
Alkemade 补充道,在工控环境中的操作相当容易得逞。事实上,俩人还攻击了其它几套基础设施系统,但仅耗时两天就攻破了 OPC UA 。
Daan Keuper 和 Thijs Alkemade 收到了 Master of Pwn 奖杯与夹克
Keuper 指出:“OPC UA 被用于连接世界各地的基础设施,作为典型的工业 *** 核心组件,我们可绕过通常需要读取或修改任何内容的身份验证”。
正因如此,他们才花了几天时间就找到了突破口,并最终成功入侵了被世人认为相当重要的工控系统。
联想到俄乌冲突期间发生的针对能源、水利、以及核基础设施系统的 *** 攻击,相关行业显然需要打起十二分精神去巩固安全措施。
最后,虽然报道未提及开发者是否已经修补了 OPC UA 漏洞,但考虑到 Pwn2Own 赛事主办方 Zero Day Initiative 的“私下披露奖励政策”,目前暂可推定它是安全的。
转自 cnBeta ,原文链接:https://www.cnbet *** /articles/tech/1261601.htm
封面来源于 *** ,如有侵权请联系删除
Facebook动态消息(News Feed)因为存在重大排序错误,过去6个月一直推送“糟糕”内容。由于排序算法存在漏洞,动态消息抬高了虚假、暴力信息的权重。去年10月,工程师发现推送有问题,当时动态消息中的虚假信息明显增多。 虚假信息本来是经过事实核查员审查过的,应该早早得到抑制,但这些信息却四处...
据Techspot报道,乌克兰国家安全局(SBU)宣布,自俄罗斯入侵该国以来,该机构已发现并关闭了5个运营10万个社交媒体账户的机器人农场,这些账户传播与入侵有关的假新闻。 SBU在一份新闻稿中写道,这些农场位于包括哈尔科夫、切尔卡瑟、捷尔诺皮尔和外喀尔巴阡在内的地区,被用于 “大规模信息破坏”,...
以美国为首的“五眼”网络安全部门,刚刚向其盟友(包括英国、加拿大、澳大利亚和新西兰)发出了关键网络基础设施的维护警告。美国家安全局(NSA)给出的理由是 —— 受俄罗斯支持的黑客组织,或对乌克兰境内外的组织构成更大的风险 —— 因而建议各组织对相关网络威胁保持高度警惕,并遵循联合咨询中提当过的缓解...
Project Zero 是由 Google 专家和分析师组成的内部团队,负责寻找零日漏洞和其他对网络产生威胁的漏洞。本周二,该团队发布公告称,在 2021 年共发现了 58 个已被黑客利用的漏洞,刷新了历史记录。 零日漏洞是指开发人员刚刚意识到的安全缺陷,因此,他们有“零天”时间来修复...
在周一发布的联合公告中,美国网络与基础设施安全局(CISA)、联邦调查局(FBI)和财政部指出 —— 被称作 Lazarus Group 的黑客组织,正在使用被植入木马的加密货币应用程序,向区块链行业的各个组织发起攻击。据说受害者中包括加密货币交易所、风投、持有大量加密货币 / 非同质化代币(NFT...
反病毒软件主要根据各种病毒特征进行预防、隔离等操作,但有时候也会出现误杀的情况。UserBenchmark 就是最新案例。根据 VirusTotal,这个流行的免费基准测试工具已被近二十个网站标记为恶意软件。 UserBenchmark 是一个轻量级的免费软件,可以测试你的 CPU、GPU、内...