大手笔鼓励挖掘ICS和相关协议漏洞,Pwn2Own的“新业务”想传达什么? - 微啦网

微啦网 首页 > 学霸

大手笔鼓励挖掘ICS和相关协议漏洞,Pwn2Own的“新业务”想传达什么?

2019-10-29 22:30 weila

自2007年以来,Pwn2Own便鼓励参赛者,以广泛使用的软件和具有未知漏洞的设备作为挑战项目,挖掘尚未被发现的威胁以及0Day,而动辄上万美金的奖励,更使得这一活动成为网络安全行业的风向标式的存在。

与以往不同,今年的Pwn2Own从关注浏览器和操作系统扩展到了新领域,这其中就包括工业互联网安全。

大手笔扶持“新业务”

今年大会,Pwn2Own新增了关于发现ICS和相关协议中缺陷的比赛项目,并且对该项目提供了超过250000美元的悬赏,可以称得上是大手笔了。

“和其他竞赛一样,Pwn2Own试图通过揭示漏洞并将研究结果提供给供应商来强化这些平台”, Pwn2Own组织者、零日计划(ZDI)发起人Brian Gorenc在周一的帖子中说。

雷锋网了解到,Pwn2Own Miami为以下五个ICS类别的漏洞提供了各种奖励:

1、控制服务器解决方案,可在不同的可编程逻辑控制器(PLC)之间提供连接,监视和控制,该PLC监视输入和输出并为自动化系统做出基于逻辑的决策。

2、OPC统一体系结构服务器实际上是“ ICS体系中的通用转换器协议”,它将各种OPC Classic规范背后的功能集成到一个可扩展的框架中。

3、DNP3,在ICS系统的各个组件之间使用的一组通信协议(北美电网中的主要协议)。

4、人机界面(HMI)/操作员工作站,可将机器操作员连接到工业控制系统的各种硬件组件。

5、工程工作站软件,可以直接通信并可以配置PLC等主要控制设备,还可以配置基于角色的机制。

1、控制服务器解决方案,可在不同的可编程逻辑控制器(PLC)之间提供连接,监视和控制,该PLC监视输入和输出并为自动化系统做出基于逻辑的决策。

展开全文

2、OPC统一体系结构服务器实际上是“ ICS体系中的通用转换器协议”,它将各种OPC Classic规范背后的功能集成到一个可扩展的框架中。

3、DNP3,在ICS系统的各个组件之间使用的一组通信协议(北美电网中的主要协议)。

4、人机界面(HMI)/操作员工作站,可将机器操作员连接到工业控制系统的各种硬件组件。

5、工程工作站软件,可以直接通信并可以配置PLC等主要控制设备,还可以配置基于角色的机制。

黑客将可以专注于特定设备来发现各种漏洞,包括未经身份验证的崩溃或拒绝服务漏洞,信息泄露故障和远程执行代码漏洞。

不想挣大钱的黑客不是好选手,哪个项目给的赏金最多?

答案是:远程执行代码漏洞。

假设黑客在Iconics Genesis64(控制服务器)或Triangle Microworks SCADA数据网关(DNP3网关)等产品中找到这些漏洞,将获得最高20000美元的奖金。

如果选手更推崇以少积多的打法,那么了解其他项目的赏金金额也是很有必要的:

据零日计划倡议组织透露,本届Pwn2Own大会将在明年(1月21日至1月23日)在迈阿密举行的S4会议上举行。

Pwn2Own想传达什么?

Pwn2Own大手笔扶持“新业务”开展,并非只是人傻钱多的表现。

在过去一年里,由于黑客攻击事件造成的停水、停电等造成大面积负面影响的实例不在少数。

2019年2月,罗克韦尔自动化的工业控制应用的电能计量设备Allen-Bradley PowerMonitor 1000被发现存在两个漏洞。

一个跨站脚本漏洞可以让远程攻击者将任意代码注入目标用户的Web浏览器以获取对受影响设备的访问权限;另一个身份验证绕过漏洞,可以允许远程攻击者使用代理来启用通常对具有Web应用程序管理权限的人员可用的功能。绕过身份验证后,攻击者可以更改用户设置和设备配置。

2019年8月,安全公司 McAfee 的研究人员率先发现楼宇综合管理系统 (BMS)存在漏洞。

该漏洞影响 enteliBUS Manager(个用于管理不同 I / O 开关的控制系统),这些不同的 I / O 开关通常是连接到传感器、报警器、电机、锁、阀门和其他工业设备等物体。



内蒙古快3 上海11选5计划 港龙彩票计划群 极速赛车七码规律 玖玖棋牌游戏 金福彩票计划群 上海11选5计划 贵州快3走势 699彩票计划群 51彩票计划群