Βραχίονα για περισσότερες επιθέσεις σε βιομηχανικά συστήματα το 2013

Ένας αυξανόμενος αριθμός ερευνητών ευπάθειας θα επικεντρώσει την προσοχή τους στα βιομηχανικά συστήματα ελέγχου (ICS) το επόμενο έτος, αλλά θα το κάνουν και οι κυβερνοθεραπευτές. αποτελούνται από εποπτικό λογισμικό που εκτελείται σε ειδικούς σταθμούς εργασίας ή σε διακομιστές και σε προγραμματιζόμενες συσκευές υλικού που μοιάζουν με υπολογιστή, οι οποίες συνδέονται με και ελέγχουν τις ηλεκτρομηχανικές διεργασίες. Αυτά τα συστήματα χρησιμοποιούνται για την παρακολούθηση και τον έλεγχο ποικίλων λειτουργιών σε βιομηχανικές εγκαταστάσεις, στρατιωτικές εγκαταστάσεις, ηλεκτρικά δίκτυα, συστήματα διανομής νερού και ακόμη δημόσια και ιδιωτικά κτίρια.

Ορισμένα χρησιμοποιούνται σε κρίσιμες υποδομές - τα συστήματα που εξαρτώνται από μεγάλους πληθυσμούς την ηλεκτρική ενέργεια, το καθαρό νερό, τις μεταφορές κλπ., ώστε το ενδεχόμενο δολιοφθοράς τους να έχει σοβαρές συνέπειες. Άλλοι, ωστόσο, σχετίζονται μόνο με τις επιχειρήσεις των ιδιοκτητών τους και η δυσλειτουργία τους δεν θα έχει εκτεταμένο αντίκτυπο.

[Περισσότερες πληροφορίες: Πώς να αφαιρέσετε κακόβουλο λογισμικό από τον υπολογιστή σας Windows]

Το κακόβουλο λογισμικό παρουσιάζει ελαττώματα

Η ασφάλεια του SCADA (εποπτικός έλεγχος και απόκτηση δεδομένων) και άλλοι τύποι βιομηχανικών συστημάτων ελέγχου υπήρξε θέμα πολλών συζητήσεων στη βιομηχανία ασφάλειας πληροφορικής από το 2010 που εντοπίστηκε το κακόβουλο λογισμικό Stuxnet.

Το Stuxnet ήταν το πρώτο γνωστό κακόβουλο λογισμικό που στοχεύει ειδικά και μολύνει SCADA και χρησιμοποιήθηκε με επιτυχία για τη φθορά των φυγοκέντρων εμπλουτισμού ουρανίου στο πυρηνικό εργοστάσιο του Ιράν στο Νατζάν.

Το Stuxnet ήταν ένα πολύπλοκο cyberweapon που πιστεύεται ότι έχει αναπτυχθεί από τα έθνη - σύμφωνα με πληροφορίες ΗΠΑ και Ισραήλ - με πρόσβαση σε εξειδικευμένους προγραμματιστές, απεριόριστα κεφάλαια και λεπτομερείς πληροφορίες σχετικά με τις αδυναμίες του συστήματος ελέγχου

Η επίθεση των συστημάτων ελέγχου κρίσιμης υποδομής απαιτεί σοβαρό προγραμματισμό, συλλογή πληροφοριών και χρήση εναλλακτικής πρόσβασης metho Το ds-Stuxnet σχεδιάστηκε για να εξαπλωθεί μέσω συσκευών USB, επειδή τα συστήματα υπολογιστών Natanz απομονώθηκαν από το Internet, εκμεταλλεύθηκαν προηγουμένως άγνωστες ευπάθειες και στοχεύουν πολύ συγκεκριμένες διαμορφώσεις SCADA που βρέθηκαν μόνο στην τοποθεσία. Ωστόσο, τα συστήματα ελέγχου που δεν αποτελούν μέρος κρίσιμης υποδομής καθίστανται ολοένα και πιο εύκολα να επιτεθούν από λιγότερο εξειδικευμένους επιτιθέμενους.

Αυτό οφείλεται στο γεγονός ότι πολλά από αυτά τα συστήματα είναι συνδεδεμένα στο Διαδίκτυο για διευκόλυνση της απομακρυσμένης διοίκησης και επειδή πληροφορίες σχετικά με τρωτά σημεία στην ICS το λογισμικό, οι συσκευές και τα πρωτόκολλα επικοινωνίας είναι πιο εύκολα προσβάσιμα από ό, τι στις ημέρες πριν από το Stuxnet. Λεπτομέρειες για τις δεκάδες των τρωτών σημείων SCADA και ICS έχουν ανακοινωθεί δημοσίως από τους ερευνητές της ασφάλειας κατά τα τελευταία δύο χρόνια, συχνά συνοδεύονται από κώδικα αποδείξεως της αντίληψης.

"Θα δούμε αύξηση της εκμετάλλευσης των συσκευών του συστήματος ελέγχου πρόσβασης καθώς οι εκμεταλλεύσεις αυτοματοποιούνται ", δήλωσε ο Dale Peterson, διευθύνων σύμβουλος της Digital Bond, μιας εταιρείας που ειδικεύεται στην έρευνα και αξιολόγηση της ICS για την ασφάλεια, μέσω ηλεκτρονικού ταχυδρομείου. οι περισσότεροι άνθρωποι θα εξέταζαν κρίσιμες υποδομές, είπε. "Αντιπροσωπεύουν μικρά δημοτικά συστήματα, συστήματα αυτοματισμού κτιρίων κλπ. Είναι πολύ σημαντικά για την εταιρεία που τους ανήκει και τα τρέχει, αλλά δεν θα επηρεάσει τον μεγάλο πληθυσμό ή την οικονομία ως επί το πλείστον."

Οι επιτιθέμενοι που θα μπορούσαν ενδεχομένως να ενδιαφέρονται στο να στοχεύσουν τέτοια συστήματα περιλαμβάνουν πολιτικά κίνητρα χάκερ που προσπαθούν να κάνουν μια δήλωση, ομάδες hacktivist που ενδιαφέρονται να επιστήσουν την προσοχή στην αιτία τους, εγκληματίες που ενδιαφέρονται να εκβιάζουν εταιρείες ή ακόμα και χάκερ που το κάνουν διασκεδαστικό ή καυχησιολογικά δικαιώματα.

Ένα πρόσφατα διαρρεύσαν έγγραφο FBI cyberalert ημερομηνίας 23 Ιουλίου αποκάλυψε ότι νωρίτερα φέτος οι χάκερ κέρδισαν μη εξουσιοδοτημένη πρόσβαση στο σύστημα θέρμανσης, εξαερισμού και κλιματισμού (HVAC) που λειτουργούσε στο κτίριο γραφείων μιας εταιρείας κλιματισμού του Νιου Τζέρσεϋ εκμεταλλευόμενος ένα τρωτό σημείο στο πίσω μέρος του ελέγχου κουτί συνδεδεμένο με αυτό - ένα σύστημα ελέγχου Niagara που κατασκευάζεται από το Tridium. Η στοχευμένη εταιρεία εγκατέστησε παρόμοια συστήματα για τις τράπεζες και άλλες επιχειρήσεις.

Η παραβίαση συνέβη αφού οι πληροφορίες σχετικά με την ευπάθεια στο σύστημα ICS του Νιαγάρα κοινοποιήθηκαν ηλεκτρονικά τον Ιανουάριο από έναν χάκερ που χρησιμοποίησε το μανικιούρ "@ntisec" (antisec). Η λειτουργία AntiSec ήταν μια σειρά από επιθέσεις χάκερ με στόχο τις υπηρεσίες επιβολής του νόμου και κυβερνητικά ιδρύματα που ενορχηστρώθηκαν από τους hackers που συσχετίστηκαν με τις ομάδες LulzSec, Anonymous και άλλες ομάδες hacktivist. "Στις 21 και 23 Ιανουαρίου 2012, ένα άγνωστο θέμα δημοσίευσε σχόλια σε έναν γνωστό ιστότοπο των ΗΠΑ, με τίτλο «#US # SCADA #IDIOTS» και «#US # SCADA #IDIOTS μέρος II», δήλωσε το FBI στο διαρρεύσαν έγγραφο

«Δεν είναι θέμα εάν οι επιθέσεις εναντίον του ICS είναι εφικτές ή όχι επειδή είναι ", δήλωσε ο Ruben Santamarta, ερευνητής ασφάλειας με την εταιρεία συμβούλων ασφαλείας IOActive, ο οποίος διαπίστωσε τρωτά σημεία στα συστήματα SCADA στο παρελθόν, δήλωσε μέσω ηλεκτρονικού ταχυδρομείου. "Όταν το κίνητρο είναι αρκετά ισχυρό, θα αντιμετωπίσουμε μεγάλα περιστατικά. Η γεωπολιτική και κοινωνική κατάσταση δεν βοηθά τόσο σίγουρα, δεν είναι γελοίο να υποθέσουμε ότι το 2013 θα είναι ένα ενδιαφέρον έτος."

Οι στοχοθετημένες επιθέσεις δεν είναι η μόνη ανησυχία. Το κακόβουλο λογισμικό SCADA είναι πάρα πολύ. Ο Vitaly Kamluk, επικεφαλής του ειδικού λογισμικού κακόβουλης λειτουργίας στον πωλητή ιών Kaspersky Lab, πιστεύει ότι στο μέλλον θα υπάρξουν περισσότερα προγράμματα κακόβουλου λογισμικού που θα στοχεύουν τα συστήματα SCADA

"Η επίδειξη Stuxnet για το πόσο εύθραυστα ICS / SCADA ανοίγουν μια εντελώς νέα περιοχή για το whitehat και το blackhat ερευνητές ", είπε μέσω ηλεκτρονικού ταχυδρομείου. "Αυτό το θέμα θα είναι στον κορυφαίο κατάλογο για το 2013."

Ωστόσο, ορισμένοι ερευνητές της ασφάλειας πιστεύουν ότι η δημιουργία τέτοιων κακόβουλων προγραμμάτων εξακολουθεί να υπερβαίνει τις ικανότητες των μέσων εισβολέων.

"Δημιουργία κακόβουλου λογισμικού που θα επιτύχει στην επίθεση σε ένα ICS δεν είναι τετριμμένη και μπορεί να απαιτεί πολλή διορατικότητα και προγραμματισμό ", δήλωσε ο Thomas Kristensen, επικεφαλής της Υπηρεσίας Πληροφοριών για την Ευπάθεια και της εταιρίας διαχείρισης Secunia. "Αυτό περιορίζει επίσης σημαντικά την ποσότητα των ανθρώπων ή των οργανώσεων που είναι σε θέση να αποσύρουν μια τέτοια επίθεση."

«Δεν αμφιβάλλουμε όμως ότι θα δούμε επιθέσεις εναντίον του ICS», τόνισε ο Kristensen. των αναπτυγμένων εφαρμογών SCADA και DCS [διανεμημένου συστήματος ελέγχου] αναπτύχθηκαν χωρίς τον SDL (Lifecycle Development Lifecycle Development) - σκέφτονται η Microsoft στα τέλη της δεκαετίας του 90 - έτσι είναι γεμάτο με κοινά σφάλματα προγραμματισμού που οδηγούν σε σφάλματα, ευπάθειες και εκμεταλλεύεται ", δήλωσε ο Peterson. "Τα PLC και οι άλλες συσκευές πεδίου είναι αναπόσπαστα σχεδιασμένες και δεν απαιτούν ευπάθεια για να κάνουν μια κρίσιμη διαδικασία κάτω ή να την αλλάξουν με κακόβουλο τρόπο ένα la Stuxnet".

Η εταιρεία του Peterson, Digital Bond, κυκλοφόρησε πολλές εκμεταλλεύσεις για ευπάθειες που εντοπίζονται σε πολλά PLC (προγραμματιζόμενα λογικά ελεγκτικά) - εξαρτήματα υλικού SCADA - από πολλούς προμηθευτές ως ενότητες για το δημοφιλές πλαίσιο δοκιμής διείσδυσης Metasploit, ένα εργαλείο ανοιχτού κώδικα που μπορεί να χρησιμοποιηθεί σχεδόν από όλους. Αυτό έγινε ως μέρος ενός ερευνητικού έργου που ονομάζεται Project Basecamp, ο στόχος του οποίου ήταν να δείξει πόσο εύθραυστα και επισφαλής είναι πολλά υπάρχοντα PLC.

"Ο μόνος περιορισμός για την εξεύρεση μεγάλου αριθμού τρωτών σημείων SCADA και DCS είναι η πρόσβαση των ερευνητών στον εξοπλισμό, Δήλωσε ο Peterson. "Περισσότερο προσπαθούν και επιτύχουν, έτσι θα υπάρξει αύξηση των τρωτών σημείων που θα αποκαλυφθούν με οποιονδήποτε τρόπο θεωρείται κατάλληλος από τον ερευνητή".

Η Santamarta συμφώνησε ότι είναι εύκολο για τους ερευνητές να βρουν σήμερα τρωτά σημεία στο λογισμικό SCADA

Υπάρχει ακόμη και μια αγορά για πληροφορίες ευπάθειας SCADA. Η ReVuln, μια εταιρεία ασφαλείας που ξεκίνησε με έδρα τη Μάλτα και ιδρύθηκε από τους ερευνητές ασφαλείας Luigi Auriemma και Donato Ferrante, πωλεί πληροφορίες σχετικά με τρωτά σημεία λογισμικού σε κυβερνητικές υπηρεσίες και άλλους ιδιωτικούς αγοραστές, χωρίς να τους αναφέρει στους επηρεαζόμενους πωλητές. Πάνω από το 40% των τρωτών σημείων στο χαρτοφυλάκιο της ReVuln είναι αυτή τη στιγμή SCADA.

Η τάση φαίνεται να αυξάνεται τόσο για επιθέσεις όσο και για επενδύσεις στον τομέα της ασφάλειας SCADA, σύμφωνα με τον Donato Ferrante. "Στην πραγματικότητα, εάν πιστεύουμε ότι αρκετές μεγάλες εταιρείες στην αγορά SCADA επενδύουν πολλά χρήματα για τη σκλήρυνση αυτών των υποδομών, σημαίνει ότι το θέμα SCADA / ICS είναι και θα παραμείνει ένα καυτό θέμα για τα επόμενα χρόνια", δήλωσε ο Ferrante μέσω ηλεκτρονικού ταχυδρομείου

Ωστόσο, η διασφάλιση των συστημάτων SCADA δεν είναι τόσο απλή όσο η εξασφάλιση τακτικών υποδομών πληροφορικής και συστημάτων πληροφορικής. Ακόμη και όταν τα προϊόντα SCADA εκδίδονται από προμηθευτές, οι ιδιοκτήτες των ευάλωτων συστημάτων ενδέχεται να χρειαστούν πολύ χρόνο για να τα αναπτύξουν.

Υπάρχουν πολύ λίγες αυτοματοποιημένες λύσεις εγκατάστασης patch για συστήματα SCADA, δήλωσε ο Luigi Auriemma μέσω ηλεκτρονικού ταχυδρομείου. Τις περισσότερες φορές, οι διαχειριστές SCADA πρέπει να εφαρμόσουν χειροκίνητα τα κατάλληλα patches, δήλωσε.

"Η κατάσταση είναι εξαιρετικά κακή", δήλωσε ο Kamluk. Ο κύριος στόχος των συστημάτων SCADA είναι η συνεχής λειτουργία, η οποία κανονικά δεν επιτρέπει την επικάλυψη ή την ενημέρωση - εγκατάσταση ενημερωμένων εκδόσεων ή ενημερώσεων χωρίς επανεκκίνηση του συστήματος ή του προγράμματος -

Επιπλέον, τα μπαλώματα ασφαλείας SCADA χρειάζονται να δοκιμαστεί προσεκτικά πριν αναπτυχθεί σε περιβάλλοντα παραγωγής, διότι οποιαδήποτε απροσδόκητη συμπεριφορά θα μπορούσε να έχει σημαντικό αντίκτυπο στις επιχειρήσεις.

«Ακόμη και στις περιπτώσεις όπου υπάρχει ένα patch για μια ευπάθεια, θα βρούμε τα ευάλωτα συστήματα για πολύ καιρό», δήλωσε ο Santamarta.

Οι περισσότεροι εμπειρογνώμονες ασφαλείας της SCADA θα ήθελαν να επανασχεδιαστούν τα βιομηχανικά συστήματα ελέγχου όπως τα PLCs με γνώμονα την ασφάλεια.

"Αυτό που χρειάζεται είναι τα PLC με βασικά μέτρα ασφαλείας και ένα σχέδιο για την ανάπτυξη αυτών των πιο σημαντικών υποδομών "Το ιδανικό σενάριο είναι όπου οι βιομηχανικές συσκευές είναι ασφαλείς από το σχεδιασμό, αλλά πρέπει να είμαστε ρεαλιστές, που θα χρειαστούν χρόνο", ανέφερε ο Santamarta. "Ο βιομηχανικός τομέας είναι ένας κόσμος ξεχωριστός και δεν πρέπει να το εξετάσουμε αυστηρά μέσω της τεχνολογικής μας προοπτικής." Όλοι γνωρίζουν ότι πρέπει να γίνει κάτι, συμπεριλαμβανομένων των βιομηχανικών προμηθευτών. "

συσκευές σχεδιασμού, οι ιδιοκτήτες της ICS θα πρέπει να ακολουθήσουν μια προσέγγιση σε βάθος για την ασφάλεια αυτών των συστημάτων, ανέφερε η Santamarta. "Λαμβάνοντας υπόψη ότι υπάρχουν βιομηχανικά πρωτόκολλα που είναι από προεπιλογή ανασφαλείς, είναι λογικό να προσθέσουμε μετριασμούς και διαφορετικά επίπεδα προστασίας."

"Αποσυνδέστε το ICS από το διαδίκτυο, τοποθετήστε το σε απομονωμένο τμήμα δικτύου και περιορίστε αυστηρά / ελέγξτε "Οι ιδιοκτήτες υποδομών ζωτικής σημασίας πρέπει να συνειδητοποιήσουν ότι χρειάζονται ξεχωριστά δίκτυα ή τουλάχιστον ξεχωριστά διαπιστευτήρια για την πρόσβαση σε κρίσιμη υποδομή", ανέφερε ο Kristensen. "Δεν υπάρχει σωστός διαχειριστής που να λαμβάνει γνώση ασφαλείας και θα συνδεθεί σε οποιοδήποτε από τα συστήματά του χρησιμοποιώντας τα διαπιστευτήρια διαχειριστή και μέσα στο ίδιο session θα έχει πρόσβαση στο εχθρικό Internet και θα διαβάζει μηνύματα ηλεκτρονικού ταχυδρομείου. "Η ανάγκη για κυβερνητική ρύθμιση που θα υποχρέωνε τους φορείς εκμετάλλευσης υποδομών ζωτικής σημασίας να εξασφαλίσουν τα βιομηχανικά συστήματα ελέγχου τους ήταν ένα θέμα που συζητήθηκε έντονα, πολλοί εμπειρογνώμονες ασφαλείας της SCADA συμφωνούν ότι θα μπορούσε να είναι ένα καλό σημείο εκκίνησης. Εντούτοις, έχει σημειωθεί μικρή πρόοδος προς το σκοπό αυτό.

"Ο πιο φιλόδοξος κυβερνητικός κανονισμός, ο NERC CIP για τον ηλεκτρολογικό τομέα της Βόρειας Αμερικής, ήταν μια αποτυχία", δήλωσε ο Peterson. "Οι περισσότεροι θα ήθελαν την επιτυχή κυβερνητική ρύθμιση, αλλά δεν μπορούν να προσδιορίσουν τι θα ήταν αυτό."

«Θα ήθελα απλώς η κυβέρνηση να είναι ειλικρινής και να δηλώσει δυνατά ότι αυτά τα συστήματα είναι ανασφαλείς από το σχεδιασμό και τους οργανισμούς που διαχειρίζονται την κρίσιμη υποδομή SCADA και η DCS θα πρέπει να έχει σχέδιο αναβάθμισης ή αντικατάστασης αυτών των συστημάτων κατά τα επόμενα ένα έως τρία χρόνια », ανέφερε ο κ. Kamluk.

Ο κυβερνητικός κανονισμός θα ήταν εξαιρετικά χρήσιμος. Ορισμένοι πωλητές της SCADA θυσιάζουν την ασφάλεια για εξοικονόμηση κόστους ανάπτυξης χωρίς να λαμβάνουν υπόψη τους κινδύνους που συνεπάγονται αυτές οι αποφάσεις και τις πιθανές επιπτώσεις τους στις ανθρώπινες ζωές.

Η Kaspersky Lab αποκάλυψε νωρίτερα τα σχέδιά της για την ανάπτυξη ενός λειτουργικού συστήματος που θα παρέχει ασφαλές, περιβάλλον σχεδιασμού για τη λειτουργία του SCADA και άλλων συστημάτων ICS. Η ιδέα πίσω από το λειτουργικό σύστημα είναι να εγγυηθεί ότι δεν θα είναι δυνατή η εκτέλεση μη δηλωμένης λειτουργικότητας, η οποία θα εμποδίσει τους επιτιθέμενους να εκτελούν κακόβουλο κώδικα εκμεταλλευόμενοι τις αδυναμίες που δεν έχουν πακεταριστεί.

Παρόλο που αυτό ακούγεται σαν ένα ενδιαφέρον έργο, παραμένει να δούμε πώς θα αντιδράσει η κοινότητα SCADA και ο κλάδος της βιομηχανίας, δήλωσε η Santamarta.

«Δεν υπάρχουν αρκετές λεπτομέρειες για το νέο λειτουργικό σύστημα για να αξιολογήσει τα χαρακτηριστικά του», δήλωσε ο Ferrante. "Για να το κάνουμε αυτό θα χρειαστεί να περιμένουμε για μια επίσημη κυκλοφορία. Τέλος πάντων το κύριο πρόβλημα κατά την υιοθέτηση ενός νέου λειτουργικού συστήματος είναι ότι πρέπει να είναι σε θέση να τρέχει τα υπάρχοντα συστήματα SCADA χωρίς να χρειάζεται να ξαναγράψει τον κώδικα τους."