Végzetes bukás: így omlott össze Amerika kibervédelme egyetlen hibán!

Végzetes bukás: így omlott össze Amerika kibervédelme egyetlen hibán!
Amerikai kibervédelmi szakemberek nemrégiben félelmetes hiányosságokat találtak egy meg nem nevezett, kritikus infrastruktúrát üzemeltető szervezetnél. A CISA és az Egyesült Államok Parti Őrségének szakértői által feltárt problémák világosan mutatják, milyen kockázatokat jelent, ha valaki könnyelműen kezeli az informatikai biztonságot. Külön figyelmet érdemel, hogy a vizsgált hálózatban az adminisztrátori fiókok jelszavait egyszerű szöveges fájlokban tárolták, és ugyanazokat a felhasználói fiókokat több tucat gépen is használták, mindig ugyanazzal a nem lejáró jelszóval. Ráadásul ezekhez a fiókokhoz távoli hozzáférés is engedélyezve volt, megfelelő korlátozások nélkül. Bár a kutatók nem találtak aktív támadókat vagy rosszindulatú kódot, a feltárt sebezhetőségek önmagukban is óriási lehetőséget nyitnak a visszaélésekre.

Fizikai veszélyforrás: SCADA és HVAC a célkeresztben

A szervezet nemcsak az informatikai eszközöknél, hanem az üzemeltetési rendszereknél is elhanyagolta a biztonságot. Az operatív technológiák, például a SCADA rendszerek és az HVAC (fűtés, szellőztetés, klíma) gépházakhoz sem volt megfelelően elkülönítve a hozzáférés, így a hétköznapi felhasználók is bejuthattak oda, ahová nem lett volna szabad.

Ebből fakadóan, ha egy támadó eljutott volna ezekhez a rendszerekhez, elvileg könnyedén manipulálhatta volna például a hőmérséklet- vagy nyomásérzékelőket, sőt akár a folyadékáramlást is, amivel közvetlen veszélyt jelentett volna az ott dolgozókra és az egész infrastruktúra működésére. A CISA szerint a helytelenül beállított és gyengén védett rendszerek súlyos következményekkel járhatnak, mivel ezek felügyelete alatt állnak olyan eszközök, mint a rádió- és üvegszálas kommunikációs rendszerek, szenzorok, szelepek – vagyis az üzem szíve és agya.

Hiányzó naplózás, veszélybe sodort védelem

A biztonsági hiányosságokat tovább súlyosbította, hogy a szervezet nem vezetett naplókat a munkaállomásokon, így még a kibervédelmi szakértők sem tudtak teljes körű elemzést végezni. A naplózás elhanyagolása azt eredményezi, hogy az illetéktelen hozzáférések és oldalsó mozgások nyom nélkül maradnak, így a fenyegetések hónapokig, akár évekig is rejtve maradhatnak.

A megállapítások nyomán a CISA általános javaslatokat adott a védekezés javítására, de az is kiderült, hogy az ilyen nyitva hagyott rendszerek könnyű célpontot jelentenek a támadók számára.

Ijesztő példák az éles tesztekből

Ez nem egyedi eset: a CISA már tavaly is bejutott egy másik, titkos szövetségi szervezet rendszerébe, pusztán egy 9,8-as kritikus sebezhetőséget kihasználva. Ez az Oracle Solaris egyik, időközben kijavított hibája volt (patchelve lett), amelyet a támadó csapat hamarabb használt ki, mint hogy a hibát a tiltott listára tették volna.

Az eset jól példázza, hogy a szakszerűtlen beállítás és a frissítések elhanyagolása bárhol, bármelyik szervezet infrastruktúráját veszélyeztetheti.

2025, adminboss, go.theregister.com alapján

  • Te szerinted erkölcsös dolog ilyen gondatlanul bánni egy kritikus infrastruktúrával?
  • Mit tennél, ha ilyen sebezhetőségeket találnál a munkahelyeden?
  • Szerinted ki felelős a biztonsági hibák kialakulásáért?



Legfrissebb posztok

Az androidos kémprogramok Signalnak vagy ToToknak adják ki magukat
Színes
MA 09:55

Az androidos kémprogramok Signalnak vagy ToToknak adják ki magukat

🔐 Két új támadás: ProSpy és ToSpy akcióban Két veszélyes kémprogram-kampány indult el, amelyek androidos felhasználók adatainak ellopására specializálódtak. Ezek közül a ProSpy és ToSpy álfrissítésekkel, illetve bővítményekkel csapják...

Jane Goodall öröksége, az ember, aki átírta a tudomány szabályait
Tudomány
MA 09:37

Jane Goodall öröksége, az ember, aki átírta a tudomány szabályait

🐒 Jane Goodall, a világhírű brit főemlőskutató és természetvédő idén, 91 éves korában, Kaliforniában hunyt el. Goodall neve összeforrt a tanzániai Gombe Nemzeti Park csimpánzaival végzett forradalmi kutatásaival, amelyek...

Tudomány
MA 09:27

Az autizmus nem vezethető vissza egyetlen okra

Egy több mint 45 000 – Európában és az Egyesült Államokban élő – autista ember genetikai adatain alapuló nemzetközi kutatás szerint az autizmus valójában többféle állapot gyűjtőneve, és...

Most még nagyobb veszélyben a tudomány az amerikai kormány leállása miatt
Tudomány
MA 09:20

Most még nagyobb veszélyben a tudomány az amerikai kormány leállása miatt

📌 Október elsején, hajnali 6:01-kor az USA kormánya gyakorlatilag megbénult, miután a kongresszus nem tudott megegyezni a további működéshez szükséges költségvetésről. A jelenlegi helyzet súlyosabb, mint korábban: Trump elnök...

APPok, Amik Ingyenesek MA, 10/3
APP
MA 09:12

APPok, Amik Ingyenesek MA, 10/3

Fizetős iOS appok és játékok, amik ingyenesek a mai napon.     Sketch Tree Pro – My Art Pad (iPhone/iPad)A Sketch Tree egy mobil rajzolóalkalmazás, amelyet kreatív szakemberek...

Újra nőnek a Tesla-eladások, tartós lesz ez a lendület?
Színes
MA 09:10

Újra nőnek a Tesla-eladások, tartós lesz ez a lendület?

🚗 Elon Musk végre örülhet: a Tesla autóeladásai az elmúlt három hónapban 7%-kal emelkedtek, miután hosszú időn át visszaeséssel kellett szembenézniük a bojkottok miatt. Az eladási hullám azonban nem...

A DrayTek routerek sem úszták meg: komoly távoli sérülékenység
Színes
MA 09:01

A DrayTek routerek sem úszták meg: komoly távoli sérülékenység

A DrayTek több Vigor routermodelljében kritikus biztonsági hibát fedeztek fel, amely lehetővé teszi, hogy távoli, jogosulatlan támadók tetszőleges kódot futtassanak az eszközön. A CVE-2025-10547 azonosítójú hibát egy kutató...

Az MI sebezhetőségek aranykora: milliárdok hibavadászoknak
MI Hírek
MA 08:55

Az MI sebezhetőségek aranykora: milliárdok hibavadászoknak

Az elmúlt egy évben világszerte 29 milliárd forintnyi (81 millió USD) jutalmat fizetett ki a HackerOne platform a hibákat felfedező etikus hackereknek. Több mint 1950 hibavadász programot kezelnek,...

Az MI-zenekarok kora: valódi pénz, emberi jogok
MI Hírek
MA 08:46

Az MI-zenekarok kora: valódi pénz, emberi jogok

Az Aiode bemutatta asztali MI-alapú zenei platformját, amelyet zenészek és producerek igényeire szabtak. Az új szoftver célja, hogy ne csupán általános zenei kiegészítéseket kínáljon, hanem valódi zenészek stílusára...

Színes
London ismét nyomás alá helyezi az Apple-t, újabb felhőháború indul 📶
Tudomány
Limezöld fény az égen, szabad szemmel látható a Lemmon-üstökös? 🌌
MI Hírek
Az MI nagy dobása: a koreai óriások beszállnak az OpenAI-ba
MI Hírek
Ingyenes lett a Comet böngésző – Világraszóló változás!
Színes
Az eltűnt internet: amikor egy csendes-óceáni sziget magára maradt
Színes
Nvidia szárnyal, elemzők bizakodnak a BlackRockban, a Disney-nél megint balhé 📈
MI Hírek
Miért nem húzhatjuk ki magunkat a Meta MI-hirdetéseiből, ez az igazság
Színes
A Tesla visszavág: több autót ad el, mint amennyit gyárt
Színes
Botrány az Amazonnál, tényleg ekkora Prime-pénzvisszatérítést kaphatsz?
Termék
Central Perk kanapé: Fotelkomédia a nappalidban 🛋
Tudomány
Kína klímavállalása, most tényleg érdemes figyelni 🌍

Címlapon

A szárazság miatt éhínség pusztított, múmiává váltak a maják
A szárazság miatt éhínség pusztított, múmiává váltak a maják
Fogyó vízkészletek, egyre szárazabb világ
Fogyó vízkészletek, egyre szárazabb világ
Terjed Az MI-látszatjáték: a dolgozók színlelik a használatot
Terjed Az MI-látszatjáték: a dolgozók színlelik a használatot
Az MI-s Korlátlan Reklámgépezet: Így Etet Minket a Meta
Az MI-s Korlátlan Reklámgépezet: Így Etet Minket a Meta
Az eltűnt La Niña nyomában
Az eltűnt La Niña nyomában