首頁 科技新聞 趨勢科技研究機構披露舊程式語言的設計缺陷與漏洞

分享
文章

趨勢科技研究機構披露舊程式語言的設計缺陷與漏洞

Media OutReach
趨勢科技研究機構披露舊程式語言的設計缺陷與漏洞

與米蘭理工大學共同發表 OT 程式開發基本安全原則

 

香港,中國 - Media OutReach - 2020年8月5日- 全球網絡資訊保安方案領導廠商趨勢科技(東京證券交易所股票代碼:4704)今天發表一份新的研究報告指出老舊程式語言的設計缺陷,同時也提出一些程式設計安全原則來協助工業 4.0 開發人員大幅減少軟件的受攻擊面,希望藉此降低營運技術 (OT) 環境中斷營運的情況。

 

這份由趨勢科技與米蘭理工大學 (Politecnico di Milano) 合作的研究顯示,一些老舊程式語言的設計缺陷如何造成自動化程式的漏洞。這些資訊保安缺陷可讓黑客挾持工業機械人與自動化設備,進而造成生產線中斷或知識產權被竊。研究指出,工業自動化領域目前仍未知該如何偵測及防範這類漏洞攻擊,因此,業界有必要開始建立和實施一些網絡資訊保安與程式設計安全實務原則。針對這點,這份研究也提出了一些新的原則。

 

趨勢科技基礎架構策略副總裁 Bill Malik 指出:「OT 系統一旦連上網絡,幾乎就無法再套用修補更新,因此一開始的程式設計就變得無比重要。今日工業自動化的軟件骨幹需依賴一些老舊技術來運作,而這些技術卻經常暗藏一些潛在漏洞(如 Urgent/11 與 Ripple20),或是一些像千年蟲(Y2K)這類的架構缺陷。我們不但希望點出這些問題,更希望能再次率先提出工業 4.0 資訊保安對策,針對程式設計、撰寫、驗證以及後續維護,提供明確的指導原則及掃描工具來攔截惡意與含有漏洞的程式碼。」

 

一些老舊專屬系統的程式設計語言如 RAPID、KRL、AS、PDL2 及 PacScript,在當初設計時都未想到黑客可能採用的攻擊方式。這些幾十年前的產物,現在卻成為了今日工廠自動化的重要關鍵設施。

 

但問題是它們無法輕易修補漏洞,這些使用專屬語言撰寫的自動化程式不僅可能存在漏洞問題,研究人員還證明,其中的某些語言更可能被用來製作新型的自我複製惡意程式。

 

趨勢科技研究機構 Trend Micro Research 與工業機械人作業系統協會(ROS-Industrial Consortium)共同提出了一些建議來降低這些漏洞遭黑客攻擊的機會[1]。

 

歐洲工業機械人作業系統協會(ROS-Industrial Consortium Europe)產品經理 Christoph Hellmann Santos 表示:「大多數的工業機械人都是為隔離的生產線網絡而設計,並且採用老舊的程式語言。所以,它們一旦連上企業資訊網絡,就很可能遭到黑客攻擊。為此,ROS-Industrial 與趨勢科技合作,針對採用 ROS 來控制工業機械人的環境,提出一些如何正確安全地架設網絡的指導原則。」

 

如上所述,使用這類老舊程式語言來控制工業機械人動作的自動化工作程式,其實是可以寫得更安全一點,如此就能降低工業 4.0 的風險。以下就是自動化工作程式撰寫的一些基本安全原則:

 

  • 將工廠設備視為電腦,將工作程式視為強大的程式碼。
  • 每一次的通訊都須驗證。
  • 實施存取管控政策。
  • 務必檢查輸入的資料。
  • 務必清理輸出的資料。
  • 建立適當的錯誤處理機制但不要暴露太多細節。
  • 建立適當的配置與部署程序。

 

此研究在 8 種最普遍的工業機械人程式設計平台上發現了一些涉及敏感安全性的功能及 40 個開放原始碼漏洞。有一家廠商已將含有漏洞的自動化程式從其工業應用程式商店下架,還有另外兩個漏洞也已獲得廠商確認並帶來了良性互動。除此之外,這些漏洞的相關細節也經由 ICS-CERT 在他們自己的群組上分享[2]。

 

Trend Micro Research 與米蘭理工大學還共同開發了一套正申請專利的工具來偵測工作程式中的漏洞或惡意程式碼,希望藉此防範執行時期問題。

 

這份研究的結果於 8 月 5 日舉行的 Black Hat USA 黑客大會以及 10 月份將在台北舉行的 ACM AsiaCCS 研討會上發表。

 

進一步資訊請參閱完整研究報告:https://www.trendmicro.com/vinfo/hk/security/news/internet-of-things/unveiling-the-hidden-risks-of-industrial-automation-programming 。

關於趨勢科技

趨勢科技為網絡資訊保安方案全球領導廠商,致力建立一個安全的資訊交換世界。我們專為消費者、企業及政府機構設計的創新方案,能為數據中心、雲端環境、網絡及用戶端裝置提供多層式安全防護。我們的產品皆彼此整合、共享威脅情報,提供環環相扣的威脅防禦與中央化視野及監控能力,實現更好、更快的防護。趨勢科技全球共 6,000 多名員工遍佈 50 多國,並擁有全世界最先進的全球威脅情報,能妥善保護您的連網世界。如需更多資訊,請至:http://www.trendmicro.com.hk

FaceBook
最新網路流行話題掌握 歡迎一起加入
分享至Facebook

FACEBOOK粉絲留言版

你可能會想看的文章
趨勢科技研究發現 39% 員工 會從個人裝置存取企業資料 趨勢科技研究發現企業內部及雲端伺服器被入侵成為犯罪地下市場商品 趨勢科技與 Snyk 擴大結盟,透過技術合作解決開放源碼軟件開發風險 趨勢科技 2020 上半年攔截了 880 萬次冠狀病毒病相關威脅 趨勢科技舉辦全球 Capture the Flag(CTF)網絡攻防搶旗賽 趨勢科技 Zero Day Initiative(ZDI)漏洞懸賞計劃 再度領導漏洞揭露市場 【區塊鏈】跨鏈技術趨勢 – 深度解析Polkadot(一) 趨勢科技研究發現工業 4.0 與 IT 連接的關鍵介面重大漏洞 趨勢科技研究機構披露舊程式語言的設計缺陷與漏洞 趨勢科技推出雲端方案保護 Microsoft Azure 配置錯誤 一分鐘講堂:趨勢科技「智慧網安管家」,防護控管家中連網裝置 趨勢科技再次榮獲全球混合雲防護市佔率第一 10大科技重點垂直應用商機 MIC為台灣後疫情時代點亮新活路 趨勢科技揭發工業 4.0 重大黑客手法 【林克威專欄】即便駭客入侵依舊上演,企業能可利用資安意識回防! 趨勢科技 2019 年攔截近 1,300 萬次高風險電郵威脅 趨勢科技年度資訊保安報告 勒索程式偵測數量增長10% 趨勢科技年度資安總評出爐 去年攔截超過6100萬次勒索病毒攻擊 愛國情操迸發 陸股國產芯片狂漲 理財從銅板開始!「6:3:1」法則是小資理財的入門款...
大家都在看
這款父母!夜排搶限量口罩 讓兒睡... 台中市公車「10km免費」 明年... 張藝興 「富察皇后」根本美過秦嵐... 來基隆別再去和平島啦!基隆在地人... 【有影】國外屢驗出台人陽性 專家... 這款父母!夜排搶限量口罩 讓兒睡... 鹹粥10元…基隆物價超便宜「2殘... 週六補班小確幸!超商推咖啡買一送... 章子怡全素顏大啖火鍋照片曝光!網...

首頁 科技新聞 趨勢科技研究機構披露舊程式語言的設計缺陷與漏洞