Windows 7、TeamViewer、共用密码、没防火墙四大安全缺陷，造成美国净水厂遭骇

上周美国一家净水厂遭骇客远端控制重要系统，差点造成危害水质。麻州-于本周发布公告，指出酿祸原因在使用了Windows 7、TeamViewer，以及没装防火墙、共用密码等不安全的环境及使用行为。

上周五早上，美国佛罗里达州位于奥德马尔（Oldsmar）市的净水处理厂，内部电脑软件遭不明人士透过TeamViewer连线存取，企图将用于改善水质的氢氧化钠浓度，从正常的100 ppm调高到危险的11,100 ppm。虽然最后因为管理员发现而未酿成大祸，但也引发恐慌。

麻州-在对公共给水业者的公告中，说明整起事件的肇祸症结。佛州这家净水厂将远端桌面软件TeamViewer，安装在净水厂管理员用来检查系统状态及问题排除（troubleshoot）的其中一台电脑上。管理员使用的所有电脑都连上了系统监控和资料搜集（SCADA，Supervisory Control And Data Acquisition）系统，也都还在跑32-bit Windows 7操作系统。此外，所有电脑共享同一组远端存取的密码，且似乎也都直接连上互联网，公司系统没有任何防火墙防护。

同时间，ZDNet引述FBI本周发出的民间产业通知（Private Industry Notice，PIN），警告使用微软已不支援的Windows 7、弱密码及TeamViewer等桌面共享软件有高风险，呼吁民间和联邦-机关检查内部网络和存取政策。

FBI更指出TeamViewer让攻击者得以远端控制受害电脑或植入恶意档案，好比RAT。但是它比RAT风险更高，因为攻击者合法使用TeamViewer，会降低终端用户与管理员对异常活动的警觉性。

麻州-建议公共给水业者严禁SCADA系统的远端连线，特别是允许实际控管和操弄SCADA网络内的装置，最好以单向式监控装置来监控SCADA系统，也应安装防火墙软、硬件，防火墙不得和非授权来源连线。

其次，应将电脑、装置的软件及应用程序，包括SCADA／工控系统软件升级到最新版本，确实安装修补程式，其中应优先修补有已知漏洞的连网系统，以及处理互联网资料的软件，像是浏览器、浏览器外挂或文件读取器等。最后，应启用具强密码的双因素验证，也最好以VPN等安全连线来远端存取。