Støtte til flere angreb på industrisystemer i 2013

Et stigende antal sårbarhedsforskere vil fokusere deres opmærksomhed på industrielle kontrolsystemer (ICS) i det kommende år, men det vil også cyberangreb, sikkerhedseksperter tror.

Kontrolsystemer består af overvågningssoftware, der kører på dedikerede arbejdsstationer eller servere og computerlignende programmerbare hardwareenheder, der er forbundet til og styrer elektromekaniske processer. Disse systemer bruges til at overvåge og styre en række operationer i industrielle anlæg, militære installationer, elnet, vanddistributionssystemer og endda offentlige og private bygninger.

Nogle bruges i kritisk infrastruktur - de systemer, som store befolkninger afhænger af elektricitet, rent vand, transport osv. - så deres potentielle sabotage kunne have vidtrækkende konsekvenser. Andre er imidlertid kun relevante for deres ejers virksomheder, og deres funktionsfejl ville ikke have udbredt indflydelse.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Malware afslører fejl

Sikkerheden ved SCADA (overvågning og dataindsamling) og andre former for industrielle kontrolsystemer har været genstand for stor debat i it-sikkerhedsbranchen, da Stuxnet-malware blev opdaget i 2010.

Stuxnet var den første kendte malware til specifikt at målrette og inficere SCADA systemer og blev med succes brugt til at beskadige uranberigningscentrifuger i Irans atomkraftværk i Natanz.

Stuxnet var en sofistikeret cyberweapon, som man troede at være blevet udviklet af nationalstater - angiveligt USA og Israel - med adgang til dygtige udviklere, ubegrænsede midler og detaljerede oplysninger om styringssystemets svagheder.

Ved at angribe kritiske infrastrukturkontrolsystemer kræves seriøs planlægning, intelligensindsamling og brug af alternativ adgang metho ds-Stuxnet var designet til at sprede via USB-enheder, fordi Natanz computersystemerne blev isoleret fra internettet, udnyttet tidligere ukendte sårbarheder og målrettede meget specifikke SCADA konfigurationer, der kun blev fundet på webstedet. Men styresystemer, der ikke indgår i kritisk infrastruktur, bliver i stigende grad lettere at angribe af mindre dygtige angribere.

Dette skyldes, at mange af disse systemer er forbundet til internettet for at gøre det lettere for fjernadministration, og fordi oplysninger om sårbarheder i ICS software, enheder og kommunikationsprotokoller er lettere tilgængelige end i pre-Stuxnet-dage. Oplysninger om snesevis af SCADA- og ICS-sårbarheder er offentliggjort af sikkerhedsforskere i løbet af de seneste to år, ofte ledsaget af konceptet om konceptudnyttelse.

"Vi vil se en stigning i udnyttelsen af ​​de tilgængelige internetsystemer da udnyttelsen bliver automatiseret, "siger Dale Peterson, administrerende direktør hos Digital Bond, et firma, der specialiserer sig i ICS-sikkerhedsforskning og -vurdering via e-mail.

Men størstedelen af ​​internetadgangskontrolsystemenheder er ikke en del af hvad de fleste ville overveje kritisk infrastruktur, sagde han. "De repræsenterer små kommunale systemer, bygningsautomatiseringssystemer osv. De er meget vigtige for det selskab, der ejer og driver dem, men vil ikke påvirke en stor befolkning eller økonomi for det meste."

Attackere, der potentielt kunne være interesserede i målretning af sådanne systemer indbefatter politisk motiverede hackere, der forsøger at lave en erklæring, hacktivistiske grupper med interesse i at gøre opmærksom på deres årsag, kriminelle interesseret i afpresningsvirksomheder eller endda hackere gør det sjovt eller bragging rettigheder.

Hackere finder mål

Et nyligt lækket FBI cyberalert dokument dateret 23. juli afslørede, at hackere tidligere i år fik uautoriseret adgang til systemet til opvarmning, ventilation og aircondition (HVAC), der opererer i kontorbygningen i et New Jersey-luftkonditioneringsfirma ved at udnytte en bagdørssårbarhed i kontrollen kasse tilsluttet det - et Niagara kontrolsystem lavet af Tridium. Den målrettede virksomhed installerede lignende systemer til banker og andre virksomheder.

Bruddet skete, efter at information om sårbarheden i Niagara ICS-systemet blev delt online i januar af en hacker ved hjælp af moniker "@ntisec" (antisec). Operation AntiSec var en række hacking-angreb rettet mod retshåndhævende myndigheder og offentlige institutioner, der blev krediteret af hackere i forbindelse med LulzSec, Anonym og andre hacktivistiske grupper.

"Den 21. og 23. januar 2012 offentliggjorde et ukendt emne kommentarer på et kendt amerikansk websted, titlen "#US #SCADA #IDIOTS" og "#US #SCADA #IDIOTS del II", "sagde FBI i det lækkede dokument.

" Det er ikke et spørgsmål om, om angreb på ICS er mulige eller ej, fordi de er "Ruben Santamarta, en sikkerhedsforsker med sikkerhedskonsulentfirmaet IOActive, der tidligere fandt sårbarheder i SCADA-systemer, sagde via e-mail. "Når motivationen er stærk nok, vil vi stå over for store hændelser. Den geopolitiske og sociale situation hjælper ikke så sikkert, det er ikke latterligt at antage, at 2013 vil være et interessant år."

Målrettede angreb er ikke den eneste bekymring; SCADA malware er også. Vitaly Kamluk, chef for malwareekspert hos antivirusleverandøren Kaspersky Lab, mener, at der i fremtiden vil være mere malware-målretning af SCADA-systemer.

"Stuxnet demonstrationen af, hvordan sårbar ICS / SCADA åbnes et helt nyt område for whitehat og blackhat forskere, "sagde han via e-mail. "Dette emne vil være på topplisten for 2013."

Men nogle sikkerhedsforskere mener, at oprettelse af sådan malware stadig er uden for de gennemsnitlige angriberes evner.

"Oprettelse af malware, der vil lykkes i at angribe en ICS er ikke trivielt og kan kræve meget indsigt og planlægning, "siger Thomas Kristensen, chefens sikkerhedsansvarlig for sårbarhedsunderretning og managementfirma Secunia, via e-mail. "Dette begrænser også markant mængden af ​​mennesker eller organisationer, der er i stand til at trække et sådant angreb fra."

"Vi er ikke i tvivl om, at vi vil se angreb mod ICS," understregede Kristensen. af de distribuerede SCADA og DCS [distribuerede styresystemer] applikationer og hardware blev udviklet uden en SDL (Security Development Lifecycle) - tænk Microsoft i slutningen af ​​90'erne - så det er overflod af fælles programmeringsfejl, der fører til fejl, sårbarheder og udnytter, "sagde peterson. "Når det er sagt, er PLC'erne og andre feltenheder usikre ved design og kræver ikke en sårbarhed for at tage en kritisk proces ned eller ændre den på en ondskabsfuld måde a la Stuxnet."

Peterson's firma, Digital Bond, gav flere udbytter for sårbarheder, der findes i mange PLC'er (programmerbare logiske controllere) -SCADA hardware komponenter - fra flere leverandører som moduler til den populære Metasploit penetration test ramme, et open source værktøj, der kan bruges af stort set alle. Dette blev gjort som led i et forskningsprojekt kaldet Project Basecamp, hvis mål var at vise, hvordan skrøbelige og usikre mange eksisterende PLC'er er.

"Den eneste begrænsning for at finde et stort antal SCADA- og DCS-sårbarheder er, at forskere får adgang til udstyret, "Sagde peterson. "Flere forsøger og lykkes, så der vil være en stigning i sårbarheder, der vil blive offentliggjort på den måde forskeren finder passende."

Har stadig brug for patches

Santamarta er enige om, at det er nemt for forskere at finde sårbarheder i SCADA software i dag.

Der er endda et marked for SCADA sårbarhedsinformation. ReVuln, et Malta-baseret opstartssikkerhedsfirma, der er grundlagt af sikkerhedsforskere Luigi Auriemma og Donato Ferrante, sælger informationer om softwareproblemer over for offentlige myndigheder og andre private købere uden at rapportere dem til de berørte leverandører. Over 40 procent af sårbarhederne i ReVulns portefølje er i øjeblikket SCADA.

Trenden ser ud til at vokse for både angreb og investeringer i SCADA-sikkerhedsområdet, ifølge Donato Ferrante. "Faktisk hvis vi tror, ​​at flere store virksomheder i SCADA-markedet investerer mange penge på at hærge disse infrastrukturer, betyder det, at SCADA / ICS-emnet er og vil forblive et varmt emne for de kommende år," sagde Ferrante via email.

Sikring af SCADA-systemer er imidlertid ikke så ligetil som at sikre regelmæssige it-infrastrukturer og computersystemer. Selv når sikkerhedsflader til SCADA-produkter frigives af leverandører, kan ejerne af sårbare systemer tage meget lang tid at implementere dem.

Der er meget få automatiserede patch-implementeringsløsninger til SCADA-systemer, sagde Luigi Auriemma via e-mail. Det meste af tiden skal SCADA-administratorer manuelt anvende de relevante patches, sagde han.

"Situationen er kritisk dårlig," sagde Kamluk. Hovedmålene med SCADA-systemer er kontinuerlig drift, hvilket normalt ikke tillader hot patching eller opdatering - installering af patches eller opdateringer uden at genstarte systemet eller programmet - sagde han.

Desuden skal SCADA sikkerheds patches testes grundigt, inden det bliver implementeret i produktionsmiljøer, fordi enhver uventet opførsel kan have en betydelig indvirkning på operationerne.

"Selv i de tilfælde, hvor der findes en patch for en sårbarhed, finder vi sårbare systemer i lang tid", sagde Santamarta.

De fleste SCADA-sikkerhedseksperter vil gerne have, at industrielle kontrolanordninger som PLC'er skal omstruktureres med sikkerhed i tankerne.

"Hvad der er brug for, er PLC'er med grundlæggende sikkerhedsforanstaltninger og en plan om at implementere disse i den mest kritiske infrastruktur i løbet af de næste et til tre år, "sagde peterson.

" Det ideelle scenario er, hvor industrielle enheder er sikre ved design, men vi skal være realistiske, det tager tid, "sagde Santamarta. "Industrisektoren er en verden fra hinanden, og vi bør ikke se nærmere på det gennem vores it-perspektiv. Når det er sagt, indser alle, at der skal gøres noget, herunder industrielle leverandører."

I mangel af sikker-for- design-enheder, bør ICS-ejere tage en forsvarsdækkende tilgang til sikring af disse systemer, sagde Santamarta. "I betragtning af at der er industriprotokoller derude, der er usikre som standard, er det fornuftigt at tilføje afbødninger og forskellige beskyttelsesniveauer."

"Afbryd ICS fra internettet, læg det i et isoleret netværkssegment og strengt begræns / auditér adgang til det, "sagde kamluk."

"Ejerne af kritisk infrastruktur bør indse, at separate netværk eller i det mindste separate referencer er nødvendige for at få adgang til kritisk infrastruktur," siger Kristensen. "Ingen sane og sikkerhedsbevidste administrator ville logge på nogen af ​​hans systemer ved hjælp af administrative legitimationsoplysninger, og inden for samme session få adgang til det fjendtlige internet og læse e-mails. Dette bør også gælde for ICS, brug et sæt legitimationsoplysninger for at få adgang til ICS-sessionen og måske få adgang til din internetforbindelsessession ved hjælp af en virtuel og / eller ekstern desktop opsætning. "

Forordning debatteret

Behovet for offentlig regulering, der ville tvinge operatørerne af kritisk infrastruktur til at sikre deres industrielle kontrolsystemer, har været et genuint debatteret emne og mange SCADA sikkerhedseksperter er enige om, at det kan være et godt udgangspunkt. Der er dog sket små fremskridt i den retning. Målet er at "den mest ambitiøse statslige regulering, NERC CIP for den nordamerikanske elektriske sektor, har været et fiasko," sagde Peterson. "De fleste vil gerne have en vellykket statslig regulering, men kan ikke identificere, hvad det ville være."

"Jeg vil gerne have, at regeringen er ærlig og klart, at disse systemer er usikre af design og organisationer, der driver den kritiske infrastruktur SCADA og DCS bør have en plan om at opgradere eller erstatte disse systemer i de næste et til tre år, "sagde han.

Regeringsregulering ville være yderst hjælpsom, sagde Kamluk. Nogle SCADA-forhandlere ofre sikkerhed for udviklingsomkostningsbesparelser uden at overveje risikoen ved sådanne beslutninger og deres potentielle indvirkning på menneskeliv, sagde han.

Kaspersky Lab afslørede tidligere planer om at udvikle et operativsystem, der ville sikre en sikker, design miljø til drift af SCADA og andre ICS systemer. Ideen bag operativsystemet er at sikre, at ingen sort funktionalitet vil kunne køre på den, hvilket ville forhindre angribere i at udføre ondsindet kode ved at udnytte uovervindelige sårbarheder.

Selvom dette lyder som et interessant projekt, er det stadig at se, hvordan SCADA-samfundet og branchen vil reagere på det, sagde Santamarta.

"Der er ikke nok detaljer om det nye OS til at evaluere dets funktioner," sagde Ferrante.. "For at gøre det bliver vi nødt til at vente på en officiel udgivelse. Alligevel er det største problem ved at vedtage et nyt operativsystem, at den skal kunne køre eksisterende SCADA-systemer uden at skulle omskrive deres kode."