Przygotuj się na więcej ataków na systemy przemysłowe w 2013 r.

Coraz więcej badaczy wrażliwości skupi swoją uwagę na systemach kontroli przemysłowych (ICS) w nadchodzącym roku, ale także cyberataki, uważają eksperci ds. bezpieczeństwa.

Systemy kontroli składają się z oprogramowania nadzorczego działającego na dedykowanych stacjach roboczych lub serwerach oraz programowalnych sprzętowych urządzeniach komputerowych, które są połączone i kontrolują procesy elektromechaniczne. Systemy te są używane do monitorowania i kontrolowania różnorodnych operacji w obiektach przemysłowych, instalacjach wojskowych, sieciach energetycznych, systemach dystrybucji wody, a nawet budynkach publicznych i prywatnych.

Niektóre są wykorzystywane w krytycznej infrastrukturze - systemach, od których zależą duże populacje elektryczność, czysta woda, transport itp. - więc ich potencjalny sabotaż mógłby mieć daleko idące konsekwencje. Inne jednak mają znaczenie tylko dla działalności ich właścicieli, a ich nieprawidłowe działanie nie miałoby znacznego wpływu.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Malware ujawnia błędy

Bezpieczeństwo SCADA (kontrola nadzorcza i akwizycja danych) i inne rodzaje systemów sterowania przemysłowego były przedmiotem wielu debat w branży bezpieczeństwa IT od czasu odkrycia szkodliwego oprogramowania Stuxnet w 2010 roku.

Stuxnet był pierwszym znanym szkodliwym oprogramowaniem, które celowo atakuje i infekuje SCADA i był z powodzeniem stosowany do niszczenia wirówek do wzbogacania uranu w irańskiej elektrowni jądrowej w Natanz.

Stuxnet był wyrafinowaną cyberbronią, która została opracowana przez państwa narodowe - podobno USA i Izrael - z dostępem do wykwalifikowanych programistów, nieograniczonych funduszy i szczegółowych informacji o słabościach systemu kontroli.

Atakowanie systemów kontroli infrastruktury krytycznej wymaga poważnego planowania, zbierania danych wywiadowczych i wykorzystywania alternatywnych metod dostępu ds-Stuxnet został zaprojektowany do rozprzestrzeniania się za pośrednictwem urządzeń USB, ponieważ systemy komputerów Natanz zostały odizolowane od Internetu, wykorzystywały nieznane wcześniej luki w zabezpieczeniach i kierowały bardzo specyficzne konfiguracje SCADA znalezione tylko na miejscu. Jednak systemy kontrolne, które nie są częścią infrastruktury krytycznej, stają się coraz łatwiejsze do ataku przez mniej wykwalifikowanych atakujących.

To dlatego, że wiele z tych systemów jest połączonych z Internetem dla wygody administracji zdalnej oraz informacji o lukach w zabezpieczeniach ICS oprogramowanie, urządzenia i protokoły komunikacyjne są łatwiej dostępne niż w dni poprzedzające Stuxnet. Szczegóły dotyczące tuzin luk w zabezpieczeniach SCADA i ICS zostały publicznie ujawnione przez badaczy bezpieczeństwa w ciągu ostatnich dwóch lat, często w połączeniu z kodem exploit-proof-of-concept.

"Zobaczymy wzrost wykorzystania urządzeń z dostępem do Internetu ponieważ exploity stają się zautomatyzowane ", powiedział Dale Peterson, dyrektor generalny firmy Digital Bond, specjalizującej się w badaniach i ocenie bezpieczeństwa ICS, za pośrednictwem poczty elektronicznej.

Jednak większość urządzeń kontroli dostępu do Internetu nie jest częścią większość ludzi uznałaby infrastrukturę krytyczną, powiedział. "Reprezentują małe systemy komunalne, systemy automatyzacji budynków itp. Są bardzo ważne dla firmy, która je posiada i obsługuje, ale w większości przypadków nie będą miały wpływu na dużą populację lub gospodarkę."

Atakujący, którzy potencjalnie mogą być zainteresowani w atakowaniu takich systemów znajdują się politycznie zmotywowani hakerzy próbujący wydać oświadczenie, haktywistyczne grupy zainteresowane zwróceniem uwagi na ich sprawę, przestępcy zainteresowani szantażem firm, a nawet hakerzy, którzy robią to z przyjemnością lub chwalą się prawami.

Hakerzy znajdują cele

Niedawno ujawniony dokument cyberfrancuski FBI z 23 lipca ujawnił, że wcześniej w tym roku hakerzy uzyskali nieautoryzowany dostęp do systemu ogrzewania, wentylacji i klimatyzacji (HVAC) działającego w biurowcu firmy zajmującej się klimatyzacją w New Jersey, wykorzystując lukę w zabezpieczeniach przed dostępem tylnym pudełko do niego podłączone - system kontroli Niagara firmy Tridium. Firma docelowa zainstalowała podobne systemy dla banków i innych firm.

Naruszenie nastąpiło po tym, jak informacje o usterce w systemie Niagara ICS zostały udostępnione online w styczniu przez hakera używającego monikera "@ntisec" (antisec). Operacja AntiSec była serią ataków hakerskich na organy ścigania i instytucje rządowe zorganizowane przez hakerów powiązanych z LulzSec, Anonimowymi i innymi grupami haktywistów.

"W dniach 21 i 23 stycznia 2012 r. Nieznany podmiot opublikował komentarze na temat znanej strony internetowej USA, pod tytułem "#US #SCADA #IDIOTS" i "#US #SCADA #IDIOTS część-II", "FBI powiedział w ujawnionym dokumencie.

" Nie ma znaczenia, czy ataki na ICS są możliwe, czy nie, ponieważ "Ruben Santamarta, badacz bezpieczeństwa z firmą konsultingową IOActive, który w przeszłości wykrywał luki w systemach SCADA, powiedział przez e-mail. "Kiedy motywacja będzie wystarczająco silna, będziemy musieli stawić czoła poważnym incydentom, sytuacja geopolityczna i społeczna tak nie pomoże, nie jest śmieszne przyjmować, że rok 2013 będzie interesujący."

Ataki ukierunkowane to nie jedyny problem; Szkodliwe oprogramowanie SCADA też. Vitaly Kamluk, główny ekspert w dziedzinie oprogramowania antywirusowego firmy Kaspersky Lab, uważa, że ​​w przyszłości będzie więcej złośliwych programów atakujących systemy SCADA.

"Demonstracja systemu ISS / SCADA dla Stuxneta otworzyła zupełnie nowy obszar dla białych i czarnych naukowcy ", powiedział za pośrednictwem poczty elektronicznej. "Ten temat znajdzie się na pierwszej liście w 2013 roku."

Jednak niektórzy badacze bezpieczeństwa uważają, że tworzenie takiego złośliwego oprogramowania wciąż przekracza możliwości przeciętnych napastników.

"Tworzenie złośliwego oprogramowania, które będzie skuteczne w atakowaniu ICS nie jest trywialne i może wymagać dużego wglądu i planowania "- powiedział Thomas Kristensen, dyrektor ds. bezpieczeństwa w firmie wywiadowczej i zarządzającej lukami bezpieczeństwa Secunia, za pośrednictwem poczty elektronicznej. "To także znacznie ogranicza liczbę osób lub organizacji, które są w stanie przeprowadzić taki atak."

"Nie mamy jednak wątpliwości, że zobaczymy ataki na ICS" - podkreśliła Kristensen.

"Większość wdrożonych aplikacji i sprzętu SCADA i DCS [rozproszonego systemu sterowania] zostały opracowane bez cyklu Security Development Lifecycle (SDL) - uważają Microsoft pod koniec lat 90-tych - a więc obfituje w popularne błędy programistyczne, które prowadzą do błędów, luk i wykorzystuje - powiedział Peterson. "To powiedziawszy, sterowniki programowalne i inne urządzenia obiektowe są niezabezpieczone ze względu na konstrukcję i nie wymagają usterki, aby krytycznie przerwać proces lub zmienić go w złośliwy sposób a la Stuxnet."

Firma Peterson, Digital Bond, opublikowała kilka exploitów dla luk znalezionych w wielu sterownikach PLC (programowalnych kontrolerach logicznych) - komponenty sprzętowe SCADA - od wielu dostawców jako moduły popularnej platformy testowania penetracji Metasploit, narzędzia o otwartym kodzie źródłowym, z którego może korzystać praktycznie każdy. Zostało to zrobione w ramach projektu badawczego o nazwie Project Basecamp, którego celem było pokazanie, jak kruche i niepewne jest wiele istniejących sterowników PLC.

"Jedynym ograniczeniem do znalezienia dużej liczby luk w zabezpieczeniach SCADA i DCS są naukowcy uzyskujący dostęp do sprzętu - powiedział Peterson. "Więcej prób i sukcesów, więc nastąpi wzrost słabych punktów, które zostaną ujawnione w taki sposób, jaki badacz uzna za stosowny."

Nadal potrzebuje łatek

Santamarta zgodziła się, że badacze mogą łatwo znaleźć luki w oprogramowaniu SCADA.

Istnieje nawet rynek informacji o lukach w zabezpieczeniach SCADA. ReVuln, maltańska firma zajmująca się ochroną startupów, założona przez badaczy bezpieczeństwa Luigi Auriemma i Donato Ferrante, sprzedaje informacje o lukach w oprogramowaniu agencjom rządowym i innym prywatnym nabywcom, nie zgłaszając ich do odpowiednich dostawców. Ponad 40 procent luk w portfelu ReVulna to SCADA.

Wydaje się, że trend rośnie zarówno w przypadku ataków, jak i inwestycji w dziedzinie bezpieczeństwa SCADA, według Donato Ferrante. "W rzeczywistości, jeśli uważamy, że kilka dużych firm na rynku SCADA inwestuje duże pieniądze w hartowanie tych infrastruktur, oznacza to, że temat SCADA / ICS jest i nadal będzie gorącym tematem na nadchodzące lata", powiedział Ferrante za pośrednictwem poczty elektronicznej.

Zabezpieczanie systemów SCADA nie jest jednak tak proste, jak zabezpieczanie zwykłych infrastruktur informatycznych i systemów komputerowych. Nawet gdy dostawcy zabezpieczeń wprowadzą poprawki zabezpieczeń dla produktów SCADA, ich wdrożenie może zająć bardzo dużo czasu.

Istnieje niewiele automatycznych rozwiązań do wdrażania poprawek dla systemów SCADA, powiedział Luigi Auriemma za pośrednictwem poczty elektronicznej. W większości przypadków administratorzy SCADA muszą ręcznie stosować odpowiednie poprawki, powiedział.

"Sytuacja jest krytycznie zła" - powiedział Kamluk. Głównym celem systemów SCADA jest ciągła praca, która zwykle nie pozwala na szybkie łatanie lub aktualizację - instalowanie poprawek lub aktualizacji bez restartowania systemu lub programu - powiedział.

Ponadto, poprawki bezpieczeństwa SCADA muszą przed wdrożeniem w środowisku produkcyjnym należy go dokładnie przetestować, ponieważ każde nieoczekiwane zachowanie może mieć znaczący wpływ na operacje.

"Nawet w tych przypadkach, w których istnieje łata dotycząca luki, przez długi czas znajdziemy wrażliwe systemy", powiedział Santamarta.

Większość ekspertów ds. Bezpieczeństwa SCADA chciałaby, aby urządzenia do sterowania przemysłowego, takie jak sterowniki PLC, zostały przeprojektowane z myślą o bezpieczeństwie.

"Potrzebne są sterowniki PLC z podstawowymi środkami bezpieczeństwa i plan ich wdrożenia w najbardziej krytycznej infrastrukturze w ciągu następnych od jednego do trzech lat ", powiedział Peterson.

" Idealnym scenariuszem jest miejsce, w którym urządzenia przemysłowe są bezpieczne z założenia, ale musimy być realistami, co zajmie trochę czasu "- powiedział Santamarta. "Sektor przemysłowy jest światem osobnym, nie powinniśmy go uważnie przyglądać się z perspektywy IT, ale każdy zdaje sobie sprawę, że coś musi zostać zrobione, w tym sprzedawcy przemysłowi."

W przypadku braku bezpiecznych projektanci urządzeń, właściciele ICS powinni przyjąć dogłębne podejście do zabezpieczania tych systemów, powiedział Santamarta. "Biorąc pod uwagę, że istnieją protokoły przemysłowe, które domyślnie nie są bezpieczne, warto dodać ograniczenia i różne poziomy ochrony."

"Odłącz ICS od Internetu, umieść go w izolowanym segmencie sieci i ściśle ogranicz / inspekcję dostęp do niego - powiedział Kamluk.

"Właściciele infrastruktury krytycznej powinni zdać sobie sprawę, że do dostępu do infrastruktury krytycznej potrzebne są oddzielne sieci lub co najmniej osobne dane uwierzytelniające" - powiedział Kristensen. "Żaden rozsądny i świadomy bezpieczeństwa administrator nie logowałby się do żadnego ze swoich systemów przy użyciu poświadczeń administracyjnych iw ramach tej samej sesji miał dostęp do wrogiego Internetu i czytał wiadomości e-mail. Powinno to również dotyczyć usługi ICS, używać jednego zestawu poświadczeń w celu uzyskania dostępu do sesji ICS i być może dostęp do sesji połączenia z Internetem przy użyciu wirtualnego i / lub zdalnego ustawienia pulpitu. "

Regulacja debaty

Potrzeba regulacji rządowych, która zmusiłaby operatorów infrastruktury krytycznej do zabezpieczenia ich przemysłowych systemów kontroli, była przedmiotem gorącej debaty i wielu ekspertów ds. bezpieczeństwa SCADA zgadza się, że może to być dobry punkt wyjścia. Jednak do tej pory osiągnięto niewielki postęp w tym zakresie.

"Najbardziej ambitne regulacje rządowe, CIP NERC dla północnoamerykańskiego sektora elektrycznego, zakończyły się niepowodzeniem" - powiedział Peterson. "Większość chciałaby udanych regulacji rządowych, ale nie może określić, co by to było."

"Chciałabym po prostu, aby rząd był uczciwy i głośno twierdził, że te systemy nie są bezpieczne z punktu widzenia projektu i organizacji, które zarządzają krytyczną infrastrukturą SCADA i DCS powinien mieć plan aktualizacji lub wymiany tych systemów w ciągu najbliższych jednego do trzech lat ", powiedział.

Regulacja rządowa byłaby niezwykle pomocna, powiedział Kamluk. Niektórzy dostawcy SCADA poświęcają bezpieczeństwo na rzecz oszczędności w rozwoju, nie biorąc pod uwagę ryzyka związanego z takimi decyzjami i ich potencjalnym wpływem na ludzkie życie.

Na początku tego roku Kaspersky Lab ujawnił plany stworzenia systemu operacyjnego zapewniającego bezpieczeństwo przez środowisko projektowe do obsługi SCADA i innych systemów ICS. Ideą systemu operacyjnego jest zagwarantowanie, że nie będzie możliwe uruchomienie na nim niezgłoszonej funkcjonalności, co uniemożliwi atakującym wykonanie szkodliwego kodu poprzez wykorzystanie niezałatanych luk w zabezpieczeniach.

Chociaż brzmi to jak interesujący projekt, to okaże się, jak zareaguje na to społeczność SCADA i sektor branżowy, powiedział Santamarta.

"Nie ma wystarczająco dużo szczegółów na temat nowego systemu operacyjnego, aby ocenić jego cechy," powiedział Ferrante. "Aby to zrobić, będziemy musieli poczekać na oficjalne wydanie. W każdym razie głównym problemem przy przyjmowaniu nowego systemu operacyjnego jest to, że musi on być w stanie uruchomić istniejące systemy SCADA bez konieczności przepisywania kodu."