Brace para sa higit pang pag-atake sa mga pang-industriya na sistema sa 2013

Ang isang pagdaragdag ng bilang ng mga mananaliksik ng kahinaan ay magpokus sa kanilang pansin sa mga sistema ng pang-industriya na kontrol (ICS) sa taong darating, ngunit sa gayon ay cyberattackers, naniniwala ang mga eksperto sa seguridad.

Mga sistema ng kontrol ay binubuo ng superbisory software na tumatakbo sa nakatuon na mga workstation o mga server at mga programmable na hardware na mga aparatong hardware na nakakonekta sa at kontrol sa mga proseso ng elektromekaniko. Ang mga sistemang ito ay ginagamit upang masubaybayan at kontrolin ang iba't ibang mga operasyon sa mga pang-industriya na pasilidad, mga gusali ng militar, mga grids ng kapangyarihan, mga sistema ng pamamahagi ng tubig at kahit mga pampubliko at pribadong gusali.

Ang ilan ay ginagamit sa kritikal na imprastraktura-ang mga sistema na umaasa sa mga malaking populasyon para sa kuryente, malinis na tubig, transportasyon, atbp-kaya ang kanilang potensyal na pamiminsala ay maaaring magkaroon ng malalaking epekto. Ang iba naman, gayunpaman, ay may kaugnayan lamang sa mga negosyo ng kanilang mga may-ari at ang kanilang pagkasira ay hindi magkakaroon ng malawakang epekto.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Malware nagbubunyag ng mga kamalian

Ang seguridad ng SCADA (pangangasiwa ng kontrol at pagkuha ng data) at iba pang mga uri ng mga sistema ng pang-industriya na kontrol ay isang paksa ng labis na debate sa industriya ng seguridad ng IT dahil natuklasan ang Stuxnet malware noong 2010.

Stuxnet ay ang unang kilalang malware sa partikular na target at makahawa SCADA ang mga sistema at matagumpay na ginamit upang sirain ang uranium enrichment centrifuges sa nuclear plant ng Iran sa Natanz.

Ang Stuxnet ay isang sopistikadong cyberweapon na pinaniniwalaan na binuo ng mga bansa ng estado-iniulat na US at Israel-na may access sa mga skilled developer, walang limitasyong pondo at detalyadong impormasyon tungkol sa mga kahinaan sa sistema ng pagkontrol.

Pag-atake sa mga kritikal na sistema ng kontrol sa imprastraktura ay nangangailangan ng malubhang pagpaplano, pagtitipon ng katalinuhan at paggamit ng alternatibong access metho Ang ds-Stuxnet ay dinisenyo upang kumalat sa pamamagitan ng mga aparatong USB dahil ang mga sistema ng computer na Natanz ay nakahiwalay mula sa Internet, pinagsamantalahan ang mga dati na hindi alam na mga kahinaan at naka-target na partikular na mga configuration ng SCADA na matatagpuan lamang sa site. Gayunpaman, ang mga sistema ng kontrol na hindi bahagi ng kritikal na imprastraktura ay nagiging mas madaling pag-atake ng mga hindi gaanong skilled attackers.

Ito ay dahil marami sa mga system na ito ay konektado sa Internet para sa kaginhawaan ng remote na pangangasiwa at dahil sa impormasyon tungkol sa mga kahinaan sa ICS Ang software, mga aparato at mga protocol ng komunikasyon ay mas madaling ma-access kaysa sa mga araw ng pre-Stuxnet. Ang mga detalye tungkol sa dose-dosenang mga kahinaan ng SCADA at ICS ay ibinunyag ng publiko sa pamamagitan ng mga mananaliksik ng seguridad sa loob ng nakaraang dalawang taon, kadalasan ay sinamahan ng proof-of-concept exploit code.

"Makikita natin ang pagtaas ng pagsasamantala sa mga aparatong aparatong kontrol sa Internet habang ang mga pagsasamantala ay nakakakuha ng awtomatiko, "sabi ni Dale Peterson, chief executive officer sa Digital Bond, isang kumpanya na dalubhasa sa ICS security research at assessment, sa pamamagitan ng email.

Gayunpaman, ang karamihan sa mga aparatong naa-access sa sistema ng kontrol sa Internet ay hindi bahagi ng karamihan sa mga tao ay isaalang-alang ang kritikal na imprastraktura, sinabi niya. "Kinakatawan nila ang mga maliliit na munisipal na sistema, pagtatayo ng mga sistemang automation, atbp. Napakahalaga sa kumpanya na nagmamay-ari at nagpapatakbo sa kanila, ngunit hindi makakaapekto sa malaking populasyon o ekonomiya sa karamihan."

Mga Attacker na maaaring maging interesado sa pag-target sa naturang mga sistema isama pampulitika motivated hacker sinusubukan na gumawa ng isang pahayag, hacktivist grupo na may interes sa pagguhit ng pansin sa kanilang mga dahilan, mga kriminal na interesado sa blackmailing mga kumpanya o kahit na hackers ginagawa ito masaya o paghahambog karapatan

Ang isang kamakailang leaked FBI cyberalert na dokumento na may petsang Hulyo 23 ay nagsiwalat na mas maaga sa taong ito ang mga hacker ay nakakuha ng hindi awtorisadong pag-access sa sistema ng pagpainit, bentilasyon at air conditioning (HVAC) na tumatakbo sa opisina ng isang kumpanya ng air conditioning ng New Jersey sa pamamagitan ng paggamit ng backdoor vulnerability sa control kahon na konektado dito - isang sistema ng control Niagara na ginawa ng Tridium. Ang naka-target na kumpanya ay naka-install ng mga katulad na sistema para sa mga bangko at iba pang mga negosyo.

Nangyari ang paglabag pagkatapos ng impormasyon tungkol sa kahinaan sa sistema ng Niagara ICS ay ibinahagi online sa Enero ng isang hacker gamit ang moniker "@ntisec" (antisec). Ang Operation AntiSec ay isang serye ng mga pag-atake sa pag-target sa mga ahensiyang nagpapatupad ng batas at mga institusyong pang-gobyerno na pinangasiwaan ng mga hacker na nauugnay sa LulzSec, Anonymous at iba pang mga grupong hacktivist.

"Sa 21 at 23 Enero 2012, na may pamagat na '#US #SCADA #IDIOTS' at '#US #SCADA #IDIOTS part-II', "sinabi ng FBI sa leaked document.

" Hindi ito isang bagay kung ang mga pag-atake laban sa ICS ay magagawa o hindi dahil "Ruben Santamarta, isang security researcher na may security consultant firm IOActive, na nakakita ng mga kahinaan sa mga SCADA system sa nakalipas, ay nagsabi sa pamamagitan ng email. "Kapag ang pagganyak ay sapat na malakas, haharapin natin ang malalaking insidente. Ang sitwasyong geopolitiko at panlipunan ay hindi nakatutulong na tiyak, hindi katawa-tawa ang ipalagay na ang 2013 ay magiging isang kawili-wiling taon."

Ang naka-target na pag-atake ay hindi lamang ang pag-aalala; Ang SCADA malware ay masyadong. Ang Vitaly Kamluk, punong malware expert sa antivirus vendor Kaspersky Lab, ay naniniwala na magkakaroon ng mas maraming malware na nagta-target sa mga sistema ng SCADA sa hinaharap.

"Ang Stuxnet ay nagpapakita ng kung paano mahina ICS / SCADA ay binuksan ng isang ganap na bagong lugar para sa whitehat at blackhat mga mananaliksik, "sinabi niya sa pamamagitan ng email. "Ang paksang ito ay nasa itaas na listahan para sa 2013."

Gayunpaman, ang ilang mga mananaliksik sa seguridad ay naniniwala na ang paglikha ng ganitong malware ay lampas pa rin sa mga kakayahan ng mga average attackers.

"Paglikha ng malware na magiging matagumpay sa pag-atake sa isang ICS ay hindi mahalaga at maaaring mangailangan ng maraming pananaw at pagpaplano, "sabi ni Thomas Kristensen, punong opisyal ng seguridad sa kahinaan ng katalinuhan at pamamahala ng kumpanya Secunia, sa pamamagitan ng email. "Ito rin ay may limitadong limitasyon sa dami ng mga tao o mga organisasyon na makahahatid ng ganoong pag-atake."

"Hindi kami duda bagaman, makikita namin ang mga pag-atake laban sa ICS," stressed ni Kristensen. ng deployed SCADA at DCS [ipinamamahagi control system] mga application at hardware ay binuo nang walang Security Development Lifecycle (SDL) - sa tingin Microsoft sa huli 90's - kaya ito ay puno ng mga karaniwang mga error sa programming na humahantong sa mga bug, kahinaan, at nagsasamantala, "sabi ni Peterson. "Iyon ay sinabi, ang mga PLC at iba pang mga aparatong patlang ay walang katiyakan sa pamamagitan ng disenyo at hindi nangangailangan ng isang kahinaan upang kumuha ng isang kritikal na proseso down o baguhin ito sa isang malisyosong paraan ng la Stuxnet."

Peterson ng kumpanya, Digital Bond, pinakawalan ilang mga nananamantala para sa mga kahinaan na natagpuan sa maraming mga PLCs (Programmable logic controllers) -SCADA hardware components-mula sa maramihang mga vendor bilang mga module para sa mga popular na Metasploit pagtagos pagsubok balangkas, isang open-source tool na maaaring magamit sa pamamagitan ng halos kahit sino. Ginawa ito bilang bahagi ng isang proyektong pananaliksik na tinatawag na Project Basecamp, na ang layunin ay upang ipakita kung paano marupok at walang katiyakan ang maraming umiiral na PLCs.

"Ang tanging paghihigpit sa paghahanap ng malaking bilang ng mga kahinaan ng SCADA at DCS ay ang mga mananaliksik na nakakakuha ng access sa kagamitan, "Sabi ni Peterson. "Marami pang sinusubukan at nagtagumpay kaya magkakaroon ng pagtaas ng mga kahinaan na ibubunyag sa anumang paraan na itinuturing ng mananaliksik na angkop."

Kailangan pa rin ng mga patches

Sumang-ayon si Santamarta na madali para sa mga mananaliksik na makahanap ng mga kahinaan sa SCADA software ngayon.

Mayroong kahit na isang merkado para sa impormasyon ng kahinaan ng SCADA. Ang ReVuln, isang kompanya ng seguridad sa startup ng Malta na itinatag ng mga mananaliksik sa seguridad na si Luigi Auriemma at Donato Ferrante, nagbebenta ng impormasyon tungkol sa mga kahinaan ng software sa mga ahensya ng gobyerno at iba pang mga pribadong mamimili nang hindi iniuulat ang mga ito sa mga apektadong vendor. Higit sa 40 porsyento ng mga kahinaan sa portfolio ng ReVuln sa ngayon ang mga SCADA.

Mukhang lumalaki ang trend para sa parehong pag-atake at pamumuhunan sa field ng seguridad ng SCADA, ayon kay Donato Ferrante. "Sa katunayan kung sa tingin natin na maraming mga malalaking kumpanya sa merkado ng SCADA ang namumuhunan ng maraming pera sa pagpapalakas ng mga imprastruktura, nangangahulugan ito na ang paksa ng SCADA / ICS ay mananatiling isang mainit na paksa para sa mga darating na taon," ayon kay Ferrante sa pamamagitan ng email.

Gayunpaman, ang pag-secure ng mga sistema ng SCADA ay hindi tuwiran sa pag-secure ng mga regular na IT infrastructure at computer system. Kahit na ang mga patong sa seguridad para sa mga produkto ng SCADA ay inilabas ng mga vendor, ang mga may-ari ng mga mahihinang sistema ay maaaring tumagal ng isang mahabang panahon upang i-deploy ang mga ito.

Mayroong ilang mga automated patch deployment solusyon para sa mga SCADA system, sinabi Luigi Auriemma sa pamamagitan ng email. Karamihan ng panahon, kailangan ng mga tagapangasiwa ng SCADA na manu-manong magamit ang naaangkop na mga patches, sinabi niya.

"Ang sitwasyon ay masama," sabi ni Kamluk. Ang pangunahing layunin ng mga SCADA system ay ang tuluy-tuloy na operasyon, na karaniwang hindi pinapayagan para sa mainit na patching o pag-update - pag-install ng mga patch o mga pag-update nang hindi i-restart ang sistema o ang programa - sinabi niya.

Sa karagdagan, kailangan ng SCADA security patches

Sa mga kaso kung saan umiiral ang isang patch para sa isang kahinaan, makakakita tayo ng mga mahihinang sistema sa mahabang panahon, "sabi ni Santamarta.

Karamihan sa mga eksperto sa seguridad ng SCADA ay nagnanais para sa mga pang-industriya na kontrol ng mga aparato tulad ng mga PLC na muling i-engineered na may seguridad sa isip.

"Ano ang kinakailangan ay PLC na may pangunahing mga hakbang sa seguridad at isang plano upang i-deploy ang mga ito sa pinaka-kritikal na imprastraktura sa susunod na isa hanggang tatlong taon, "sabi ni Peterson.

" Ang perpektong sitwasyon ay kung saan ang mga aparatong pang-industriya ay ligtas sa disenyo, ngunit kailangan tayong maging makatotohanan, na magkakaroon ng oras, "sabi ni Santamarta. "Ang industriya ng industriya ay isang mundo bukod Hindi namin dapat mahigpit na tumingin sa ito sa pamamagitan ng aming pananaw sa IT na sinabi, lahat ng tao napagtanto na ang isang bagay ay dapat gawin, kabilang ang mga pang-industriya vendor."

Sa kawalan ng secure-by- ang mga disenyo ng mga aparato, ang mga may-ari ng ICS ay dapat kumuha ng depensa-malalim na diskarte sa pag-secure ng mga sistemang ito, sinabi ni Santamarta. "Na isinasaalang-alang na mayroong mga protocol ng industriya na may mga walang katiyakan sa pamamagitan ng default, makatuwiran upang magdagdag ng mga mitigations at iba't ibang layer ng proteksyon."

"Idiskonekta ang ICS mula sa internet, ilagay ito sa isang nakahiwalay na segment ng network at mahigpit na limitado / access ang mga ito, "sabi ni Kamluk.

" Ang mga may-ari ng kritikal na imprastraktura ay dapat makilala na ang magkakahiwalay na mga network, o hindi bababa sa hiwalay na mga kredensyal ang kailangan para ma-access ang mga kritikal na imprastraktura, "sabi ni Kristensen. "Walang nakaaalam at nakakaalam na tagapangasiwa ng administrator ay mag-log on sa alinman sa kanyang mga system na gumagamit ng mga kredensyal na pang-administratibo at sa loob ng parehong sesyon ay ma-access ang pagalit sa Internet at magbasa ng mga email. Dapat din itong magamit sa ICS; gamitin ang isang hanay ng mga kredensyal upang ma-access ang session ng ICS at marahil access ang iyong sesyon sa koneksyon sa Internet gamit ang isang virtual at / o remote desktop setup. "

Debate Regulasyon

Ang pangangailangan para sa regulasyon ng pamahalaan na puwersahin ang mga operator ng kritikal na imprastraktura upang ma-secure ang kanilang pang-industriya na mga sistema ng kontrol ay isang hotly debated na paksa at maraming SCADA security experts ang sumang-ayon na maaaring ito ay isang magandang panimulang punto. Gayunpaman, ang maliit na pag-unlad ay ginawa sa layuning ito.

"Ang pinaka-mapaghangad na regulasyon ng gobyerno, ang NERC CIP para sa sektor ng elektrisidad ng Hilagang Amerika, ay naging kabiguan," sabi ni Peterson. "Karamihan ay nais ng matagumpay na regulasyon ng gubyerno ngunit hindi maaaring makilala kung ano ang mangyayari."

"Gusto ko lang ang gobyerno na maging tapat at ipahayag nang malakas na ang mga sistemang ito ay walang katiyakan ng disenyo at mga organisasyon na nagpapatakbo ng kritikal na imprastraktura SCADA at ang DCS ay dapat magkaroon ng isang plano upang mag-upgrade o palitan ang mga sistemang ito sa susunod na isa hanggang tatlong taon, "sabi niya.

Lubhang kapaki-pakinabang ang regulasyon ng gobyerno, sinabi ni Kamluk. Ang ilang SCADA vendor ay naghahatid ng seguridad para sa pagtitipid sa gastos sa pagpapaunlad nang hindi isinasaalang-alang ang mga panganib ng naturang mga desisyon at ang kanilang mga potensyal na epekto sa buhay ng tao, sinabi niya.

Mas maaga sa taong ito, ang Kaspersky Lab ay nagpahayag ng mga plano upang bumuo ng isang OS na magbibigay ng isang secure- disenyo ng kapaligiran para sa operating SCADA at iba pang mga sistema ng ICS. Ang ideya sa likod ng OS ay upang garantiya na ang walang undeclared functionality ay magagawang tumakbo sa ito, na kung saan ay maiwasan ang mga attackers mula sa pagsasagawa ng malisyosong code sa pamamagitan ng exploiting unpatched kahinaan.

Samantalang ito ay parang isang kagiliw-giliw na proyekto, nananatili itong makita kung paano ang reaksyon ng komunidad ng SCADA at sektor ng industriya nito, sabi ni Santamarta.

"Hindi sapat ang mga detalye tungkol sa bagong OS upang suriin ang mga tampok nito," sabi ni Ferrante.. "Upang gawin iyon kailangan naming maghintay para sa isang opisyal na release.Gayunpaman ang pangunahing problema kapag ang pagpapatupad ng isang bagong OS ay na kailangan upang ma-magpatakbo ng mga umiiral na SCADA system nang hindi na kinakailangang muling isulat ang kanilang code."