Az ipari rendszerek elleni támadások 2013-ban

A kiszolgáltatottságot vizsgáló kutatók egyre több figyelmet fordítanak az ipari vezérlőrendszerekre (ICS) az elkövetkező évre, de a cyberattackerek, a biztonsági szakértők is hiszik. olyan dedikált munkaállomásokon vagy kiszolgálókon futó felügyeleti szoftverekből és számítógépes programozható hardvereszközökből állnak, amelyek az elektromechanikus folyamatokhoz kapcsolódnak és vezérelnek. Ezeket a rendszereket ipari létesítményekben, katonai létesítményekben, villamosenergia-hálózatokban, vízelosztó rendszerekben, sőt köz- és magánépületekben végzett különböző műveletek felügyeletére és ellenőrzésére használják.

Egyeseket a kritikus infrastruktúrában használnak - a nagy népsűrűségű rendszerekhez a villamos energia, a tiszta víz, a közlekedés stb., így lehetséges szabotázsuk messzemenő következményekkel járhat. A többiek azonban csak tulajdonosuk vállalkozásaira vonatkoznak, és hibájuk nem gyakorol hatást.

[További olvasnivalók: Hogyan távolítsuk el a rosszindulatú programokat a Windows számítógépről]

A malware hibákat tár fel

A SCADA biztonsága (felügyeleti ellenőrzés és adatgyűjtés) és más típusú ipari vezérlőrendszerek témája sok vitát jelentett az informatikai biztonsági iparban, mivel a Stuxnet kártevőprogramot 2010-ben fedezték fel.

A Stuxnet volt az első ismert malware, amely kifejezetten célozza és fertőzte meg a SCADA rendszereket, és sikeresen használják az uránium-dúsító centrifugák megrongálására az iráni atomerőműben Natanzban.

A Stuxnet egy kifinomult cyber-fúvóka volt, amelyet a nemzetállamok - állítólag az Egyesült Államok és Izrael - állítottak fel - a szakképzett fejlesztők, korlátlan pénzeszközök és részletes információk az ellenőrzési rendszer gyengeségeiről

A kritikus infrastruktúra-ellenőrzési rendszerek támadása komoly tervezést, intelligenciagyűjtést és alternatív hozzáférési metó használatát igényli A ds-Stuxnet-et úgy tervezték, hogy USB eszközökön keresztül terjedjen, mert a Natanz számítógépek elszigeteltek az internetről, kihasználták az előzőleg ismeretlen sérülékenységeket és a nagyon speciális SCADA konfigurációkat, amelyek csak a webhelyen találhatók. Azonban a kritikus infrastruktúrához nem tartozó ellenőrzési rendszerek egyre könnyebbé válnak a kevésbé képzett támadók támadásával szemben.

Ez azért van így, mert sok ilyen rendszer kapcsolódik az internethez a távoli adminisztráció kényelméért és azért, mert az ICS szoftverek, eszközök és kommunikációs protokollok könnyebben elérhetőek, mint a pre-Stuxnet napokban. Az elmúlt két évben a biztonsági kutatók több ezer SCADA és ICS sebezhetőségről tettek közzé adatokat, gyakran a koncepció alapú kizsákmányolási kódex kíséretében.

"Az interneten elérhető vezérlőrendszer-eszközök kihasználásának növekedése mivel a kihasználások automatizáltak "- mondta Dale Peterson, a Digital Bond ügyvezető igazgatója, amely az ICS biztonságkutatására és értékelésére specializálódott, e-mailben.

Azonban az interneten elérhető vezérlőrendszer-eszközök többsége nem része annak, amit a legtöbb ember fontolóra veszi a létfontosságú infrastruktúrát, mondta. "Kicsi önkormányzati rendszereket, épületautomatizálási rendszereket stb. Képviselnek. Nagyon fontosak a vállalat számára, amelyik birtokolja és futtatja őket, de nagyrészt nem érinti a nagy népességet vagy a gazdaságot."

A potenciálisan érdeklődő támadók az ilyen rendszerek célba vételéhez tartoznak a politikai indíttatású hackerek, akik megpróbálnak nyilatkozatot készíteni, a hacktivista csoportokat, akik érdeklődést mutatnak az ügyükre, bűncselekményeket érdekelnek a zsarolási cégek, vagy akár a hackerek, akik szórakoztatják vagy élvezik a jogokat.

Egy nemrégiben kiszivárgott FBI cyberalert dokumentum, amelyről kiderült, hogy az év elején a hackerek jogosulatlan hozzáférést kaptak a New Jersey légkondicionáló cég irodaházában működő fűtési, szellőztetési és légkondicionáló rendszerhez (HVAC). doboz, amely a Tridium által gyártott Niagara vezérlőrendszer. A célzott vállalat hasonló rendszereket telepített bankok és egyéb vállalkozások számára.

A szabálysértés a Niagara ICS rendszer sérülékenységével kapcsolatos információk után januárban egy hackerrel megosztotta a "@ antisec" (antisec) monikárt. Az AntiSec egy sor olyan hacker támadás volt, amely a LulzSec, az Anonymous és más hacktivista csoportok által társított hackerek irányításával foglalkozó bűnüldöző szervek és kormányzati szervek számára készült.

"2012. január 21-én és 23-án ismeretlen téma észrevételeket írt egy ismert amerikai weboldalra, "#US #SCADA #IDIOTS" és "#US #SCADA #IDIOTS part-II" - mondta az FBI a kiszivárgott dokumentumban.

"Nem arról van szó, hogy az ICS elleni támadások megvalósíthatók-e vagy sem, "Ruben Santamarta, biztonsági tanácsadó az IOActive biztonsági tanácsadó céggel, aki korábban a SCADA rendszerek sérülékenységeit találta, mondta e-mailben. "Amint a motiváció elég erős, nagy eseményekkel szembesülünk, a geopolitikai és társadalmi helyzet nem olyan biztosan segít, de nem nevetséges feltételezni, hogy 2013 lesz érdekes év."

A célzott támadások nem az egyetlen probléma; SCADA rosszindulatú program is. Vitaly Kamluk, a Kaspersky Lab vírusvédelmi szoftverének vezető rosszindulatú szakértője úgy véli, hogy a jövőben valószínűleg több kártékony programot fognak felkutatni a SCADA rendszerek számára.

"A Stuxnet demonstrálja, hogy a sebezhető ICS / SCADA sebessége teljesen új területet nyit a whitehat és a blackhat kutatók ", mondta e-mailben. "Ez a téma 2013-ban lesz a legmagasabb listán."

Egyes biztonsági kutatók azonban úgy vélik, hogy ilyen rosszindulatú programok létrehozása még mindig meghaladja az átlagos támadók képességeit.

"A rosszindulatú program létrehozása, amely sikeres lesz az ICS nem triviális, és rengeteg betekintést és tervezést igényel "- mondta Thomas Kristensen, a Secunia sebezhetőségi hírszerzésért felelős vezető tisztviselője. "Ez ugyancsak jelentősen korlátozza azon személyek vagy szervezetek számát, akik ilyen támadást képesek elhárítani."

"Nem kétséges azonban, hogy az ICS ellen támadást fogunk látni" - hangsúlyozta Kristensen. a telepített SCADA és DCS [distributed control system] alkalmazások és hardverek fejlesztése nélkül fejlesztették ki a biztonsági fejlesztési életciklus (SDL) - úgy gondolom, a Microsoft a 90-es évek végén - így elterjedt a gyakori programozási hibák, amelyek vezetnek a hibák, sérülékenységek és kihasználja - mondta Peterson. "Ez azt jelenti, hogy a PLC-k és más eszközök nem biztonságosak, és nem igényelnek sebezhetőséget a kritikus folyamat leállításához vagy rosszindulatú módosításához a Stuxnet-nél."

A Peterson Digital Bond vállalat több exploitust a számos PLC-ben (programozható logikai vezérlők) található SCADA hardverkomponensek - a több szállítótól mint a népszerű Metasploit penetrációs tesztrendszerhez tartozó modulok -, nyílt forráskódú eszköz, amelyet gyakorlatilag bárki használhat. Ezt egy Project Basecamp nevű kutatási projekt részeként végezték el, amelynek célja az volt, hogy megmutassák, milyen törékeny és bizonytalan sok létező PLC.

"A SCADA és DCS sebezhetőségek nagyszámú megtalálásának egyetlen korlátozása a kutatók hozzáférése a berendezésekhez - mondta Peterson. "Több próbálkozik és sikerrel jár, így egyre nagyobb lesz a sebezhetőségek, amelyeket a kutató a megfelelőnek ítél."

Szükség van javításokra

A Santamarta egyetért azzal, hogy a kutatók könnyedén találhatják meg a SCADA szoftverrel kapcsolatos sebezhetőségeket.

Van még egy piac a SCADA sebezhetőségi információkhoz. A biztonsági kutatók, Luigi Auriemma és Donato Ferrante által alapított máltai székhelyű biztonsági vállalat, a ReVuln a kormányzati szervekkel és más magánvásárlókkal kapcsolatos szoftveres sebezhetőségekről tájékoztatást nyújt az érintett gyártóknak történő bejelentés nélkül. A ReVuln portfóliójának sebezhetőségeinek több mint 40 százaléka jelenleg SCADA.

Úgy tűnik, hogy a tendencia mind a támadásokra, mind a SCADA biztonsági területre irányuló beruházásokra nőtt, Donato Ferrante szerint. "Valójában ha úgy gondoljuk, hogy a SCADA piacon számos nagyvállalat sok pénzt fektet be ezen infrastruktúrák keményítésébe, akkor azt jelenti, hogy a SCADA / ICS téma a jövő évek forrása lesz, és továbbra is forró téma lesz" - mondta Ferrante e-mailben.

Az SCADA rendszerek biztonságának biztosítása azonban nem annyira egyszerű, mint a rendszeres informatikai infrastruktúrák és számítógépes rendszerek biztosítása. Még akkor is, ha a SCADA termékek biztonsági javításait a gyártók felszabadítják, a sebezhető rendszerek tulajdonosai nagyon sok időt vehetnek igénybe a telepítéshez.

A SCADA rendszerekhez nagyon kevés automatikus telepítési megoldás létezik, mondta e-mailen Luigi Auriemma. A legtöbb esetben a SCADA adminisztrátoroknak manuálisan kell alkalmazni a megfelelő javításokat, azt mondta.

"A helyzet kritikusan rossz," mondta Kamluk. A SCADA rendszerek fő célja a folyamatos működés, amely általában nem teszi lehetővé a forró javításokat vagy frissítéseket - a javítások vagy frissítések telepítése a rendszer vagy a program újraindítása nélkül - azt mondta.

Emellett a SCADA biztonsági javításoknak alaposan tesztelni kell, mielőtt üzembe helyeznék őket a termelési környezetben, mert a váratlan viselkedés jelentős hatással lehet a műveletekre.

"Még azokban az esetekben is, amikor egy javítás létezik egy biztonsági résnek, régóta sebezhető rendszereket találunk" - mondta Santamarta..

A legtöbb SCADA biztonsági szakértő szeretné az ipari vezérlő eszközöket, pl. A PLC-ket a biztonság szem előtt tartásával újratervezni.

"Az alapvető biztonsági intézkedésekkel rendelkező PLC-kre és a legkritikusabb infrastruktúrára a következő három év alatt "- mondta Peterson." Az ideális szituáció az, ahol az ipari eszközök biztonságosak a tervezésen, de reálisaknak kell lenniük, ami időbe telhet "- mondta Santamarta. "Az ipari szektor világtalan, nem kell szigorúan átgondolnunk az informatikai perspektívánkat, de azt mondják, mindenki rájön, hogy valamit meg kell tenni, beleértve az ipari gyártókat is."

tervezési eszközök, az ICS tulajdonosainak védelmi szempontból alaposabb megközelítést kellene alkalmazniuk e rendszerek biztosítására, mondta Santamarta. "Figyelembe véve, hogy vannak olyan ipari protokollok, amelyek alapértelmezés szerint bizonytalanok, célszerű enyhíteni és különböző védelmi rétegeket felvenni."

"Kapcsolja le az ICS-t az internetről, tegye be egy elszigetelt hálózati szegmensbe, és szigorúan korlátozza / ellenőrizze "A kritikus infrastruktúrák tulajdonosainak fel kell ismerniük, hogy a kritikus infrastruktúrához való hozzáféréshez külön hálózatok, vagy legalább különálló hitelesítő adatok szükségesek" - mondta Kristensen. "Semmi gondoskodó és biztonsági ügyintéző rendszergazda nem jelentkezik be bármely rendszerére adminisztrátori jogosultságokkal, és ugyanazon a munkameneten keresztül hozzáfér az ellenséges internethez és az e-mailek olvasásához, ez vonatkozik az ICS-re is: használjon egy hitelesítő adatokat az ICS munkamenethez, és talán "

Szabályozás vitatott

Az állami szabályozás szükségessége, amely a létfontosságú infrastruktúra üzemeltetőit kényszeríti az ipari ellenőrzési rendszerek biztosítására, forrón vitatott téma volt, és sok SCADA biztonsági szakértő egyetért abban, hogy ez jó kiindulási pont lehet. Eddig azonban eddig kevés előrelépés történt erre a célra.

"A legambiciózusabb kormányrendelet, a NERC CIP az észak-amerikai villamosenergia-ágazat számára hiba volt" - mondta Peterson. "A legtöbb a sikeres kormányzati szabályozást szeretné, de nem tudja azonosítani, hogy mi lenne ez." "Szeretném, ha a kormány becsületes lenne, és hangosan kijelentette, hogy ezek a rendszerek bizonytalanok a design és a kritikus infrastruktúra SCADA és a DCS-nek tervet kell készítenie ezeknek a rendszereknek a frissítésére vagy cseréjére a következő három évben. "

A kormányzati szabályozás rendkívül hasznos lenne, mondta Kamluk. Egyes SCADA-gyártók feláldozták a fejlesztés költségmegtakarításának biztonságát anélkül, hogy mérlegelnék az ilyen döntések kockázatát és potenciális hatásukat az emberi életre.

Az idei év elején a Kaspersky Lab feltárta azon tervek kidolgozását, amelyek egy olyan operációs rendszert fejlesztenek ki, tervezési környezet a SCADA és egyéb ICS rendszerek üzemeltetéséhez. Az operációs rendszer mögött az a gondolat, hogy garantálják, hogy nem bejelentett funkciók futtathatók rajta, ami megakadályozná a támadókat rosszindulatú kód végrehajtásával a nem sebezhető biztonsági rések kihasználásával.

Bár ez úgy tűnik, mint egy érdekes projekt, továbbra is látni kell, hogy a SCADA közösség és az iparág hogyan fog reagálni rá. "

" Nincs elegendő részlet az új operációs rendszernek, hogy értékelje annak jellemzőit "- mondta Ferrante.. "Ehhez egy hivatalos kiadásra várnunk kell, de a legfontosabb probléma az új operációs rendszer elfogadásakor az, hogy képesnek kell lennie a létező SCADA rendszerek futtatására anélkül, hogy újraírnák a kódjukat."