Η απειλή του υπολογιστή για τα βιομηχανικά συστήματα τώρα πιο σοβαρή

Το λογισμικό δημοσιεύθηκε αργά την Παρασκευή το βράδυ από τον Kevin Finisterre, ερευνητή ο οποίος δήλωσε ότι θέλει να αυξήσει την ευαισθητοποίηση για τα τρωτά σημεία στα συστήματα αυτά, προβλήματα που δήλωσε ότι συχνά υποβαθμίζονται από πωλητές λογισμικού. "Αυτοί οι πωλητές δεν θεωρούνται υπεύθυνοι για το λογισμικό που παράγουν", δήλωσε ο Finisterre, ο οποίος είναι επικεφαλής της έρευνας με την εταιρεία δοκιμών ασφαλείας Netragard. "Είναι που λένε στους πελάτες τους ότι δεν υπάρχει πρόβλημα, εν τω μεταξύ, αυτό το λογισμικό τρέχει κρίσιμη υποδομή."

Ο Finisterre κυκλοφόρησε τον κώδικα επίθεσης του ως λογισμικό για το Metasploit, ένα ευρέως χρησιμοποιούμενο εργαλείο hacking. Με την ενσωμάτωσή του στο Metasploit, ο Finisterre έχει κάνει τον κώδικα του πολύ πιο εύκολο στη χρήση, ανέφεραν οι ειδικοί ασφαλείας. "Η ενσωμάτωση της εκμετάλλευσης με το Metasploit δίνει ένα ευρύ φάσμα ανθρώπων στην πρόσβαση στην επίθεση", δήλωσε ο Seth Bromberger, διευθυντής της ασφάλειας πληροφοριών στην PG & E. "Τώρα το μόνο που χρειάζεται είναι να κατεβάσετε το Metasploit και να ξεκινήσετε την επίθεση."

Ο κώδικας εκμεταλλεύεται ένα ελάττωμα στο λογισμικό CitectSCADA της Citect που ανακαλύφθηκε αρχικά από τον Core Security Technologies και δημοσιοποιήθηκε τον Ιούνιο. Η Citect κυκλοφόρησε μια ενημερωμένη έκδοση κώδικα για το σφάλμα όταν αποκαλύφθηκε για πρώτη φορά και ο πωλητής λογισμικού δήλωσε ότι το ζήτημα θέτει σε κίνδυνο μόνο τις εταιρείες που συνδέουν τα συστήματά τους απευθείας στο Internet χωρίς προστασία από τείχη προστασίας, κάτι που δεν θα γίνει ποτέ σκόπιμα. Το θύμα θα πρέπει επίσης να επιτρέπει μια συγκεκριμένη λειτουργία βάσης δεδομένων στο προϊόν CitectSCADA για να λειτουργήσει η επίθεση.

Αυτοί οι τύποι βιομηχανικών προϊόντων SCADA (εποπτικού ελέγχου και απόκτησης δεδομένων) είναι παραδοσιακά δύσκολο να αποκτηθούν και να αναλυθούν, καθιστώντας το είναι δύσκολο για τους χάκερ να τα δοκιμάσουν για σφάλματα ασφαλείας, αλλά τα τελευταία χρόνια όλο και περισσότερα συστήματα SCADA έχουν χτιστεί πάνω από γνωστά λειτουργικά συστήματα, όπως τα Windows ή το Linux, κάνοντας τους και τους φθηνότερους και πιο εύκολο να χάσουν. χρησιμοποιούνται για την τακτοποίηση συστημάτων γρήγορα και συχνά, αλλά τα βιομηχανικά συστήματα ηλεκτρονικών υπολογιστών δεν είναι σαν τα PC. Επειδή ένας χρόνος διακοπής με ένα εργοστάσιο νερού ή ένα ηλεκτρικό σύστημα μπορεί να οδηγήσει σε καταστροφή, οι μηχανικοί μπορεί να είναι απρόθυμοι να κάνουν αλλαγές λογισμικού ή ακόμα και να φέρουν τους υπολογιστές off-line για patching.

Αυτή η διαφορά έχει οδηγήσει σε διαφωνίες μεταξύ επαγγελματιών πληροφορικής, όπως Finisterre, βλέπε τα προβλήματα ευπάθειας ασφαλείας να υποβαθμίζονται και οι μηχανικοί της βιομηχανίας να επιβαρύνονται με την τήρηση αυτών των συστημάτων. "Έχουμε μια μικρή σύγκρουση πολιτισμών που συμβαίνει αυτή τη στιγμή μεταξύ των μηχανικών ελέγχου της διαδικασίας και των ανθρώπων της πληροφορικής", δήλωσε ο Bob Radvanovsky, ένας ανεξάρτητος ερευνητής που διαχειρίζεται έναν κατάλογο SCADA online συζήτησης σχετικά με την ασφάλεια που έχει δει κάποιες θερμές συζητήσεις για αυτό θέμα

Η Citect είπε ότι δεν είχε ακούσει για τους πελάτες που είχαν πειραχτεί εξαιτίας αυτού του ελαττώματος. Ωστόσο, η εταιρεία σχεδιάζει σύντομα να κυκλοφορήσει μια νέα έκδοση του CitectSCADA με νέα χαρακτηριστικά ασφάλειας, σε δήλωση (pdf) που κυκλοφόρησε την Τρίτη.

Η δημοσίευση αυτή δεν θα συμβεί σύντομα, καθώς ο Finisterre πιστεύει ότι υπάρχουν και άλλες, παρόμοιες, σφάλματα στο λογισμικό CitectSCADA.

Και ενώ τα συστήματα SCADA μπορούν να διαχωριστούν από άλλα δίκτυα υπολογιστών εντός των εγκαταστάσεων, μπορούν ακόμα να παραβιαστούν. Για παράδειγμα, στις αρχές του 2003, ένας εργολάβος ανέφερε ότι είχε μολύνει τον πυρηνικό σταθμό Davis-Besse με τον σκουλήκι SQL Slammer

"Πολλοί άνθρωποι που τρέχουν αυτά τα συστήματα πιστεύουν ότι δεν δεσμεύονται από τους ίδιους κανόνες με τους παραδοσιακούς IT, "είπε ο Finisterre. "Η βιομηχανία τους δεν είναι πολύ εξοικειωμένη με την πειρατεία και τους χάκερ γενικά."