账号:
密码:
CTIMES/SmartAuto / 新闻 /
趋势科技:老旧程式语言可能具备设计缺陷与漏洞
 

【CTIMES/SmartAuto 王岫晨 报导】   2020年08月06日 星期四

浏览人次:【3008】
  

趋势科技发表一份新的研究报告指出老旧程式语言的设计缺陷,同时也提出一些程式设计安全原则来协助工业 4.0 开发人员大幅减少软体的受攻击面,希??藉此降低营运技术 (OT) 环境中断营运的情况。

趋势科技研究机构与米兰理工大学共同发表OT程式开发基本安全原则,披露老旧程式语言的设计缺陷与漏洞。
趋势科技研究机构与米兰理工大学共同发表OT程式开发基本安全原则,披露老旧程式语言的设计缺陷与漏洞。

这份趋势科技与米兰理工大学 (Politecnico di Milano) 合作的研究显示一些老旧程式语言的设计缺陷如何造成自动化程式的漏洞。这些资安缺陷可让骇客挟持工业机器人与自动化设备,进而造成生产线中断或智慧财产遭窃。根据这项研究指出,工业自动化领域目前还不知该如何侦测及防范这类漏洞攻击,因此,业界有必要开始建立和实施一些网路资安与程式设计安全实务原则。针对这点,这份研究也提出了一些新的原则。

趋势科技基础架构策略??总裁 Bill Malik 指出,OT 系统一旦连上了网路几??就无法再套用修补更新,如此一来,一开始的程式设计安全就变得无比重要。今日工业自动化的软体骨干需仰赖一些老旧技术来运作,而这些技术却经常暗藏一些潜在漏洞 (如 Urgent/11 与 Ripple20),或是一些像千禧虫 (Y2K) 这类的架构缺陷。我们不但希??点出这些问题,更希??能再次率先提出工业 4.0 资安对策,针对程式设计、撰写、验证以及後续维护,提供明确的指导原则及扫描工具来拦截恶意与含有漏洞的程式码。

一些老旧专属系统的程式设计语言,如:RAPID、KRL、AS、PDL2 及 PacScript 在当初设计时都未设想到骇客可能的攻击方式。这些几十年前的产物,现在却成了今日工厂自动化的重要关键。

问题是它们无法轻易修补漏洞,这些使用专属语言撰写的自动化程式不仅可能存在漏洞的问题,研究人员还证明,其中的某个语言可能被用来制作一种新型的自我复制恶意程式。

趋势科技研究机构 Trend Micro Research 与工业机器人作业系统协会 (ROS-Industrial Consortium) 共同提出了一些建议来降低这些漏洞遭骇客攻击的机会。

欧洲工业机器人作业系统协会 (ROS-Industrial Consortium Europe) 产品经理 Christoph Hellmann Santos 表示,大多数的工业机器人都是针对隔离的生产线网路而设计,并且采用老旧的程式语言。所以,它们一旦连上企业 IT 网路,就很可能遭到骇客攻击。为此,ROS-Industrial 与趋势科技合作,针对采用 ROS 来控制工业机器人的环境,提出一些如何正确安全地架设网路的指导原则。

如上所述,使用这类老旧程式语言来控制工业机器人动作的自动化工作程式,其实是「可以」写得更安全一点,如此就能降低工业 4.0 的风险。以下就是自动化工作程式撰写的一些基本安全原则:

· 将工厂设备视为电脑,将工作程式视为强大的程式码。

· 每一次的通讯都须验证。

· 实施存取控管政策。

· 务必检查输入的资料。

· 务必清理输出的资料。

· 建立适当的错误处理机制却不要暴露太多细节。

· 建立适当的组态设定与部署程序。

此研究在 8 种最普遍的工业机器人程式设计平台上发现了一些涉及敏感安全性的功能,以及 40 个开放原始码漏洞。有一家厂商已经将含有某个漏洞的自动化程式从其工业应用程式软体商店下架,还有另外两个漏洞也已获得厂商确认并带来了良性互动。除此之外,这些漏洞的相关细节也经由 ICS-CERT 在他们自己的社团上分享。

Trend Micro Research 与米兰理工大学还共同开发了一套专利申请中的工具来侦测工作程式中的漏洞或恶意程式码,希??藉此防范执行时期问题。

相关新闻
英飞凌CoolSiC助光宝推出80 PLUS??金认证之交换式电源供应器
东台精机联手东捷科技 展出5G电路板与先进封装设备
研扬於国际夥伴日提出AI防疫解决对策
Anritsu:5G专网将加速实现智慧工厂应用场景
ATEN展出智慧工厂方案 助高科技业活化智慧制造
comments powered by Disqus
相关讨论
  相关新品
mbed
原厂/品牌:RS
供应商:RS
產品類別:
Arduino
原厂/品牌:RS
供应商:RS
產品類別:
Raspberry Pi
原厂/品牌:RS
供应商:RS
產品類別:
  相关产品
» 康隹特推出五种Intel Atom x6000E系列模组 边缘计算力提升50%
» 爱德万最新V93000系统单晶片测试系统 解决百万兆级运算测试挑战
» Western Digital拓展WD Purple解决方案 为影像摄影市场注入AI动能
» 安森美半导体影像感测技术 用於速霸陆新一代ADAS平台
» 意法半导体STM32WL提供48脚位封装 打造最隹物联网连接方案
  相关文章
» 3D手势辨识控制器
» 车用雷达IC设计之环境??圈验证
» 藉由惯性感测器和机器学习评估老年人跌倒风险
» 新款零交叉侦测 IC可大幅降低生活家电待机功耗
» BCM将高压电池转化至SELV系统
  相关资源
» Power Management Solutions for Altera FPGAs

AD


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2020 远播信息股份有限公司版权所有 Powered by O3
地址:台北市中山北路三段29号11楼 / 电话 (02)2585-5526 / E-Mail: webmaster@ctimes.com.tw