Zagrożenie komputerowe dla systemów przemysłowych teraz bardziej poważne

Badacz bezpieczeństwa opublikował kod, który mógłby zostać wykorzystany do przejęcia kontroli nad komputerami wykorzystywanymi do zarządzania maszynami przemysłowymi, potencjalnie dając hakerom tylne drzwi do zakładów użyteczności publicznej, elektrowni wodnych, a nawet rafinerii ropy i gazu.

Oprogramowanie zostało opublikowane w piątek wieczorem Kevin Finisterre, badacz, który powiedział, że chce zwiększyć świadomość na temat luk w tych systemach, problemy, które, jak powiedział, są często bagatelizowane przez producentów oprogramowania. "Ci producenci nie ponoszą odpowiedzialności za oprogramowanie, które produkują", powiedział Finisterre, który jest szefem badań w firmie testującej bezpieczeństwo Netragard. "Mówią swoim klientom, że nie ma problemu, a tymczasem w tym oprogramowaniu działa krytyczna infrastruktura."

Finisterre opublikował swój kod ataku jako moduł oprogramowania dla Metasploit, szeroko stosowanego narzędzia hakerskiego. Integrując go z Metasploit, Finisterre znacznie uprościł jego kod, powiedzieli eksperci ds. Bezpieczeństwa. "Integracja exploita z Metasploit zapewnia szerokiemu wachlarzowi ludzi dostęp do ataku" - powiedział Seth Bromberger, menedżer bezpieczeństwa informacji w PG & E. "Teraz wystarczy pobrać Metasploit i możesz rozpocząć atak."

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Kod wykorzystuje lukę w CitectSCADA Citect'a, która została odkryta przez Core Technologie bezpieczeństwa i upublicznione w czerwcu. Citect opublikował łatkę na błąd po jej ujawnieniu, a sprzedawca oprogramowania powiedział, że problem stanowi ryzyko tylko dla firm, które łączą swoje systemy bezpośrednio z Internetem bez ochrony firewalla, co nigdy nie byłoby celowe. Ofiara musiałaby również włączyć określoną funkcję bazy danych w produkcie CitectSCADA, aby atak zadziałał.

Tego typu przemysłowe produkty kontroli procesu SCADA (kontrola nadzorcza i gromadzenie danych) tradycyjnie były trudne do zdobycia i analizy, co spowodowało, że trudni dla hakerów, którzy sondują ich pod kątem błędów bezpieczeństwa, ale w ostatnich latach coraz więcej systemów SCADA zostało zbudowanych na bazie znanych systemów operacyjnych, takich jak Windows lub Linux, dzięki czemu są one tańsze i łatwiejsze do zhakowania.

Specjaliści od bezpieczeństwa IT Szybko i często stosuje się do łatania systemów, ale przemysłowe systemy komputerowe nie przypominają komputerów. Ponieważ przestój w elektrowni wodnej lub systemie energetycznym może doprowadzić do katastrofy, inżynierowie niechętnie wprowadzają zmiany w oprogramowaniu lub nawet wprowadzają komputery w tryb off-line.

Ta różnica doprowadziła do nieporozumień między specjalistami IT, takimi jak Finisterre, który widzimy słabe punkty w zabezpieczeniach i inżynierów odpowiedzialnych za utrzymanie tych systemów. "W tej chwili toczą się starcia kulturowe między inżynierami odpowiedzialnymi za kontrolę procesów a ludźmi z branży IT" - powiedział Bob Radvanovsky, niezależny badacz, który prowadzi internetową listę dyskusyjną poświęconą bezpieczeństwu SCADA, która odnotowała gorącą dyskusję na ten temat. temat.

Citect powiedział, że nie słyszał o klientach, którzy zostali zhackowani z powodu tej wady. Ale firma planuje wkrótce wydać nową wersję CitectSCADA z nowymi funkcjami bezpieczeństwa, w oświadczeniu (pdf) wydanym we wtorek.

To wydanie nie nadejdzie zbyt szybko, ponieważ Finisterre uważa, że ​​istnieje inne, podobne kodowanie błędy w oprogramowaniu CitectSCADA.

I chociaż systemy SCADA mogą być oddzielone od innych sieci komputerowych w zakładach, nadal mogą zostać naruszone. Na przykład na początku 2003 r. Wykonawca podobno zarażał elektrownię jądrową Davis-Besse za pomocą robaka SQL Slammer.

"Wiele osób, które prowadzą te systemy, uważa, że ​​nie są związane tymi samymi zasadami, co tradycyjne IT - powiedział Finisterre. "Ich branża nie jest zaznajomiona z hackowaniem i hakerami w ogóle."