С другой стороны, реальность такова, что подавляющее большинство людей на планете (включая и администрацию, управляющую работой тюрем) чрезвычайно смутно представляют себе то, в сколь значительной мере физическая безопасность объекта зависит от инфобезопасности компьютерно-сетевой системы.
Все авторы исследовательской работы — ветеран индустрии безопасности Джон Строкс, его дочь Тиффани Рад и независимый эксперт Тигю Ньюман — являются специалистами, знакомыми с предметом, что называется, изнутри. Джон Строкс, в частности, участвовал непосредственно в сооружении или консультировании при создании электронных систем безопасности в более чем сотне американских тюрем, зданий суда и полицейских участков на территории США, включая восемь тюрем максимального уровня охраны.
Когда Строкс услышал о Stuxnet и о специфических особенностях тех компьютерных систем, против которых был нацелен этот червь, он осознал, что в прошлом и сам не раз устанавливал аналогичные системы для управления безопасностью в тюрьмах. На территории США в настоящее время действуют 117 исправительных учреждений федерального уровня и примерно 4700 тюрем местного значения — уровня штатов и округов. Практически все они, за исключением самых небольших, по свидетельству Строкса, используют программируемые логические контроллеры для управления дверями, воротами и электронной системой безопасности.
Хотя конкретные ПЛК от фирмы Siemens, которые атаковал червь Stuxnet, тоже используются в некоторых тюрьмах, их доля относительно мала. Значительно в большей степени, по словам Строкса, эти учреждения управляются контроллерами от фирм Allen-Bradley, Square D, GE и Mitsubishi.
Сильно заинтересовавшись проблемой, Строкс вместе с дочерью Тиффани Рад, возглавляющей компанию по инфобезопасности ELCnetworks, и независимым исследователем Тигю Ньюманом закупили соответствующие ПЛК, дабы протестировать их на предмет уязвимостей. Затем они поработали совместно с ещё одним анонимным исследователем (точнее «Дорой, исследовательницей SCADA»), с чьей помощью были написаны три подпрограммы, эксплуатирующие выявленные уязвимости. На всю эту работу, по подсчетам Т. Рад, в общей сложности было затрачено порядка 2500 долларов. Они ушли на то, чтобы закупить всё необходимое и быстро сделать качественную программу.
Читайте на второй странице: "Как только мы захватываем управление ПЛК, мы можем делать что угодно. Не только открывать и закрывать двери. Мы можем полностью разрушить эту систему.
