Počítačová hrozba pro průmyslové systémy nyní více závažná

Bezpečnostní výzkumník zveřejnil kód, který by mohl být použit k převzetí kontroly počítačů používaných k řízení průmyslových strojů, což by hackeři mohl zadržovat zadní dveře do společenských společností, vodních elektráren a dokonce i ropných a plynových rafinérií.

Software byl zveřejněn pozdě v pátek večer Kevin Finisterre, výzkumník, který řekl, že chce zvýšit povědomí o zranitelnosti v těchto systémech, problémy, které řekl, jsou často podhodnoceny dodavateli softwaru. "Tito prodejci nejsou zodpovědní za software, který vyrábějí," řekl Finisterre, který je vedoucím výzkumu s firmou pro testování bezpečnosti Netragard. "Říká svým zákazníkům, že neexistuje žádný problém, zatímco tento software běží na kritické infrastruktuře."

Finisterre vydal svůj útokový kód jako softwarový modul pro Metasploit, což je široce používaný hackerský nástroj. Integrací s Metasploitem získal Finisterre svůj kód mnohem snadněji, uvedli odborníci z oblasti bezpečnosti. "Integrace exploit s Metasploit dává širokému spektru lidí přístup k útoku," řekl Seth Bromberger, manažer informační bezpečnosti společnosti PG & E. "Nyní stačí stahovat Metasploit a můžete spustit útok."

Kód zneužívá chybu v softwaru CitectSCADA společnosti Citect, který původně objevil Core Security Technologies a zveřejnila v červnu. Citect vydala opravu chyby, když byla poprvé zveřejněna, a prodejce softwaru řekl, že problém představuje riziko pouze pro společnosti, které propojují své systémy přímo na internet bez ochrany firewallem, něco, co by nikdy nebylo děláno úmyslně. Oběť by také měla umožnit konkrétní funkci databáze v rámci produktu CitectSCADA, aby mohl tento útok fungovat.

Tyto typy průmyslových SCADA (kontrolní kontroly a získávání dat) jsou řízené produkty tradičně obtížné získat a analyzovat, takže je že v posledních letech je stále více systémů SCADA postavených na známých operačních systémech, jako je Windows nebo Linux, což je činí levnějšími a jednoduššími. používá se k opravě systémů rychle a často, ale průmyslové počítačové systémy nejsou jako počítače. Vzhledem k tomu, že prostoje s vodní elektrárnou nebo napájecím systémem mohou vést k katastrofě, inženýři mohou být zdráhaví provádět změny softwaru nebo dokonce přivést počítače k ​​opravám.

Tento rozdíl vedl k nesouladu mezi profesionály IT, jako je Finisterre, vidět zranitelnosti zabezpečení, které jsou potlačeny, a inženýři z oboru, kteří jsou pověřeni tím, že tyto systémy budou spuštěny. "Máme trochu kulturní konflikt, který se děje právě mezi inženýry řízení technologií a lidmi z oblasti IT," řekl Bob Radvanovský, nezávislý výzkumník, který vede online diskusní seznam o bezpečnosti SCADA, téma

Citect uvedl, že o slyšitelnosti nevěděla žádné zákazníky, kteří byli z důvodu této chyby napadeni. Ale společnost plánuje brzy vydat novou verzi CitectSCADA s novými bezpečnostními prvky, uvedla ve svém prohlášení (pdf) v úterý.

Toto vydání nebude přijato příliš brzy, protože Finisterre se domnívá, že existují další, podobné, kódování chyby v softwaru CitectSCADA

A zatímco systémy SCADA mohou být odděleny od jiných počítačových sítí uvnitř zařízení, mohou být stále porušovány. Například na počátku roku 2003 dodavatel údajně nakažil jadernou elektrárnu Davis-Besse s červem SQL Slammer.

"Mnozí lidé, kteří tyto systémy provozují, mají pocit, že nejsou vázáni stejnými pravidly jako tradiční IT, "řekl Finisterre. "Jejich průmysl není příliš známý hackingu a hackerům obecně."