SCADA and mobile: security assessment of the applications that turn your smartphone into a factory control room

На BlackHat Mobile Security Summit эксперты Digital Security рассказали о безопасности приложений, превращающих смартфон в пульт управления заводом.

Александр Большев, руководитель департамента безопасности АСУ ТП Digital Security, и Иван Юшкевич, исследователь ИБ Digital Security, приглашенные в качестве спикеров на это престижное мероприятие в сфере мобильной безопасности, продемонстрировали, как можно наблюдать за работой АСУ ТП (и даже управлять ей!) с новенького смартфона на Android или iOS. Специальные приложения, разработанные Siemens, GE и Omron, сегодня свободно предлагаются в Google Play Store или ITunes App Store. Безопасны ли они? Может ли злоумышленник принести вред, если получит доступ к планшету промышленного инженера? Какие уязвимости могут быть в таких приложениях? Каковы возможные векторы атак?

Чтобы ответить на все эти вопросы, исследователи Digital Security составили выборку «мобильных приложений для SCADA, PLC, HMI» и проанализировали их. В ходе своего доклада они продемонстрировали обнаруженные уязвимости, методы атак и другие возможные риски. Было показано два сценария: на инфраструктуру АСУ ТП со скомпрометированного смартфона и на мобильные устройства из скомпрометированной среды АСУ ТП (атаку «снизу вверх»). Также была представлена подробная статистика найденных недостатков и механизмов безопасности.

Скачать презентацию