Brace za dodatne napade na industrijske sustave u 2013. godini

Sve veći broj istraživača ranjivosti usmjerit će svoju pažnju na industrijske sustave kontrole (ICS) u sljedećoj godini, ali tako će i cyberattackeri, sigurnosni stručnjaci vjerovati.

Kontrolni sustavi sastoje se od nadzornog softvera koji radi na posvećenim radnim stanicama ili poslužiteljima i kompjuterskim programabilnim hardverskim uređajima koji su povezani i kontroliraju elektromehaničke procese. Ovi sustavi koriste se za praćenje i kontrolu raznih operacija u industrijskim postrojenjima, vojnim postrojenjima, elektroenergetskim mrežama, vodoopskrbnim sustavima, pa čak i javnim i privatnim zgradama.

Neki se koriste u kritičnoj infrastrukturi - sustavi za velike populacije električnu energiju, čistu vodu, prijevoz, itd., tako da njihova potencijalna sabotaža može imati dalekosežne posljedice.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

Malware otkriva nedostatke

Sigurnost SCADA-e (nadzorno nadziranje i prikupljanje podataka) i druge vrste industrijskih sustava kontrole bila je tema mnogih rasprava u IT sigurnosnoj industriji otkad je Stuxnet zlonamjerni softver otkriven u 2010. godini.

Stuxnet je bio prvi poznati zlonamjerni softver koji specifično cilja i zarazi SCADA sustavi i uspješno se upotrijebili za oštećenje centrifuga obogaćivanja urana u nuklearnoj postrojenju u Iranu u Natanzu.

Stuxnet je bio sofisticirani kiberboj, za koji se vjeruje da su razvijene od strane nacionalnih država - navodno SAD i Izrael - s pristupom kvalificiranim programerima, neograničenim sredstvima i detaljnim informacijama o slabostima u upravljačkom sustavu

Napad kritičnih sustava kontrole infrastrukture zahtijeva ozbiljno planiranje, prikupljanje informacija i korištenje alternativnih metoda pristupa ds-Stuxnet je dizajniran za širenje putem USB uređaja jer su sustavi Natanz računala izolirani s Interneta, iskorištavali prethodno nepoznate ranjivosti i ciljane vrlo specifične SCADA konfiguracije koje se nalaze samo na mjestu. Međutim, kontrolni sustavi koji nisu dio kritične infrastrukture postaju sve lakše napadnuti od strane manje vještih napadača.

To je zato što su mnogi od tih sustava povezani s internetom radi praktičnosti daljinske administracije i zbog informacija o ranjivosti u ICS softver, uređaji i komunikacijski protokoli lakše su dostupni nego u pred-Stuxnetovim danima. Pojedinosti o desecima SCADA i ICS ranjivosti javno su otkrivene od strane sigurnosnih istraživača tijekom protekle dvije godine, često praćene kodeksom iskoristivosti koncepta.

"Vidjet ćemo povećanje iskorištavanja internet pristupačnih uređaja za kontrolu jer se eksploatira automatizira ", izjavio je Dale Peterson, glavni izvršni direktor tvrtke Digital Bond, tvrtka specijalizirana za istraživanje i procjenu sigurnosti ICS-a, putem e-pošte.

Međutim, većina uređaja pristupačnih sustava kontrole pristupa Internetu nije dio onoga što većina ljudi bi razmotrila ključnu infrastrukturu, rekao je. "Oni predstavljaju male općinske sustave, sustave za automatizaciju zgrada itd. Oni su vrlo važni tvrtki koja ih posjeduje i upravlja, ali ne bi uglavnom utjecala na veliku populaciju ili gospodarstvo".

Napadači koji bi mogli biti zainteresirani u ciljanju takvih sustava uključuju se politički motivirani hakeri koji pokušavaju dati izjavu, hacktivističke skupine sa zanimanjem za privlačenje pozornosti na svoj uzrok, kriminalce zainteresirane za ucjenjivanje tvrtki ili čak hakeri koji to čine zabavnim ili hvalisnim pravima.

Hakeri pronađu ciljeve

Nedavno otkriveni FBI-ov cyberalert dokument od 23. srpnja otkriva da su ranije ove godine hakeri stekli neovlašteni pristup sustavu grijanja, ventilacije i klimatizacije (HVAC) koji djeluje u poslovnoj zgradi klimatizacijskog sustava u New Jerseyu iskorištavanjem sigurnosnih propusta u kontroli kutija povezana s njim - Niagara kontrolni sustav tvrtke Tridium. Ciljana tvrtka instalirala je slične sustave za banke i druge tvrtke.

Raskid se dogodio nakon što je hakerica u siječnju podijelila internetsku informaciju o ranjivosti ICS sustava Niagare pomoću monikvata "@ antisec" (antisec). Operacija AntiSec bila je niz hakadnih napada koji su ciljali agencije za provedbu zakona i državne institucije orkestrirane od strane hakera povezanih s LulzSecom, Anonimnim i ostalim hacktivistskim skupinama. "9. i 23. siječnja 2012. nepoznati subjekt objavio je komentare na poznatom američkom web mjestu,

"Nije riječ o tome jesu li napadi na ICS izvedivi ili ne, jer su oni bili" su ", izjavio je Ruben Santamarta, sigurnosni istraživač tvrtke IOActive za sigurnosno savjetovanje, koji je u prošlosti pronašao ranjivosti u SCADA sustavima. "Jednom kada je motivacija dovoljno snažna, suočit ćemo se s velikim incidentima, geopolitička i socijalna situacija ne pomaže tako sigurno, nije smiješno pretpostaviti da će 2013 biti zanimljiva godina."

Ciljani napadi nisu jedina briga; SCADA zlonamjerni softver je previše. Vitalij Kamluk, glavni stručnjak za zlonamjerne programe u antivirusnom prodavaču Kaspersky Lab, vjeruje da će ubuduće biti više zlonamjernih programa koji ciljaju SCADA sustave.

"Stuxnetova demonstracija o tome kako ranjiva ICS / SCADA otvorit će potpuno novo područje za bijele i crne istraživača ", rekao je on putem e-pošte. "Ova tema bit će na vrhu popisa za 2013."

Međutim, neki istraživači sigurnosti vjeruju da je stvaranje takvih zlonamjernog softvera još uvijek izvan sposobnosti prosječnih napadača.

"Stvaranje zlonamjernog softvera koji će biti uspješan u napadu na ICS nije trivijalan i može zahtijevati puno uvida i planiranja ", rekao je Thomas Kristensen, šef sigurnosne službe u obavještajnoj službi i menadžerske tvrtke Secunia, putem e-pošte. "To također značajno ograničava količinu ljudi ili organizacija koje su sposobne ukloniti takav napad".

"Međutim, ne sumnjamo da ćemo vidjeti napade na ICS", naglasio je Kristensen. implementiranih aplikacija i hardvera SCADA i DCS [distributed control system] razvijeni su bez životnog ciklusa razvoja sigurnosti (SDL) - misle Microsoft kasnih 90-ih - tako da obiluje uobičajenim programskim pogreškama koje dovode do grešaka, ranjivosti i iskorištava ", rekao je Peterson. "To je rekao, PLC i drugi terenski uređaji nesigurni su po dizajnu i ne zahtijevaju ranjivost da se kritični proces ili ga promijeniti na zlonamjeran način Stuxnet."

Petersonova tvrtka, Digital Bond, objavila nekoliko iskorištavanja za ranjivosti koje se nalaze u mnogim PLC-ovima (programabilni logični kontroleri) -SCADA hardverske komponente - od više dobavljača kao modula popularnog Metasploit okvira za testiranje penetracije, open-source alat koji se može koristiti gotovo svatko. To je učinjeno u sklopu istraživačkog projekta Project Basecamp, čiji je cilj bio pokazati koliko su krhki i nesigurni mnogi postojeći PLC-i. "Jedino ograničenje pronalaženja velikog broja SCADA i DCS ranjivosti su istraživači koji imaju pristup opremi, "Rekao je Peterson. "Više pokušava i uspijeva, tako da će doći do povećanja ranjivosti koje će biti otkrivene na bilo koji način istraživač smatra prikladnim."

Ipak treba zakrpe

Santamarta je složio se da istraživači danas lako mogu otkriti ranjivosti u SCADA softveru.

Postoji čak i tržište za informacije o ranjivosti SCADA. ReVuln, tvrtka sa sjedištem u Malti koja je osnovala istraživači sigurnosti Luigi Auriemma i Donato Ferrante, prodaje informacije o softverskim ranjivostima vladinim agencijama i ostalim privatnim kupcima bez njihova prijavljivanja prema dotičnim dobavljačima. Više od 40 posto ranjivosti u ReVulnovom portfelju u ovom trenutku su SCADA.

Trend čini se da raste za napade i ulaganja u SCADA sigurnosno polje, prema Donato Ferrante. "Zapravo, ako mislimo da nekoliko velikih tvrtki na SCADA tržištu ulaže mnogo novca na otvrdnjavanje tih infrastruktura, to znači da je SCADA / ICS tema i to će biti vruća tema za nadolazeće godine", rekao je Ferrante putem e-pošte.

Međutim, osiguravanje SCADA sustava nije tako jednostavno kao osiguranje redovitih IT infrastruktura i računalnih sustava. Čak i kada prodavači izdaju sigurnosne zakrpe za SCADA proizvode, vlasnici ranjivih sustava mogu potrajati jako dugo vremena da ih implementiraju.

Postoji vrlo malo automatskih rješenja za implementaciju zakrpi za SCADA sustave, rekao je Luigi Auriemma putem e-pošte. Većinu vremena, administratori SCADA-e trebaju ručno primijeniti odgovarajuće zakrpe, kazao je.

"Situacija je kritično loša", rekao je Kamluk. Glavni cilj sustava SCADA je kontinuirani rad, koji obično ne dopušta vruće zakrpe ili ažuriranje - instalacije zakrpa ili ažuriranja bez ponovnog pokretanja sustava ili programa - rekao je.

Osim toga, SCADA sigurnosne zakrpe trebaju biti precizno testirani prije nego što budu raspoređeni u proizvodnim okruženjima jer bilo kakvo neočekivano ponašanje može imati značajan utjecaj na operacije. "" Čak iu onim slučajevima gdje postoji zakrpa za ranjivost, naći ćemo ranjive sustave dulje vrijeme ", rekao je Santamarta..

Većina SCADA sigurnosnih stručnjaka želi da se industrijski uređaji za kontrolu poput PLC-a ponovno konstruiraju sa sigurnošću.

"Ono što je potrebno je PLC s osnovnim sigurnosnim mjerama i planom njihova implementiranja u najkritičnu infrastrukturu u idućih jedan do tri godine ", rekao je Peterson." Idealni scenarij je gdje su industrijski uređaji sigurni dizajnom, ali moramo biti realni, to će potrajati ", rekao je Santamarta. "Industrijski se sektor razlikuje od svijeta, a to ne smijemo strogo pogledati kroz IT perspektivu.", Rekao je, svatko shvaća da nešto mora biti učinjeno, uključujući industrijske dobavljače. "

U nedostatku sigurnog po- dizajnerskih uređaja, vlasnici ICS-a trebali bi se obraniti u dubini pristupa osiguranju tih sustava, rekao je Santamarta. "S obzirom da postoje tamo industrijski protokoli koji su nesigurni prema zadanim postavkama, smisla je dodati ublažavanje i različite slojeve zaštite."

"Odspojite ICS s interneta, stavite ga u izolirani mrežni segment i strogo ograničite / provjerite pristup ", rekao je Kamluk." Vlasnici kritične infrastrukture trebali bi shvatiti da su potrebne zasebne mreže ili barem zasebne vjerodajnice za pristup kritičnoj infrastrukturi ", rekao je Kristensen. "Nijedan zdravstveni i sigurnosni administrator ne bi se prijavio na bilo koji od svojih sustava koristeći administrativne vjerodajnice i unutar te iste sesije pristupiti neprijateljskom internetu i čitati e-poštu. To bi također trebalo vrijediti i za ICS, koristite jedan skup vjerodajnica za pristup ICS sjednici i možda

Uredba o kojoj se raspravljalo

Potreba za vladinim propisima koja bi prisilila operatore kritične infrastrukture da osiguraju svoje industrijske sustave kontrole bila je jako raspravljena tema i mnogi SCADA sigurnosni stručnjaci slažu se da to može biti dobra polazna točka. Međutim, do sada je ostvaren mali napredak ka ovom cilju. "Najambicioznija vlada, NERC CIP za elektroenergetski sektor Sjeverne Amerike, bila je neuspjeh", rekao je Peterson. "Većina bi htjela uspješnu regulaciju vlade, ali ne može prepoznati što bi to bilo."

"Volio bih da vlada bude iskrena i izjavljuje da ti sustavi nisu sigurni po dizajnu i organizacijama koje vode kritičnu infrastrukturu SCADA i DCS bi trebao imati plan za nadogradnju ili zamjenu ovih sustava u idućih jedan do tri godine ", rekao je.

Vladina regulacija bi bila izuzetno korisna, rekao je Kamluk. Neki SCADA dobavljači žrtvuju sigurnost za uštedu troškova razvoja bez razmatranja rizika takvih odluka i njihovog mogućeg utjecaja na ljudske živote.

Ranije ove godine, Kaspersky Lab otkrio je planove za razvoj OS koji bi osigurao siguran- dizajnersko okruženje za rad SCADA i drugih ICS sustava. Ideja iza operacijskog sustava je jamčiti da se na njemu neće moći pokrenuti nijedna neoznačena funkcionalnost koja bi spriječila napadače da izvrše zlonamjernu šifru iskorištavanjem nedopuštenih ranjivosti.

Iako to zvuči kao zanimljiv projekt, ostaje da se vidi kako će SCADA zajednica i sektor industrije reagirati na njega, "rekao je Santamarta." Nema dovoljno pojedinosti o novom operativnom sustavu za procjenu njegovih značajki ", rekao je Ferrante., "Da bismo to učinili morat ćemo pričekati službeno izdanje. U svakom slučaju, glavni problem prilikom usvajanja novog operacijskog sustava je da mora biti u stanju pokrenuti postojeće SCADA sustave bez potrebe da ponovo napišete svoj kod."