مطالب پربازدید

1403/08/29 - 07:56- هوش مصنوعي

هوش مصنوعی و دانش‌آموزان؛ تحولی که باید برای آن آماده شد

آموزش و پرورش، به خصوص مدارس به عنوان مهم‌ترین بستر تربیت نسل آینده، نقش کلیدی در آماده‌سازی دانش‌آموزان برای ورود به دنیای هوش مصنوعی دارد. اکنون هوش مصنوعی برای دانش‌آموزان یک انتخاب نیست، بلکه یک ضرورت است.

1403/09/24 - 08:40- آسیا

ساخت پیچیده‌ترین سلاح سایبری زیرساختی جهان توسط ایران

کارشناسان ادعا کردند که بدافزار مرتبط با ایران زیرساخت‌های حیاتی ایالات متحده و رژیم صهیونیستی را هدف قرار داده است.

1403/09/28 - 07:37- آسیا

راه‌اندازی اولین کامپیوتر کوانتومی ساخت رژیم صهیونیستی

رژیم صهیونیستی از راه‌اندازی اولین کامپیوتر کوانتومی ساخت خود با استفاده از فناوری پیشرفته ابررسانا خبر داد.

انتشار شده در تاریخ 1394/06/28 - 15:41

کشف حفره بزرگ امنیتی در صنعت

به گزارش واحد متخصصین سایبربان؛ محقق مستقلی به نام Alexander Bolshev آسیب‌پذیری عدم مایید صلاحیت ورودی را در کتابخانه (Library) تجهیزات مدیریتی (DTM) HART شناسایی کرده است. شرکت CodeWrights GmbH کتابخانه‌های DTM را برای فروشندگان محصولات HART می‌سازد. در همین راستا شرکت CodeWrights GmbH کتابخانه‌های خود را به‌منظور کاهش آسیب‌پذیری گزارش شده ارائه کرده است. به منظور مایید صحت کتابخانه بروزرسانی شده، شرکت Emerson این کتابخانه را تست کرده و صحت کارایی آن را مایید کرده است.

آسیب‌پذیری گزارش شده موجب می‌شود که در تجهیزاتی که از پروتکل HART استفاده می‌کنند، buffer overflow رخ دهد و سیستم‌ها crash کنند. تأثیراتی که این آسیب‌پذیری برای سازمان‌ها ایجاد می‌کند، برای هر سازمان کاملاً منحصربه‌فرد بوده و به‌صورت case study باید مورد مطالعه قرار گیرد. بررسی تأثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.

CodeWrights GmbH یک شرکت آلمانی است که سامانه‌های مدیریتی و توسعه را ارائه می‌کند. کتابخانه‌ای که به‌عنوان محصول آسیب‌پذیر گزارش‌ شده است، در تمامی تجهیزات سطح فیلد و سامانه‌های مدیریتی به کار رفته است.

شرکت CodeWrights GmbH تأمین‌کننده تجهیزات امنیتی برای فروشندگان است. این تجهیزات که بر اساس پروتکل HART است، در صنایع شیمیایی، اقتصادی، زیرساخت‌های حیاتی، انرژی، غذا و کشاورزی، آب و فاضلاب به کار رفته است. همچنین این شرکت برآورد کرده است که این تجهیزات به‌صورت جهانی مورد استفاده قرار گرفته باشد.

تشریح آسیب‌پذیری به شرح ذیل است:

IMPROPER INPUT VALIDATION

از طریق ارسال پکت‌های response (به‌صورت خاص) به لوپ‌های جاری 4 تا 20 میلی‌آمپر، تجهیزات مدیریتی از کار افتاده و تجهیزات سطح فیلد به حالت بدون پاسخ می‌روند. شناسه CVE-2014-9191 به این آسیب‌پذیری اختصاص یافته است. به‌منظور بهره‌برداری موفق از این آسیب‌پذیری نیاز است که به لوپ‌های 4 تا 20 میلی‌آمپر دسترسی داشت. از طرفی، دسترسی به این لوپ‌ها کار دشواری است؛ به نحوی که باید به‌صورت مستقیم به این تجهیزات دسترسی داشت. ضمناً برای spoof کردن تجهیزات، نیاز به تنظیم وقت است که همین موضوع به‌دشواری کار می‌افزاید.

شرکت CodeWrights GmbH کتابخانه بروزرسانی شده‌ای را به‌منظور کاهش آسیب‌پذیری به کاربران و مشتریان خود ارائه کرده است.

در ادامه به‌منظور برقراری امنیت بیشتر در شبکه، پیشنهاد می‌شود که اقدامات زیر انجام شود:

ایزوله کردن سامانه‌های کنترل صنعتی از اینترنت
شبکه سامانه‌های کنترل صنعتی و تجهیزات متصل به آن را پشت فایروال قرار داده و از شبکه اداری جدا کنیم
زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPN ها ممکن است آسیب‌پذیر باشند و باید به‌صورت پیوسته بروزرسانی شوند)

محصولات آسیب‌پذیر به شرح زیر است.