账号:
密码:
CTIMES/SmartAuto / 新闻 /
趋势科技:老旧程式语言可能具备设计缺陷与漏洞
 

【CTIMES/SmartAuto 王岫晨 报导】   2020年08月06日 星期四

浏览人次:【4616】
  

趋势科技发表一份新的研究报告指出老旧程式语言的设计缺陷,同时也提出一些程式设计安全原则来协助工业 4.0 开发人员大幅减少软体的受攻击面,希??藉此降低营运技术 (OT) 环境中断营运的情况。

趋势科技研究机构与米兰理工大学共同发表OT程式开发基本安全原则,披露老旧程式语言的设计缺陷与漏洞。
趋势科技研究机构与米兰理工大学共同发表OT程式开发基本安全原则,披露老旧程式语言的设计缺陷与漏洞。

这份趋势科技与米兰理工大学 (Politecnico di Milano) 合作的研究显示一些老旧程式语言的设计缺陷如何造成自动化程式的漏洞。这些资安缺陷可让骇客挟持工业机器人与自动化设备,进而造成生产线中断或智慧财产遭窃。根据这项研究指出,工业自动化领域目前还不知该如何侦测及防范这类漏洞攻击,因此,业界有必要开始建立和实施一些网路资安与程式设计安全实务原则。针对这点,这份研究也提出了一些新的原则。

趋势科技基础架构策略??总裁 Bill Malik 指出,OT 系统一旦连上了网路几??就无法再套用修补更新,如此一来,一开始的程式设计安全就变得无比重要。今日工业自动化的软体骨干需仰赖一些老旧技术来运作,而这些技术却经常暗藏一些潜在漏洞 (如 Urgent/11 与 Ripple20),或是一些像千禧虫 (Y2K) 这类的架构缺陷。我们不但希??点出这些问题,更希??能再次率先提出工业 4.0 资安对策,针对程式设计、撰写、验证以及後续维护,提供明确的指导原则及扫描工具来拦截恶意与含有漏洞的程式码。

一些老旧专属系统的程式设计语言,如:RAPID、KRL、AS、PDL2 及 PacScript 在当初设计时都未设想到骇客可能的攻击方式。这些几十年前的产物,现在却成了今日工厂自动化的重要关键。

问题是它们无法轻易修补漏洞,这些使用专属语言撰写的自动化程式不仅可能存在漏洞的问题,研究人员还证明,其中的某个语言可能被用来制作一种新型的自我复制恶意程式。

趋势科技研究机构 Trend Micro Research 与工业机器人作业系统协会 (ROS-Industrial Consortium) 共同提出了一些建议来降低这些漏洞遭骇客攻击的机会。

欧洲工业机器人作业系统协会 (ROS-Industrial Consortium Europe) 产品经理 Christoph Hellmann Santos 表示,大多数的工业机器人都是针对隔离的生产线网路而设计,并且采用老旧的程式语言。所以,它们一旦连上企业 IT 网路,就很可能遭到骇客攻击。为此,ROS-Industrial 与趋势科技合作,针对采用 ROS 来控制工业机器人的环境,提出一些如何正确安全地架设网路的指导原则。

如上所述,使用这类老旧程式语言来控制工业机器人动作的自动化工作程式,其实是「可以」写得更安全一点,如此就能降低工业 4.0 的风险。以下就是自动化工作程式撰写的一些基本安全原则:

· 将工厂设备视为电脑,将工作程式视为强大的程式码。

· 每一次的通讯都须验证。

· 实施存取控管政策。

· 务必检查输入的资料。

· 务必清理输出的资料。

· 建立适当的错误处理机制却不要暴露太多细节。

· 建立适当的组态设定与部署程序。

此研究在 8 种最普遍的工业机器人程式设计平台上发现了一些涉及敏感安全性的功能,以及 40 个开放原始码漏洞。有一家厂商已经将含有某个漏洞的自动化程式从其工业应用程式软体商店下架,还有另外两个漏洞也已获得厂商确认并带来了良性互动。除此之外,这些漏洞的相关细节也经由 ICS-CERT 在他们自己的社团上分享。

Trend Micro Research 与米兰理工大学还共同开发了一套专利申请中的工具来侦测工作程式中的漏洞或恶意程式码,希??藉此防范执行时期问题。

相关新闻
4G LTE / 5G在连网汽车扩展 高通Snapdragon汽车无线平台带动成长
Western Digital携手Qumulo 加速疫苗开发的数据分析与预测
凌华、友嘉、资策会 联手打造分散式群机智能未来工厂
5G应用持续放量 联发科将在笔电与CPE渐露头脚
强化数位资料安全 群联推FIPS 140-2认证SSD储存方案
comments powered by Disqus
相关讨论
  相关新品
mbed
原厂/品牌:RS
供应商:RS
產品類別:
Arduino
原厂/品牌:RS
供应商:RS
產品類別:
Raspberry Pi
原厂/品牌:RS
供应商:RS
產品類別:
  相关产品
» Silicon Labs全新SmartClock技术 提供汽车时脉产品故障检测功能
» 高通推出第四代Snapdragon汽车驾驶座系列平台
» 晶心最新RISC-V处理器系列 支援多核超纯量及具备L2快取控制器
» ams推出高速工业影像感测器 加速工厂AOI瑕疵检测
» u-blox推出ALEX-R5微型蜂巢式模组 以SiP封装升级定位装置精准度
  相关文章
» 解决高达90瓦乙太网路供电(PoE)的相互操作性挑战
» 直接透过汽车电池输入进行DC-DC转换
» 5G装置竞赛启动 OTA测试开启新战局
» 商用氢燃料电池强力驱动无人机执行救援任务
» 测距精准不用愁 飞行时间感测器持续进化
  相关资源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2021 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw