Brațul pentru mai multe atacuri asupra sistemelor industriale în 2013

Unele sunt utilizate în infrastructurile critice - sistemele pe care populațiile mari depind de electricitate, apă curată, transport etc. - astfel încât potențialul lor sabotaj ar putea avea consecințe importante. Altele, cu toate acestea, sunt relevante numai pentru afacerile proprietarilor lor, iar defecțiunile lor nu ar avea un impact foarte răspândit.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

Malware-ul prezintă erori

(controlul de supraveghere și achiziția de date) și alte tipuri de sisteme industriale de control a fost un subiect de dezbatere în industria de securitate IT, deoarece malware-ul Stuxnet a fost descoperit în 2010.

Stuxnet a fost primul malware cunoscut care vizează în mod specific și infectează SCADA și a fost folosit cu succes pentru a distruge centrifugele de îmbogățire a uraniului la uzina nucleară a Iranului din Natanz.

Stuxnet a fost un sofer de cyberweapon care se credea că a fost dezvoltat de statele națiunii - SUA și Israel, cu acces la dezvoltatori calificați, fonduri nelimitate și informații detaliate despre deficiențele sistemului de control.

Atacul sistemelor de control al infrastructurii critice necesită o planificare serioasă, culegerea de informații și utilizarea metodei alternative de acces ds-Stuxnet a fost proiectat să se răspândească prin dispozitive USB, deoarece sistemele computerelor Natanz au fost izolate de pe Internet, au exploatat vulnerabilități necunoscute anterior și au vizat configurații SCADA foarte specifice găsite numai la site. Cu toate acestea, sistemele de control care nu fac parte din infrastructura critică devin din ce în ce mai ușor de atacat de atacatori mai puțin calificați.

Acest lucru se datorează faptului că multe dintre aceste sisteme sunt conectate la Internet pentru comoditatea administrării de la distanță și pentru că informațiile despre vulnerabilități în ICS software-ul, dispozitivele și protocoalele de comunicații sunt mai ușor accesibile decât în ​​zilele pre-Stuxnet. Detalii despre zeci de vulnerabilități SCADA și ICS au fost dezvăluite public de către cercetătorii din domeniul securității în ultimii doi ani, adesea însoțiți de codul de exploatare a dovezilor de concept.

"Vom vedea o creștere a exploatării dispozitivelor de control accesibile pe internet deoarece exploatările se automatizează ", a declarat Dale Peterson, director executiv al Digital Bond, o companie specializată în cercetarea și evaluarea securității ICS, prin e-mail. Cu toate acestea, majoritatea dispozitivelor de control accesibile de pe Internet nu fac parte din ceea ce majoritatea oamenilor ar considera infrastructura critică, a spus el. "Acestea reprezintă sisteme municipale mici, sisteme de automatizare a clădirilor etc. Ele sunt foarte importante pentru compania care le deține și le execută, dar nu ar afecta în mare parte o populație sau o economie mare."

Atacatorii care ar putea fi interesați în direcționarea unor astfel de sisteme includ hackeri motivați politic care încearcă să facă o declarație, grupuri hacktiviste cu interes să atragă atenția asupra cauzei lor, criminali interesați de șantajarea companiilor sau chiar de hackeri care o fac distracție sau drepturi de înfrânare.

Hackerii găsesc ținte

Un document recent citat de FBI Cyberalert, datat pe 23 iulie, a arătat că, la începutul acestui an, hackerii au obținut acces neautorizat la sistemul de încălzire, ventilație și aer condiționat (HVAC) care funcționează în clădirea de birouri a unei companii de climatizare din New Jersey exploatând o vulnerabilitate din backdoor caseta conectată la acesta - un sistem de control Niagara realizat de Tridium. Compania vizată a instalat sisteme similare pentru bănci și alte companii.

Încălcarea sa produs după ce informațiile despre vulnerabilitatea din sistemul ICS Niagara au fost partajate online în ianuarie de un hacker care folosea porecla "@ntisec" (antisec). Operațiunea AntiSec a reprezentat o serie de atacuri de hacking vizând agențiile de aplicare a legii și instituțiile guvernamentale orchestrate de către hackerii asociați cu grupurile LulzSec, Anonim și alte grupuri hacktiviste. "Pe data de 21 și 23 ianuarie 2012, un subiect necunoscut a postat comentarii pe un site american cunoscut, intitulat "#US #SCADA #IDIOTS" și "#US #SCADA #IDIOTS part II", a spus FBI în documentul scurs.

"Nu este vorba dacă atacurile împotriva ICS sunt fezabile sau nu pentru că sunt ", a declarat Ruben Santamarta, cercetător în domeniul securității cu firma de consultanță pentru securitate IOActive, care a identificat vulnerabilități în sistemele SCADA în trecut, a declarat prin e-mail. "Odată ce motivația este suficient de puternică, ne vom confrunta cu mari incidente. Situația geopolitică și socială nu ajută atât de sigur, nu este ridicol să presupunem că anul 2013 va fi un an interesant".

Atacurile țintite nu sunt singura problemă; Există și malware malware SCADA. Vitaly Kamluk, expertul în software-ul malware de la vânzătorul de antivirus Kaspersky Lab, crede că în viitor vor fi mai multe programe malware vizate de sistemele SCADA.

"Demonstrația Stuxnet a modului în care ICS / SCADA vulnerabile sunt deschise într-o zonă complet nouă pentru whitehat și blackhat cercetători ", a spus el prin e-mail. "Acest subiect va fi pe lista de top pentru 2013."

Cu toate acestea, unii cercetatori de securitate cred ca crearea unui astfel de malware este inca dincolo de abilitatile atacatorilor obisnuiti.

"Crearea de malware care va avea succes in atacarea unui ICS nu este banal și poate necesita o mulțime de înțelegere și planificare ", a spus Thomas Kristensen, șef de securitate la departamentul de informații și management al vulnerabilității Secunia, prin e-mail. "Acest lucru limitează, de asemenea, în mod semnificativ numărul de persoane sau organizații care pot elimina un astfel de atac."

"Nu suntem îndoieli că vom vedea atacuri împotriva ICS", a subliniat Kristensen. din aplicațiile SCADA și DCS [distribuite de sistem de control] și hardware-ul au fost dezvoltate fără un ciclu de viață al dezvoltării securității (SDL) - cred că Microsoft la sfârșitul anilor 90 - astfel încât este plină de erori comune de programare care duc la bug-uri, vulnerabilități și exploatează ", a spus Peterson. "Acestea fiind spuse, PLC-urile și alte dispozitive de câmp sunt nesigure de proiectare și nu necesită o vulnerabilitate pentru a lua un proces critic în jos sau a le schimba într-un mod rău intenționat la Stuxnet".

Compania lui Peterson, Digital Bond, a lansat câteva exploitări pentru vulnerabilitățile găsite în mai multe PLC (controler logic programabil) -componente hardware SCADA-de la mai mulți furnizori ca module pentru cadrele populare de testare a penetrării Metasploit, un instrument open source care poate fi utilizat de aproape oricine. Acest lucru a fost făcut ca parte a unui proiect de cercetare numit Project Basecamp, al cărui scop a fost să arate cât de fragile și nesigure sunt multe PLC-uri existente.

"Singura restricție de a găsi un număr mare de vulnerabilități SCADA și DCS este ca cercetătorii să aibă acces la echipament, A spus Peterson. "Mai multe incercand si reusesc, astfel incat va exista o crestere a vulnerabilitatilor care vor fi dezvaluite in orice fel este considerat potrivit de catre cercetator".

Santamarta a fost de acord ca este usor pentru cercetatori sa gaseasca vulnerabilitati in software-ul SCADA astazi.

Există chiar și o piață pentru informațiile privind vulnerabilitatea SCADA. ReVuln, o firmă de securitate de pornire din Malta, fondată de cercetătorii de securitate Luigi Auriemma și Donato Ferrante, vinde informații despre vulnerabilități software la agențiile guvernamentale și alți cumpărători privați, fără a le raporta vânzătorilor afectați. Peste 40% din vulnerabilitățile din portofoliul ReVuln sunt în prezent SCADA.

Tendința pare să crească atât pentru atacuri, cât și pentru investiții în domeniul securității SCADA, potrivit lui Donato Ferrante. "De fapt, dacă credem că mai multe companii mari din piața SCADA investesc foarte mulți bani în consolidarea acestor infrastructuri, înseamnă că subiectul SCADA / ICS este și va rămâne un subiect fierbinte pentru următorii ani", a declarat Ferrante prin e-mail.

Cu toate acestea, asigurarea sistemelor SCADA nu este la fel de simplă ca securizarea infrastructurilor IT regulate și a sistemelor informatice. Chiar si atunci cand patch-urile de securitate pentru produsele SCADA sunt lansate de catre furnizori, proprietarii sistemelor vulnerabile ar putea avea nevoie de mult timp pentru a le implementa.

Exista foarte putine solutii automate de implementare a patch-urilor pentru sistemele SCADA, a spus Luigi Auriemma prin e-mail. De cele mai multe ori, administratorii SCADA trebuie să aplice manual pachetele corespunzătoare, a spus el. "Situația este critică", a spus Kamluk. Scopul principal al sistemelor SCADA este funcționarea continuă, care nu permite în mod normal să se corecteze sau să se actualizeze - instalarea de patch-uri sau actualizări fără a reporni sistemul sau programul - a spus el.

În plus, patch-urile de securitate SCADA trebuie să să fie testat temeinic înainte de a fi implementat în medii de producție, deoarece orice comportament neașteptat ar putea avea un impact semnificativ asupra operațiunilor.

"Chiar și în acele cazuri în care există un patch pentru o vulnerabilitate, vom găsi sistemele vulnerabile pentru o lungă perioadă de timp", a spus Santamarta.

Majoritatea experților de securitate SCADA ar dori ca dispozitivele de control industrial, cum ar fi PLC-urile, să fie reproiectate, având în vedere securitatea.

"Ceea ce este necesar este PLC-urile cu măsuri de securitate de bază și un plan de implementare a acestora în cea mai importantă infrastructură în următorii 1 până la 3 ani ", a spus Peterson.

" Scenariul ideal este locul în care dispozitivele industriale sunt sigure prin design, dar trebuie să fim realiste, care va dura ceva timp ", a spus Santamarta. "Sectorul industrial este o lume separată, nu ar trebui să ne uităm strict la ea prin perspectiva noastră IT, spunând că toată lumea înțelege că trebuie făcut ceva, inclusiv vânzătorii industriali."

dispozitive de design, proprietarii ICS ar trebui să ia o abordare în apărare în profunzime pentru a asigura aceste sisteme, a spus Santamarta. "Având în vedere că există protocoale industriale care sunt nesigure în mod implicit, este logic să se adauge atenuări și diferite straturi de protecție."

"Deconectați ICS de pe internet, puneți-l într-un segment de rețea izolat și limitați strict / audit accesul la acesta ", a spus Kamluk

" Proprietarii infrastructurii critice trebuie să realizeze că sunt necesare rețele separate sau cel puțin acreditări separate pentru accesarea infrastructurii critice ", a spus Kristensen. "Niciun administrator responsabil cu securitatea nu s-ar conecta la nici unul dintre sistemele sale folosind acreditările administrative și în cadrul aceleiași sesiuni accesează Internetul ostil și citește e-mailurile. accesați sesiunea de conectare la internet utilizând o configurare virtuală și / sau la distanță. "

Regulamentul dezbătut

Necesitatea unei reglementări guvernamentale care ar forța operatorii de infrastructură critică să-și asigure sistemele industriale de control a fost un subiect dezbătut mulți experți în securitate SCADA sunt de acord că ar putea fi un bun punct de plecare. Cu toate acestea, progresele înregistrate în acest sens au fost atinse până acum.

"Cea mai ambițioasă reglementare guvernamentală, NERC CIP pentru sectorul electric din America de Nord, a fost un eșec", a spus Peterson. "Cei mai mulți ar dori o reglementare guvernamentală de succes, dar nu pot să identifice care ar fi aceasta."

"Aș dori ca guvernul să fie cinstit și să spună cu voce tare că aceste sisteme sunt nesigure de proiectare și de organizațiile care conduc infrastructura critică SCADA și DCS ar trebui să aibă un plan de modernizare sau înlocuire a acestor sisteme în următorii până la trei ani ", a spus el.

Regulamentul guvernului ar fi extrem de util, a spus Kamluk. Unii furnizori SCADA sacrifică securitatea pentru economiile de costuri de dezvoltare, fără a lua în considerare riscurile unor astfel de decizii și impactul lor potențial asupra vieții umane, a afirmat el.

La începutul acestui an, Kaspersky Lab a dezvăluit planurile de a dezvolta un sistem de operare care să ofere o securitate securizată, mediu de proiectare pentru funcționarea sistemelor SCADA și a altor sisteme ICS. Ideea din spatele sistemului de operare este să garanteze că nici o funcționalitate nedeclarată nu va putea funcționa pe acesta, ceea ce ar împiedica atacatorii să execute cod malitios prin exploatarea vulnerabilităților neprotejate.

In timp ce acest lucru suna ca un proiect interesant, ramane de vazut modul in care comunitatea SCADA si sectorul industrial vor reactiona la aceasta, a spus Santamarta.

"Nu sunt suficiente detalii despre noul sistem de operare pentru a evalua caracteristicile sale", a declarat Ferrante. "Pentru a face acest lucru, va trebui să așteptăm o lansare oficială. Oricum, principala problemă atunci când adopți un nou sistem de operare este că trebuie să fie capabil să ruleze sistemele SCADA existente, fără a trebui să rescrie codul lor."