Brace cho nhiều cuộc tấn công vào các hệ thống công nghiệp vào năm 2013

Ngày càng có nhiều nhà nghiên cứu dễ bị tổn thương sẽ tập trung sự chú ý của họ vào các hệ thống điều khiển công nghiệp (ICS) trong năm tới, nhưng các chuyên gia bảo mật sẽ tin rằng. được tạo thành từ phần mềm giám sát chạy trên các máy trạm hoặc máy chủ chuyên dụng và các thiết bị phần cứng lập trình giống như máy tính được kết nối và điều khiển các quá trình điện. Các hệ thống này được sử dụng để giám sát và kiểm soát nhiều hoạt động trong các cơ sở công nghiệp, lắp đặt quân sự, lưới điện, hệ thống phân phối nước và thậm chí cả các tòa nhà công cộng và tư nhân. điện, nước sạch, vận chuyển, v.v. để phá hoại tiềm năng của chúng có thể có hậu quả sâu rộng. Tuy nhiên, những người khác chỉ có liên quan đến doanh nghiệp của chủ sở hữu và sự cố của họ sẽ không có tác động rộng rãi.

[Đọc thêm: Cách xóa phần mềm độc hại khỏi PC Windows của bạn]

Phần mềm độc hại tiết lộ lỗi

Bảo mật của SCADA (kiểm soát giám sát và thu thập dữ liệu) và các loại hệ thống điều khiển công nghiệp khác là chủ đề của nhiều cuộc tranh luận trong ngành công nghiệp bảo mật CNTT kể từ khi phần mềm độc hại Stuxnet được phát hiện vào năm 2010.

Stuxnet là phần mềm độc hại đầu tiên được biết đến nhắm mục tiêu và lây nhiễm SCADA Stuxnet là một máy chủ ảo tinh vi được cho là đã được phát triển bởi các quốc gia được báo cáo là Mỹ và Israel có quyền truy cập vào các nhà phát triển có kỹ năng, quỹ không giới hạn và thông tin chi tiết. về các hệ thống điều khiển yếu kém.

Tấn công các hệ thống kiểm soát cơ sở hạ tầng quan trọng đòi hỏi phải lập kế hoạch nghiêm túc, thu thập thông tin tình báo và sử dụng metho truy cập thay thế ds-Stuxnet được thiết kế để truyền qua các thiết bị USB vì các hệ thống máy tính của Natanz đã bị tách khỏi Internet, khai thác các lỗ hổng chưa biết trước đó và nhắm vào các cấu hình SCADA rất cụ thể chỉ tìm thấy trên trang web. Tuy nhiên, các hệ thống điều khiển không phải là một phần của cơ sở hạ tầng quan trọng ngày càng trở nên dễ dàng hơn để tấn công bởi những kẻ tấn công kém kỹ năng.

Điều này là do nhiều hệ thống này được kết nối với Internet để thuận tiện cho việc quản lý từ xa và thông tin về lỗ hổng trong ICS phần mềm, thiết bị và giao thức truyền thông dễ truy cập hơn trong các ngày trước Stuxnet. Thông tin chi tiết về hàng chục lỗ hổng SCADA và ICS đã được tiết lộ công khai bởi các nhà nghiên cứu bảo mật trong hai năm qua, thường đi kèm với mã khai thác chứng minh.

"Chúng ta sẽ thấy sự gia tăng khai thác các thiết bị kiểm soát truy cập Internet Dale Peterson, giám đốc điều hành của Digital Bond, một công ty chuyên về nghiên cứu và đánh giá bảo mật ICS, qua email.

Tuy nhiên, phần lớn các thiết bị hệ thống điều khiển truy cập Internet không phải là một phần của hầu hết mọi người sẽ xem xét cơ sở hạ tầng quan trọng, ông nói. Họ đại diện cho các hệ thống đô thị nhỏ, xây dựng hệ thống tự động hóa, vv Họ rất quan trọng đối với công ty sở hữu và điều hành chúng, nhưng sẽ không ảnh hưởng đến dân số hay nền kinh tế lớn. ”

Những kẻ tấn công có khả năng quan tâm nhắm vào các hệ thống như vậy bao gồm các hacker có động cơ chính trị đang cố gắng đưa ra tuyên bố, các nhóm hacktivist với mục tiêu thu hút sự chú ý đến nguyên nhân của họ, bọn tội phạm quan tâm đến các công ty tống tiền hoặc thậm chí là tin tặc. Một tài liệu cyberalert bị rò rỉ gần đây vào ngày 23 tháng 7 tiết lộ rằng đầu năm nay, tin tặc đã truy cập trái phép vào hệ thống sưởi ấm, thông gió và điều hòa không khí (HVAC) hoạt động trong tòa nhà văn phòng của một công ty điều hòa không khí New Jersey. hộp kết nối với nó - một hệ thống điều khiển Niagara được thực hiện bởi Tridium. Công ty được nhắm mục tiêu đã cài đặt các hệ thống tương tự cho các ngân hàng và các doanh nghiệp khác.

Vi phạm xảy ra sau khi thông tin về lỗ hổng trong hệ thống Niagara ICS được chia sẻ trực tuyến vào tháng 1 bởi một hacker sử dụng biệt danh "@ntisec" (antisec). Chiến dịch AntiSec là một loạt các cuộc tấn công tấn công vào các cơ quan thực thi pháp luật và các tổ chức chính phủ do các tin tặc liên kết với LulzSec, Anonymous và các nhóm hacktivist khác.

"Ngày 21 và 23 tháng 1 năm 2012, một chủ đề không rõ đã đăng bình luận trên một trang web của Hoa Kỳ, có tiêu đề '#US #SCADA #IDIOTS' và '#US #SCADA #IDIOTS phần II', "FBI nói trong tài liệu bị rò rỉ.

" Không phải là vấn đề liệu các cuộc tấn công vào ICS có khả thi hay không vì chúng "Ruben Santamarta, một nhà nghiên cứu bảo mật với công ty tư vấn bảo mật IOActive, người đã tìm thấy lỗ hổng trong hệ thống SCADA trong quá khứ, cho biết qua email. "Một khi động lực đủ mạnh, chúng ta sẽ phải đối mặt với những sự cố lớn. Tình hình địa chính trị và xã hội không giúp đỡ như vậy, thật vô lý khi cho rằng năm 2013 sẽ là một năm thú vị."

; Phần mềm độc hại SCADA cũng vậy. Vitaly Kamluk, chuyên gia về phần mềm độc hại tại Kaspersky Lab, tin rằng chắc chắn sẽ có nhiều phần mềm độc hại nhắm vào hệ thống SCADA trong tương lai.

"The Stuxnet trình bày cách ICS / SCADA dễ bị tổn thương mở ra một khu vực hoàn toàn mới cho whitehat và blackhat các nhà nghiên cứu, "ông nói qua email. "Chủ đề này sẽ nằm trong danh sách hàng đầu cho năm 2013."

Tuy nhiên, một số nhà nghiên cứu bảo mật tin rằng việc tạo ra phần mềm độc hại đó vẫn vượt quá khả năng của những kẻ tấn công trung bình.

"Tạo phần mềm độc hại tấn công ICS không phải là tầm thường và có thể đòi hỏi rất nhiều cái nhìn sâu sắc và lập kế hoạch, "Thomas Kristensen, giám đốc an ninh tại công ty quản lý thông minh và dễ bị tổn thương Secunia, cho biết qua email. "Điều này cũng hạn chế đáng kể số lượng người hoặc tổ chức có thể rút ra một cuộc tấn công như vậy."

"Chúng tôi không nghi ngờ gì, rằng chúng tôi sẽ thấy các cuộc tấn công chống lại ICS", Kristensen nhấn mạnh.

các ứng dụng và phần cứng SCADA và DCS đã được triển khai đã được triển khai mà không có Vòng đời phát triển bảo mật (SDL) - nghĩ rằng Microsoft vào cuối những năm 90 - vì vậy nó có nhiều lỗi lập trình phổ biến dẫn đến lỗi, lỗ hổng và khai thác, "Peterson nói. "Điều đó nói rằng, PLC và các thiết bị hiện trường khác không an toàn bởi thiết kế và không yêu cầu lỗ hổng để thực hiện một quy trình quan trọng hoặc thay đổi nó theo cách độc hại a la Stuxnet."

Công ty của Peterson, Digital Bond, phát hành một số khai thác cho các lỗ hổng được tìm thấy trong nhiều PLC (bộ điều khiển logic lập trình) -Các thành phần phần cứng của SCADA - từ nhiều nhà cung cấp làm mô-đun cho khung kiểm tra thâm nhập Metasploit phổ biến, một công cụ nguồn mở có thể được sử dụng bởi hầu hết mọi người. Điều này đã được thực hiện như một phần của dự án nghiên cứu mang tên Project Basecamp, mục tiêu của nó là để cho thấy nhiều PLC bị hỏng và không an toàn.

"Hạn chế duy nhất trong việc tìm kiếm số lượng lớn lỗ hổng SCADA và DCS là các nhà nghiên cứu tiếp cận với thiết bị "Peterson nói. "Nhiều hơn đang cố gắng và thành công, do đó sẽ có sự gia tăng các lỗ hổng sẽ được tiết lộ theo bất cứ cách nào mà nhà nghiên cứu cho là thích hợp."

Vẫn cần bản vá

Santamarta đồng ý rằng các nhà nghiên cứu dễ dàng tìm ra lỗ hổng trong phần mềm SCADA hôm nay.

Thậm chí còn có một thị trường thông tin về lỗ hổng SCADA. ReVuln, một công ty bảo mật khởi nghiệp tại Malta được thành lập bởi các nhà nghiên cứu bảo mật Luigi Auriemma và Donato Ferrante, bán thông tin về lỗ hổng phần mềm cho các cơ quan chính phủ và những người mua riêng khác mà không báo cáo họ với các nhà cung cấp bị ảnh hưởng. Hơn 40% các lỗ hổng trong danh mục của ReVuln hiện tại là SCADA

Xu hướng này dường như đang tăng lên cho cả các cuộc tấn công và đầu tư vào lĩnh vực an ninh SCADA, theo Donato Ferrante. "Trên thực tế, nếu chúng tôi nghĩ rằng một số công ty lớn trong thị trường SCADA đang đầu tư rất nhiều tiền vào việc củng cố các cơ sở hạ tầng này, điều đó có nghĩa là chủ đề SCADA / ICS sẽ vẫn là chủ đề nóng trong những năm sắp tới", Ferrante nói qua email.

Tuy nhiên, việc bảo vệ các hệ thống SCADA không đơn giản như việc bảo vệ cơ sở hạ tầng CNTT thông thường và các hệ thống máy tính. Ngay cả khi các bản vá bảo mật cho các sản phẩm SCADA được phát hành bởi các nhà cung cấp, chủ sở hữu các hệ thống dễ bị tổn thương có thể mất rất nhiều thời gian để triển khai chúng.

Có rất ít giải pháp triển khai vá tự động cho các hệ thống SCADA, Luigi Auriemma nói qua email. Hầu hết thời gian, các quản trị viên SCADA cần phải áp dụng các bản vá thích hợp theo cách thủ công.

"Tình hình rất tệ", Kamluk nói. Mục tiêu chính của hệ thống SCADA là hoạt động liên tục, thường không cho phép cập nhật hoặc cập nhật nóng - cài đặt bản vá hoặc cập nhật mà không cần khởi động lại hệ thống hoặc chương trình -

Ngoài ra, các bản vá bảo mật SCADA cần phải

"Ngay cả trong những trường hợp có bản vá cho một lỗ hổng tồn tại, chúng tôi sẽ tìm thấy các hệ thống dễ bị tổn thương trong một thời gian dài", Santamarta nói

Hầu hết các chuyên gia bảo mật SCADA đều muốn các thiết bị điều khiển công nghiệp như PLC được thiết kế lại với sự bảo mật.

"PLC cần những biện pháp bảo mật cơ bản và kế hoạch triển khai các cơ sở hạ tầng quan trọng nhất này trong một tới ba năm tới, "Peterson nói.

" Kịch bản lý tưởng là nơi các thiết bị công nghiệp được an toàn bởi thiết kế, nhưng chúng ta phải thực tế, sẽ mất thời gian ", Santamarta nói. "Khu vực công nghiệp là một thế giới riêng biệt. Chúng ta không nên xem xét kỹ nó thông qua quan điểm CNTT của chúng tôi. Mọi người đều nhận ra rằng một cái gì đó phải được thực hiện, bao gồm cả các nhà cung cấp công nghiệp."

Santamarta cho biết các thiết bị thiết kế, các chủ sở hữu ICS nên thực hiện một cách tiếp cận bảo vệ theo chiều sâu để bảo vệ các hệ thống này. "Xem xét rằng có các giao thức công nghiệp ngoài đó không an toàn theo mặc định, nó có ý nghĩa để thêm các giảm nhẹ và các lớp bảo vệ khác nhau."

"Ngắt kết nối ICS khỏi internet, đặt nó trong một phân đoạn mạng bị cô lập và giới hạn / kiểm tra nghiêm ngặt Kristen cho biết: "Các chủ sở hữu cơ sở hạ tầng quan trọng sẽ nhận ra rằng các mạng riêng biệt, hoặc ít nhất là các thông tin riêng biệt là cần thiết để truy cập cơ sở hạ tầng quan trọng". "Không có quản trị viên an toàn và lành mạnh nào sẽ đăng nhập vào bất kỳ hệ thống nào của anh ấy bằng thông tin quản trị và trong cùng một phiên truy cập Internet thù địch và đọc email. Điều này cũng áp dụng cho ICS; Truy cập phiên kết nối Internet của bạn bằng cách sử dụng thiết lập ảo và / hoặc máy tính từ xa. "

Quy định tranh luận

Sự cần thiết của quy định của chính phủ sẽ buộc các nhà khai thác cơ sở hạ tầng quan trọng bảo mật hệ thống kiểm soát công nghiệp của họ. nhiều chuyên gia bảo mật của SCADA đồng ý rằng đó có thể là điểm khởi đầu tốt. Tuy nhiên, ít tiến bộ đã đạt được mục tiêu này.

"Quy định của chính phủ tham vọng nhất, NERC CIP cho ngành điện Bắc Mỹ, đã thất bại", Peterson nói. "Hầu hết đều muốn quy định của chính phủ thành công nhưng không thể xác định được điều này."

"Tôi chỉ muốn chính phủ trung thực và tuyên bố rằng các hệ thống này không an toàn bởi thiết kế và tổ chức điều hành cơ sở hạ tầng quan trọng SCADA và DCS nên có một kế hoạch để nâng cấp hoặc thay thế các hệ thống này trong vòng một đến ba năm tới, "ông nói.

Quy định của chính phủ sẽ vô cùng hữu ích, Kamluk nói. Một số nhà cung cấp SCADA hy sinh bảo mật để tiết kiệm chi phí phát triển mà không xem xét những rủi ro của những quyết định như vậy và tác động tiềm năng của chúng đối với cuộc sống con người, ông nói. môi trường thiết kế để vận hành SCADA và các hệ thống ICS khác. Ý tưởng đằng sau hệ điều hành là đảm bảo rằng không có chức năng không khai báo nào có thể chạy trên nó, điều này sẽ ngăn chặn kẻ tấn công thực thi mã độc hại bằng cách khai thác các lỗ hổng chưa được vá.

Trong khi điều này nghe có vẻ giống như một dự án thú vị, nó vẫn còn để được nhìn thấy như thế nào cộng đồng SCADA và ngành công nghiệp sẽ phản ứng với nó, Santamarta nói.

"Không có đủ chi tiết về hệ điều hành mới để đánh giá các tính năng của nó", Ferrante nói. "Để làm được điều đó, chúng tôi sẽ cần chờ bản chính thức. Dù sao thì vấn đề chính khi áp dụng một hệ điều hành mới là nó cần có khả năng chạy các hệ thống SCADA hiện tại mà không phải viết lại mã của họ."