Vihje lisää teollisuusjärjestelmien hyökkäyksiä vuonna 2013

Yhä useammat haavoittuvuustutkijat kiinnittävät huomionsa teollisuusjärjestelmään (ICS) tulevana vuonna, mutta niin tietoturva-asiantuntijatkin uskovat myös verkkovälittäjät. koostuvat valvontaohjelmista, jotka toimivat omilla työasemilla tai palvelimilla ja tietokoneella muistuttavilla ohjelmoitavilla laitteilla, jotka on liitetty sähkömekaanisiin prosesseihin ja ohjaavat niitä. Näitä järjestelmiä käytetään valvomaan ja valvomaan erilaisia ​​toimintoja teollisuuslaitoksissa, sotilaallisissa laitoksissa, sähköverkkoissa, vesijärjestelmissä ja jopa julkisissa ja yksityisissä rakennuksissa.

Joitakin käytetään kriittisessä infrastruktuurissa - järjestelmät, jotka suuret väestöt riippuvat sähkö, puhdas vesi, kuljetus, jne., joten niiden potentiaalisella sabotoinnilla voi olla kauaskantoisia seurauksia.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneelta]

Haittaohjelma paljastaa virheet

SCADA: n turvallisuus (valvonta- ja tiedonhankinta) ja muuntyyppiset teolliset valvontajärjestelmät ovat olleet paljon keskustelua IT-tietoturva-alasta, koska Stuxnet-haittaohjelma havaittiin vuonna 2010.

Stuxnet oli ensimmäinen tunnettu haittaohjelma, joka kohdistui erityisesti SCADA:

Stuxnet oli hienostunut tietoverkko, jota uskottiin kehittäneen kansallisvaltioiden - Yhdysvaltojen ja Israelin mukaan - päässeen päteviin kehittäjiin, rajoittamattomiin varoihin ja yksityiskohtaisiin tietoihin

Kriittisten infrastruktuurien ohjausjärjestelmien hyökkäys edellyttää vakavaa suunnittelua, tiedonkeruuta ja vaihtoehtoisten käyttötapojen käyttöä ds-Stuxnet oli suunniteltu levittämään USB-laitteiden kautta, koska Natanz-tietojärjestelmät eristettiin Internetistä, hyödynsivät aiemmin tuntemattomia haavoittuvuuksia ja kohdistivat vain hyvin tarkkoja SCADA-kokoonpanoja, jotka löytyivät vain sivustolta.

Tämä johtuu siitä, että monet näistä järjestelmistä ovat yhteydessä Internetiin kauko-hallinnan helpottamiseksi ja koska tietoja ICS: n haavoittuvuuksista ohjelmistot, laitteet ja viestintäprotokollat ​​ovat helpommin saatavilla kuin ennen Stuxnet-päiviä. Turvallisuustutkijoiden julkistamat tiedot viimeisten kahden vuoden aikana useista kymmenistä SCADA- ja ICS-haavoittuvuuksista, joihin usein liittyy todisteena käytetyn hyväksikäytön koodi.

"Internetin käytössä olevien ohjausjärjestelmien laitteiden hyödyntäminen lisääntyy kun hyödyn ovat automatisoituja ", sanoo ICA: n turvallisuustutkimukseen ja -arviointiin erikoistunut yritys Digital Bond, toimitusjohtaja Dale Peterson sähköpostitse.

Useimmat Internetin käytettävissä olevat ohjausjärjestelmät eivät kuitenkaan ole osa useimmat ihmiset harkitsisivat kriittistä infrastruktuuria, hän sanoi. "Ne edustavat pieniä kunnallisia järjestelmiä, automaatiojärjestelmiä jne. Ne ovat erittäin tärkeitä yritykselle, joka omistaa ja käyttää niitä, mutta se ei suurelta osin vaikuta suuriin väestöihin tai talouteen."

Hyökkääjät, jotka voisivat mahdollisesti olla kiinnostuneita

Hakkerit löytävät tavoitteita

Hakkerit löytävät tavoitteita

Hakkerit löytävät tavoitteita

Hakkerit löytävät tavoitteita

FBI: n äskettäin vuotava FBI cyberalert -asiakirja, joka julkaistiin 23. heinäkuuta, paljasti, että aiemmin tänä vuonna hakkerit saivat luvatonta pääsyä New Jerseyn ilmastointilaitoksen toimistorakennuksessa toimivaan lämmitys-, ilmanvaihto- ja ilmastointijärjestelmään (HVAC) hyödyntäen takaportin haavoittuvuutta valvonnassa joka on kytketty siihen - Tridiumin tekemä Niagaran ohjausjärjestelmä. Kohdeyritys on asentanut samanlaisia ​​järjestelmiä pankkeihin ja muihin yrityksiin.

Rikkominen tapahtui sen jälkeen, kun hakija käytti tammikuussa verkkotunnuksen Niagara ICS -järjestelmän haavoittuvuutta käyttäen monikerta "@ antisec" (antisec). AntiSec-operaatio oli joukko hyökkäyksiä, jotka kohdistuvat lainvalvontaviranomaisiin ja valtion laitoksiin, jotka ovat orjastaneet LulzSecin, Anonyymin ja muiden hacktivistiryhmien yhteyshenkilöt.

"Tammikuun 21. ja 23. päivänä 2012 tuntematon aihe lähetti kommentteja tunnettuun Yhdysvaltain sivustoon, "#FI #SCADA #IDIOTS" ja "#US #SCADA #IDIOTS part-II", "FBI sanoi vuotavasta asiakirjasta.

" Ei ole kyse siitä, onko hyökkäykset ICS: lle mahdollista tai ei, ovat ", Ruben Santamarta, tietoturva-alan tutkija, jolla on tietoturvakonsultointiyritys IOActive, joka löysi aikaisemmin SCADA-järjestelmien haavoittuvuuksia. "Kun motivaatio on riittävän voimakas, kohtaamme suuria tapahtumia. Geopoliittinen ja sosiaalinen tilanne ei auta niin varmasti, ei ole naurettavaa olettaa, että 2013 on mielenkiintoinen vuosi."

Kohdennettuja hyökkäyksiä ei ole ainoa ongelma; SCADA-haittaohjelma on myös. VSP: n vakoiluohjelmien asiantuntija Vitaly Kamluk uskoo, että tulevaisuudessa tulee olemaan enemmän haittaohjelmia, jotka kohdistuvat SCADA-järjestelmiin.

"Stuxnetin osoitus siitä, kuinka haavoittuva ICS / SCADA avataan täysin uusi alue whitehat ja blackhat tutkijat ", hän sanoi sähköpostitse. "Tämä aihe on vuoden 2013 ylimmässä listassa."

Jotkut tietoturva-tutkijat uskovat kuitenkin, että tällaisten haittaohjelmien luominen on edelleen keskimääräisten hyökkääjien kykyjä.

"Haittaohjelmien luominen, ei ole vähäpätöinen ja voi vaatia paljon tietoa ja suunnittelua ", sanoi tietoturva-asiamies Secunian päällikkö Thomas Kristensen. "Tämä myös rajoittaa merkittävästi ihmisten tai organisaatioiden määrää, jotka pystyvät vetämään tällaisen hyökkäyksen."

"Emme kuitenkaan ole epävarma siitä, että näemme hyökkäyksiä ICS: ää vastaan", Kristensen korosti. käytetyistä SCADA- ja DCS-sovelluksista ja -laitteistosta kehitettiin ilman Security Development Lifecycle (SDL) - ajattele Microsoft 90-luvun lopulla - joten se on täynnä yleisiä ohjelmointivirheitä, jotka johtavat vikoihin, haavoittuvuuteen ja hyödyntää ", Peterson sanoi. "Sanoin, että PLC: t ja muut kenttälaitteet ovat suunnittelussa turvattuja eivätkä vaadi haavoittuvuutta kriittisen prosessin alentamisessa tai sen muuttamisessa Stuxnetin haitallisella tavalla."

Petersonin yritys Digital Bond julkaisi useita haasteita monissa toimittajissa esiintyviä haavoittuvuuksia, jotka löytyvät useilta myyjiltä (SCADA), jotka ovat modulaarisia suosittuja Metasploit-penetraatiotestauskehyksille, avoimen lähdekoodin työkalu, jota lähes kaikki voivat käyttää. Tämä toteutettiin osana Project Basecamp -hanketta, jonka tavoitteena oli osoittaa, kuinka haavoittuvia ja epävarmoja on olemassa monia olemassa olevia PLC-järjestelmiä.

"Ainoa rajoitus löytää suuri määrä SCADA- ja DCS-haavoittuvuuksia ovat tutkijat,, "Peterson sanoi. "Lisää yrittää ja menestyä, joten haavoittuvuudet lisääntyvät, jotka ilmaistaan ​​millä tahansa tavalla tutkijan mielestä tarkoituksenmukaisiksi."

Still tarvitsee korjaustiedostoja

Santamarta sopi, että tutkijoiden on helppo löytää haavoittuvuuksia SCADA-ohjelmistossa tänään.

SCADA: n haavoittuvuustiedoista on jopa markkinat. Turvallisuustutkijoiden Luigi Auriemman ja Donato Ferranten perustama Malta-pohjainen turva-alan yritys myy tietoa ohjelmistohyökkäyksistä valtion virastoille ja muille yksityisille ostajille raportoimatta niitä asianomaisille myyjille. Yli 40 prosenttia ReVulnin salkun haavoittuvuuksista on tällä hetkellä SCADA-versiota.

Trendit näyttävät kasvavan sekä hyökkäyksissä että investoinneissa SCADA-turvallisuuskenttään Donato Ferranten mukaan. "Itse asiassa, jos uskomme, että SCADA-markkinoilla useat suuret yritykset investoivat paljon rahaa näiden infrastruktuurien koventamiseen, se tarkoittaa, että SCADA / ICS-aihe on ja tulee olemaan kuuma aihe tulevina vuosina", Ferrante sanoi sähköpostitse.

SCADA-järjestelmien turvaaminen ei kuitenkaan ole niin yksinkertaista kuin tavallisten IT-infrastruktuurien ja tietojärjestelmien turvaaminen. Vaikka SCADA-tuotteiden tietoturvapäivitykset vapautettaisiin toimittajilta, heikossa asemassa olevien järjestelmien omistajat saattavat kestää hyvin pitkään käyttöönsä.

SCADA-järjestelmissä on hyvin vähän automaattisia paikannusratkaisuja, Luigi Auriemma sanoi sähköpostitse. Useimmiten SCADA: n ylläpitäjät tarvitsevat manuaalisesti asianmukaiset korjaustiedostot, hän sanoi.

"Tilanne on kriittisesti huono," Kamluk sanoi. SCADA-järjestelmien päätavoite on jatkuva toiminta, joka ei yleensä salli kuumaa korjausta tai päivitystä - asentaa korjauksia tai päivityksiä uudelleenkäynnistämättä järjestelmää tai ohjelmaa.

Lisäksi SCADA-tietoturvakorjaukset testataan perusteellisesti ennen käyttöönottoa tuotantoympäristöissä, koska odottamattomalla käyttäytymisellä voi olla merkittäviä vaikutuksia toimintoihin.

"Myös niissä tapauksissa, joissa on haavoittuvuutta koskeva korjaustiedote, löydämme haavoittuvia järjestelmiä pitkään aikaan", Santamarta sanoi.

Useimmat SCADA: n turvallisuusasiantuntijat haluavat teollisuuslaitteiden, kuten PLC: n, uudistamista turvallisuuden kannalta.

"Tarvitaan PLC: t, joilla on perustoimenpiteet ja suunnitelma näiden tärkeimmistä infrastruktuureista seuraavan yhdestä kolmeen vuoteen ", Peterson sanoi." Ideaalinen skenaario on, jos teolliset laitteet ovat turvallisia suunnittelulla, mutta meidän on oltava realistisia, ja ne kestävät aikaa ", Santamarta sanoi. "Teollisuus on maailmassa toisistaan, emme saa tarkkaan katsoa sitä IT-näkökulmastamme, sillä sanotaan, että jokainen ymmärtää, että jotain on tehtävä, mukaan lukien teolliset toimittajat."

suunnittelulaitteita, ICS: n omistajien olisi otettava puolustusalan syvällinen lähestymistapa näiden järjestelmien turvaamiseen, Santamarta sanoi. "Kun otetaan huomioon, että siellä on olemassa teollisia protokollia, jotka ovat oletusarvoisesti turvattomia, on järkevää lisätä lievennyksiä ja eri suojaustasoja."

"Irrota ICS internetistä, aseta se eristettyyn verkko-osaan ja rajoittakaa tarkasti "Kriittisen infrastruktuurin omistajien tulisi ymmärtää, että kriittisen infrastruktuurin käyttö edellyttää erillisiä verkkoja tai ainakin erillisiä tunnistetietoja", Kristensen totesi. "Mikään järkevä ja turvallisuuden tuntee järjestelmänvalvoja ei kirjaudu mihinkään järjestelmäänsä käyttämällä järjestelmänvalvojan oikeuksia ja samassa istunnossa pääsy vihamieliseen Internetiin ja lukemaan sähköposteja. Tämä koskee myös ICS: tä, käytä ICS-istuntoa ja valitse käyttää verkkoyhteysistuntoa virtuaalisen ja / tai etätyöpöydän asennuksen avulla. "

Asetus keskusteltiin

Valtion sääntelyn tarve, joka pakottaisi kriittisen infrastruktuurin operaattorit varmistamaan teollisen valvontajärjestelmänsä, on ollut kiistelty aihe ja monet SCADA: n turvallisuusasiantuntijat ovat samaa mieltä siitä, että se voisi olla hyvä lähtökohta. Tähän mennessä on kuitenkin edistytty vain vähän.

"Kunnianhimoisin hallituksen asetus, NERC CIP Pohjois-Amerikan sähköalalle, on ollut epäonnistuminen", Peterson sanoi. "Useimmat haluaisivat onnistuneen hallituksen sääntelyn, mutta eivät pysty selvittämään, mikä tämä olisi."

"Haluaisin, että hallitus olisi rehellinen ja ilmoittaisi äänekkäästi, että nämä järjestelmät ovat turvattomia suunnittelussa ja organisaatioissa, jotka hoitavat kriittisen infrastruktuurin SCADA ja DCS: llä pitäisi olla suunnitelma päivittää tai korvata nämä järjestelmät seuraavien kolmen vuoden aikana ", hän sanoi.

Valtion säädös olisi erittäin hyödyllistä, Kamluk sanoi. Jotkut SCADA-toimittajat uhraavat turvallisuutta kehityskustannusten säästämiseksi ottamatta huomioon tällaisten päätösten riskejä ja niiden mahdollisia vaikutuksia ihmisiin.

Aiemmin tänä vuonna Kaspersky Lab paljasti suunnitelmia kehittää sellainen käyttöjärjestelmä, suunnitteluympäristö SCADA: n ja muiden ICS-järjestelmien käyttöön. Järjestelmän tarkoitus on taata, ettei mitään ilmoittamatonta toimintoa voida käyttää, mikä estäisi hyökkääjät käyttämästä haitallista koodia hyödyntämällä epäsuorittuja haavoittuvuuksia.

Vaikka tämä kuulostaa mielenkiintoiselta hankkeelta, on vielä nähtävissä, miten SCADA-yhteisö ja toimiala reagoi siihen, Santamarta sanoi.

"Uusista käyttöjärjestelmistä ei ole tarpeeksi tietoa arvioida sen ominaisuuksia", Ferrante sanoi. "Jotta voimme tehdä tämän, meidän on odotettava virallista julkaisua. Joka tapauksessa tärkein ongelma uuden käyttöjärjestelmän hyväksymisessä on se, että sen täytyy pystyä käyttämään olemassa olevia SCADA-järjestelmiä ilman koodin kirjoittamista."