Трое хакеров Адам Крейн (Adam Crain), Крис Систранк (Chris Sistrunk) и Адам Тодорски (Adam Todorski) обнаружили 25 новых уязвимостей в различных системах АСУ и SCADA, которые широко используются на различных промышленных объектах, в том числе на энергостанциях. Эксплуатация этих уязвимостей открывает возможности проведения диверсий с повреждением оборудования и отключением электричества в американских городах, считают авторы исследования.
Из 25 найденных уязвимостей 9 уже описаны на сайте проекта Robus, а остальные 16 ожидают действий со стороны производителей систем SCADA и АСУ. Среди них — такие компании как IOServer, SEL, Kepware, TOP Server, Triangle Microworks, Matrikon, Subnet, Alstom.
Проект Robus по поиску новых 0day-уязвимостей в протоколах SCADA и АСУ финансирует консалтинговая компания Automatak, которая помогает промышленным предприятиям защитить свои системы и является организатором консорциума Aegis по разработке более совершенных стандартов, open source инструментов и более защищенных протоколов для АСУ. Главный этап этой работы — open source реализация стека протоколов DNP3 (IEEE-1815).
Организаторы консорциума отмечают, что open source — очень редкая модель разработки для мира промышленного ПО. Тем не менее, ради безопасности компаниям-разработчикам нужно менять привычные шаблоны мышления.
