V příštím roce útoky na průmyslové systémy

V příštím roce bude stále více výzkumníků zranitelnosti zaměřovat svou pozornost na systémy průmyslové kontroly (ICS). jsou tvořeny dohledovým softwarem, který běží na vyhrazených pracovních stanicích nebo serverech, a počítačově programovatelná hardwarová zařízení, která jsou spojena a ovládají elektromechanické procesy. Tyto systémy se používají k monitorování a řízení různých operací v průmyslových zařízeních, vojenských zařízeních, energetických sítích, vodovodních systémech a dokonce i veřejných a soukromých budovách.

Některé jsou používány v kritické infrastruktuře - systémy, od kterých závisí velká populace elektřina, čistá voda, doprava atd., takže jejich potenciální sabotáž by mohla mít dalekosáhlé důsledky. Ostatní jsou však relevantní pouze pro podniky jejich vlastníků a jejich porucha by neměla velký dopad.

[Další informace: Jak odstranit malware z počítače se systémem Windows]

Malware vykazuje nedostatky

Zabezpečení SCADA (kontrola dohledu a získávání dat) a další typy průmyslových kontrolních systémů byly tématem mnoha diskusí v oblasti IT bezpečnosti od roku 2010, kdy byl v roce 2010 objeven malware Stuxnet.

Stuxnet byl první známý malware, který specificky zaměřoval a infikoval SCADA a byl úspěšně používán k poškození odstředivky pro obohacování uranu v íránské jaderné elektrárně v Natanzu.

Stuxnet byl sofistikovaný cyberweapon, který byl údajně vyvinut národními státy - údajně USA a Izraelem - přístup k kvalifikovaným vývojářům, neomezené finanční prostředky a podrobné informace o nedostatcích řídicího systému.

Útok na řídicí systémy kritické infrastruktury vyžaduje vážné plánování, shromažďování informací a využití alternativního přístupu ds-Stuxnet byl navržen tak, aby se šířil prostřednictvím zařízení USB, protože počítačové systémy Natanz byly izolovány z Internetu, využívaly dříve neznámé zranitelnosti a cílené velmi specifické konfigurace SCADA, které se nacházely pouze na místě. Ovšem řídící systémy, které nejsou součástí kritické infrastruktury, jsou stále méně náchylné k útoku méně kvalifikovaných útočníků.

Je to proto, že mnoho z těchto systémů je připojeno k Internetu kvůli pohodlí vzdálené správy a protože informace o zranitelnosti v ICS softwaru, zařízení a komunikačních protokolů je snadněji přístupná než ve dnech před Stuxnet. Podrobnosti o desítkách zranitelných míst SCADA a ICS byly veřejnosti zpřístupněny výzkumnými pracovníky v oblasti bezpečnosti během posledních dvou let, často doprovázených kódem "exploit code".

"Uvidíme zvýšení využívání zařízení pro kontrolu přístupu k internetu "Dale Peterson, generální ředitel společnosti Digital Bond, společnost, která se specializuje na bezpečnostní výzkum a hodnocení ICS, e-mailem.

Většina zařízení pro kontrolu přístupu na internet však není součástí většina lidí by považovala kritickou infrastrukturu, řekl. "Jsou to malé obecní systémy, systémy pro automatizaci budov apod. Jsou velmi důležité pro společnost, která je vlastní a provozuje, ale na většinu z nich by neměla vliv na velké obyvatelstvo nebo ekonomiku."

Útočníci, kteří by mohli mít zájem v cílení na takové systémy zahrnují politicky motivovaní hackeři, kteří se pokoušejí učinit prohlášení, hacktivistické skupiny se zájmem o upoutání pozornosti na jejich příčinu, zločinci, kteří mají zájem o vydírání společností nebo dokonce hackeři, kteří to dělají zábavou nebo se chlubí právy.

Nedávno zveřejněný dokument FBI cyberalert ze dne 23. července odhalil, že hackeři začali v tomto roce získat neoprávněný přístup do systému vytápění, větrání a klimatizace (HVAC), který funguje v kancelářské budově společnosti New Jersey s využitím zranitelnosti backdoor v řízení k němu připojen - řídicí systém Niagara vyrobený společností Tridium. Cílovou společnost instalovala podobné systémy pro banky a další podniky.

K rozporu došlo poté, co informace o chybě zabezpečení v systému Niagara ICS byla v lednu sdílena online hackerem, který používal titul "@ntisec" (antisec). Operace AntiSec byla série hackerských útoků zaměřených na orgány činné v trestním řízení a vládní instituce orchestrované hackery spojenými s LulzSec, Anonymous a dalšími hacktivistickými skupinami.

"Dne 21. a 23. ledna 2012 zaslal neznámý subjekt komentáře na známé webové stránky v USA, s názvem "#US #SCADA #IDIOTS" a "#US # SCADA #IDIOTS part-II", "uvedla FBI v dokumentu, který byl propuštěn.

" Není to otázka, zda útoky na ICS jsou proveditelné nebo ne, jsou ", řekl Ruben Santamarta, bezpečnostní výzkumník s bezpečnostní poradenskou firmou IOActive, který v minulosti našel v systému SCADA zranitelnosti. "Jakmile bude motivace dostatečně silná, budeme čelit velkým událostem. Geopolitická a sociální situace nepomůže tak jistě, není směšné předpokládat, že 2013 bude zajímavým rokem."

Cílené útoky nejsou jediným problémem; Škodlivý software SCADA je také. Vitaly Kamluk, hlavní špecialista na malware v prodejci antivirových produktů Kaspersky Lab, se domnívá, že v budoucnu bude určitě více malware zaměřené na systémy SCADA.

"Demonstrace Stuxnet o tom, jak zranitelná ICS / SCADA otevře zcela novou oblast pro whitehat a blackhat výzkumníků, "řekl emailem. "Toto téma bude v horní části roku 2013."

Nicméně někteří vědci v oblasti bezpečnosti se domnívají, že vytváření takového malwaru je nad rámec schopností průměrných útočníků.

"Vytvoření malwaru, který bude úspěšný při útoku na ICS není triviální a může vyžadovat spoustu vhledů a plánování, "řekl Thomas Kristensen, hlavní bezpečnostní důstojník ve zpravodajské a řídící firmě Secunia zranitelnosti. "To také významně omezuje množství lidí nebo organizací, které dokážou tento útok odvolat."

"Nejsme pochyb o tom, že uvidíme útoky proti ICS," zdůraznila Kristensen. zaváděných aplikací a hardwaru SCADA a DCS [distribuovaného řídícího systému] byly vyvinuty bez životního cyklu vývoje zabezpečení (SDL) - myslíte si Microsoft na konci devadesátých let - takže je to běžné chyby programování, které vedou k chybám, zranitelnosti a využívá, "řekl Peterson. "To znamená, že PLC a jiná zařízení v terénu jsou konstrukčně nejisté a nevyžadují zranitelnost, aby kritický proces snížili, nebo aby to změnilo škodlivým způsobem la Stuxnet."

Petersonova společnost Digital Bond vydala několik exploitů pro chyby zabezpečení nalezené v mnoha PLC (programovatelných logických řadičích) - hardwarové komponenty SCADA - od více dodavatelů jako moduly pro populární Metasploit penetrační testovací rámec, otevřený zdrojový nástroj, který lze použít prakticky každému. Toto bylo provedeno jako součást výzkumného projektu nazvaného Project Basecamp, jehož cílem bylo ukázat, jak křehké a nejisté jsou mnohé existující PLC.

"Jediným omezením na nalezení velkého množství zranitelných míst SCADA a DCS jsou vědci přístup k zařízení, "Řekl Peterson. "Více se snaží a uspěje, takže se objeví nárůst zranitelností, které budou zveřejněny jakýmkoli způsobem, který považuje za vhodné."

Stále potřebují opravy

Santamarta souhlasila s tím, že je dnes pro výzkumníky snadné najít chyby v softwaru SCADA

Existuje dokonce i trh pro informace o zranitelnosti systému SCADA. Společnost ReVuln, začínající na Maltě založená bezpečnostními výzkumníky Luigi Auriemma a Donato Ferrante, prodává informace o chybách softwaru vládním agenturám a jiným soukromým kupcům, aniž by je informovala o zasažených prodejcích. Více než 40 procent zranitelných míst v portfoliu společnosti ReVuln je v současnosti SCADA.

Podle názoru organizace Donato Ferrante se zdá, že trend se zvyšuje jak pro útoky, tak pro investice do bezpečnostního pole SCADA. "Ve skutečnosti, pokud si myslíme, že několik velkých společností na trhu SCADA investuje spoustu peněz na vytvrzení těchto infrastruktur, znamená to, že téma SCADA / ICS je a zůstane horkým tématem pro nadcházející roky," řekl Ferrante e-mailem.

Zabezpečení systémů SCADA však není tak snadné, jako zajištění pravidelných IT infrastruktur a počítačových systémů. Dokonce i když jsou bezpečnostní záplaty pro produkty SCADA vydávány dodavateli, mohou vlastníci zranitelných systémů trvat velmi dlouho, než je nasadí.

Existuje velmi málo automatizovaných řešení implementace patchů pro systémy SCADA, řekl Luigi Auriemma e-mailem. Většinou musí administrátoři SCADA ručně aplikovat příslušné opravy, řekl.

"Situace je kriticky špatná," řekl Kamluk. Hlavním cílem systémů SCADA je nepřetržitá operace, která normálně neumožňuje horké opravy nebo aktualizace - instalace záplat nebo aktualizací bez restartu systému nebo programu -

. než se bude nasazovat ve výrobním prostředí, protože jakékoli neočekávané chování může mít významný dopad na operace.

"I v těch případech, kdy existuje patch pro zranitelnost, najdeme zranitelné systémy po dlouhou dobu," řekl Santamarta.

Většina odborníků v oblasti bezpečnosti pro SCADA by chtěla, aby průmyslové řídicí zařízení, jako jsou PLC, byly rekonstruovány s ohledem na bezpečnost.

"Co je zapotřebí, jsou PLC se základními bezpečnostními opatřeními a plánem jejich nasazení v nejkritičtější infrastruktuře během jednoho až tří let, "řekl Peterson." Ideální scénář je v tom, kde jsou průmyslová zařízení bezpečně navržena, ale musíme být realističtí, to bude mít čas, "řekl Santamarta. "Průmyslový sektor je oddělený od světa, neměli bychom se na to důkladně zabývat prostřednictvím našeho výhledu v oblasti informačních technologií." Všichni si uvědomují, že je třeba něco udělat, včetně průmyslových prodejců. "

navrhnout zařízení, měli by vlastníci ICS brát důkladný přístup k zajištění těchto systémů, řekl Santamarta. "Vzhledem k tomu, že existují protokoly o průmyslových protokolech, které jsou ve výchozím nastavení nejisté, je vhodné přidávat zmírnění a různé vrstvy ochrany."

"Odpojte ICS od internetu, vložte jej do izolovaného segmentu sítě a přísně omezte / ověřte přístup k tomu, "uvedl Kamluk

" Majitelé kritické infrastruktury by si měli uvědomit, že pro přístup k kritické infrastruktuře jsou potřebné oddělené sítě nebo alespoň oddělené pověření, "uvedl Kristensen. "Žádný správný administrátor by se přihlásil do kteréhokoli jeho systému pomocí pověření pro správu a v rámci stejné relace přistupoval k nepřátelskému internetu a četl emaily. To by se mělo týkat i ICS, pro přístup k relaci ICS a přístup k relaci internetového připojení pomocí nastavení virtuální a / nebo vzdálené plochy. "

Regulace projednávána

Potřeba vládní regulace, která by přinutila provozovatele kritické infrastruktury k zajištění průmyslových kontrolních systémů, mnoho odborníků na bezpečnost v SCADA souhlasí s tím, že by mohlo být dobrým výchozím bodem. Nicméně dosud nebylo dosaženo žádného pokroku, pokud jde o tento cíl.

"Nejambicióznější vládní nařízení, NERC CIP pro severoamerický elektrický sektor, bylo selhání," řekl Peterson. "Většina by chtěla úspěšnou vládní regulaci, ale nedokáže identifikovat, co by to bylo."

"Chtěla bych, aby vláda byla upřímná a nahlas vyjádřila, že tyto systémy jsou nejisté podle návrhu a organizací, které provozují kritickou infrastrukturu SCADA a společnost DCS by měla mít v úmyslu vylepšit nebo nahradit tyto systémy v příštích až třech letech, "uvedl.

Vládní nařízení by bylo nesmírně užitečné, řekl Kamluk. Někteří prodejci SCADA obětují bezpečnost pro úspory nákladů na vývoj bez ohledu na rizika takových rozhodnutí a jejich možný dopad na lidské životy.

Začátkem roku společnost Kaspersky Lab odhalila plány na vývoj operačního systému, návrhové prostředí pro provoz SCADA a dalších systémů ICS. Myšlenkou operačního systému je zaručit, že na něm nebudou moci fungovat žádné nehlášené funkce, což by zabránilo útočníkům v provádění škodlivého kódu využíváním nesprávných chyb.

Zatímco to vypadá jako zajímavý projekt, je třeba vidět, jak to bude SCADA a průmyslový sektor reagovat, řekl Santamarta.

Není dostatek informací o novém OS k hodnocení jeho vlastností, "řekl Ferrante. "Abychom to mohli udělat, budeme muset počkat na oficiální vydání. Každopádně hlavní problém při zavádění nového operačního systému je, že musí být schopen spustit stávající systémy SCADA, aniž by musel přepisovat svůj kód."