סף להתקפות נוספות על מערכות תעשייתיות בשנת 2013

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows שלך]

תוכנה זדונית חושפת פגמים

האבטחה של SCADA (בקרה פיקוחית ורכישת נתונים) וסוגים אחרים של מערכות בקרה תעשייתיות כבר נושא לדיון רב בתעשיית אבטחת ה- IT מאז שהתוכנה הזדונית של Stuxnet התגלתה בשנת 2010.

Stuxnet הייתה התוכנה הזדונית הידועה הראשונה שכוונה במיוחד להדבקה ב- SCADA ומערכת זו שימשה בהצלחה לפגיעה בצנטריפוגות האורניום של תחנת הכוח הגרעינית באיראן בנטאנז.

סטוקסנט היה אתר אינטרנט משוכלל, אשר האמין כי הוא פותח על ידי מדינות לאום - על פי הדיווחים בארה"ב ובישראל - עם גישה למפתחים מיומנים, כספים בלתי מוגבלים ומידע מפורט על תקלות במערכת הבקרה.

תקיפת מערכות בקרת תשתיות קריטיות מחייבת תכנון רציני, איסוף מודיעין ושימוש במתוד גישה חלופי Ds-Stuxnet תוכנן להתפשט באמצעות התקני USB, משום שמערכות המחשבים של Natanz היו מבודדות מהאינטרנט, ניצלו נקודות תורפה לא ידועות קודם והתמקדו בתצורות SCADA ספציפיות שנמצאות באתר בלבד. עם זאת, מערכות בקרה שאינן חלק מתשתית קריטית הופכות יותר ויותר קלות להתקפה על-ידי תוקפים פחות מיומנים.

הסיבה לכך היא שרבות מהמערכות הללו מחוברות לאינטרנט לנוחות הניהול מרחוק וכיוון שמידע על פגיעויות ב- ICS תוכנה, התקנים ופרוטוקולי תקשורת הוא נגיש יותר מאשר בימים טרום- Stuxnet. פרטים על עשרות פגיעויות של SCADA ו- ICS נחשפו בפומבי על ידי חוקרי אבטחה בשנתיים האחרונות, לעיתים קרובות מלווים בקוד מנצל של הוכחה לקונספט.

"נראה שיפור בניצול של התקני מערכת בקרת גישה לאינטרנט כאשר המנצלים הופכים לאוטומטיים ", אומר דייל פיטרסון, מנכ"ל דיגיטל בונד, חברה המתמחה במחקר ובבדיקת אבטחה של ICS באמצעות דואר אלקטרוני. עם זאת, רוב התקני מערכת בקרת הגישה לאינטרנט אינם חלק ממה רוב האנשים ישקלו תשתיות קריטיות, הוא אמר. "הם מייצגים מערכות עירוניות קטנות, מערכות אוטומציה לבניין וכו '. הם חשובים מאוד לחברה שבבעלותה ומנהלת אותם, אך לא ישפיעו על אוכלוסייה או על כלכלה גדולה."

תוקפים שעשויים להיות מעוניינים במיקוד למערכות כאלה יש האקרים בעלי מוטיבציה פוליטית המנסים להצהיר הצהרות, קבוצות האקטיוויסטיות שיש להן עניין למשוך תשומת לב לעניינן, פושעים המעוניינים בחברות סחיטה או אפילו האקרים עושים את זה כיף או מתרברבים.

האקרים מוצאים מטרות

מסמך FBI cyberalert הודלף לאחרונה מיום 23 יולי גילה כי מוקדם יותר השנה האקרים זכו גישה לא מורשית למערכת חימום, אוורור ומיזוג אוויר (HVAC) מערכת ההפעלה בבניין משרדים של חברת מיזוג אוויר בניו ג'רסי על ידי ניצול פגיעות אחורית בשליטה תיבת מחובר אליו - מערכת ניאגרה שליטה שנעשו על ידי Tridium. החברה הממוקדת התקינה מערכות דומות לבנקים ועסקים אחריםההפרה התרחשה לאחר שהמידע על הפגיעות במערכת ה- ICS של Niagara היה משותף בינואר על ידי האקר באמצעות הכינוי "@ntisec" (antisec). מבצע AntiSec היה סדרה של התקפות פריצה נגד רשויות אכיפת החוק ומוסדות ממשלתיים מתוזמרים על ידי האקרים הקשורים LulzSec, אנונימיים וקבוצות hacktivist אחרים. "ב 9-21 ו - 23 ינואר 2012, נושא לא ידוע פרסם תגובות על אתר ידוע בארה"ב, שכותרתו '#SADA #IDIOTS' ו- '# #SCADA #IIOTS part-II' ", אמר ה- FBI במסמך הדליל." זה לא משנה אם התקפות נגד ICS הן ריאלי או לא כי הן ", אומר רובן סאנטאמרטה, חוקר אבטחה בחברת הייעוץ הביטחוני IOActive, אשר מצא נקודות תורפה במערכות SCADA בעבר. "ברגע שהמוטיבציה תהיה חזקה מספיק, נעמוד בפני תקריות גדולות, המצב הגיאו-פוליטי והחברתי לא עוזר כל כך, זה לא מגוחך להניח ש -2013 תהיה שנה מעניינת".

התקפות ממוקדות אינן הדאגה היחידה; גם תוכנה זדונית SCADA. ויטלי קמלוק, מומחה תוכנות זדוניות ראשי במעבדת האנטי-וירוס Kaspersky Lab, סבור כי בהחלט יהיו יותר תוכנות זדוניות המכוונות נגד מערכות SCADA בעתיד.

"ההמחשה של Stuxnet על האופן שבו ה- ICS / SCADA הפגיעים נפתחו באזור חדש לחלוטין עבור whitehat ו- blackhat חוקרים ", הוא אמר בדוא"ל. "נושא זה יהיה ברשימת העליון לשנת 2013."

עם זאת, חלק מחוקרי האבטחה מאמינים כי יצירת תוכנה זדונית כזו עדיין מעבר ליכולות של התוקפים הממוצע.

"יצירת תוכנה זדונית שתצליח לתקוף ICS הוא לא טריוויאלי ויכול לדרוש הרבה תובנות ותכנון ", אמר תומאס קריסטנסן, קצין הביטחון הראשי בחברת המודיעין של חברת האבטחה Secunia. "זה גם מגביל באופן משמעותי את כמות האנשים או הארגונים שמסוגלים לבצע פיגוע כזה".

"אין לנו ספק, אם כן, שנראה התקפות נגד ICS", הדגיש קריסטנסן. של מערכות SCADA ופריסת ה- DCS המופעלות, פותחו ללא מחזור פיתוח אבטחה (SDL) - חשבו על מיקרוסופט בסוף שנות ה -90 - כך שיש לה שגיאות תכנות נפוצות שמובילות לבאגים, לפגיעויות מנצל, "אמר פיטרסון. "עם זאת, הבקרים ומכשירים אחרים בתחום הם חסרי ביטחון על ידי עיצוב ואינם דורשים פגיעות לקחת תהליך קריטי למטה או לשנות את זה בצורה זדונית לה Stuxnet."

החברה של פיטרסון, דיגיטלי בונד, פרסמה מספר ניצולים עבור פגיעויות שנמצאות בבקרים רבים (בקרי לוגיקה ניתנים לתכנות) - רכיבי חומרה של SCADA - מספקים מרובים כמודולים עבור מסגרת הבדיקה החדישה Metasploit, כלי קוד פתוח שניתן להשתמש בו כמעט על ידי כל אחד. זה נעשה כחלק מפרויקט מחקר בשם Project Basecamp, שמטרתו הייתה להראות עד כמה שבירים קיימים וחסרי ביטחון רבים קיימים.

"ההגבלה היחידה למציאת מספר גדול של פגיעות ב- SCADA וב- DCS היא שחוקרים מקבלים גישה לציוד, "אמר פיטרסון. "יותר ויותר מנסים ומצליחים כך שתהיה עלייה בפגיעויות שיתגלו בכל אופן שחוקר יראה מתאים."

עדיין צריך תיקונים

Santamarta הסכים שקל לחוקרים למצוא פגיעות בתוכנות SCADA היום

יש אפילו שוק מידע SCADA פגיעות. ReVuln, חברת אבטחה מבוססת סטארט-אפ של מלטה שנוסדה על ידי חוקרי האבטחה לואיג'י אורימה ודונאטו פראנטה, מוכרת מידע על פגיעויות תוכנה לסוכנויות ממשלתיות ולקונים פרטיים אחרים מבלי לדווח עליהן לספקים המושפעים. יותר מ -40% מהפגיעויות בתיק של רבולן כרגע הן SCADA.

נראה כי המגמה הולכת וגוברת הן להתקפות והן להשקעות בתחום האבטחה של SCADA, על פי דונאטו פראנטה. "למעשה, אם אנחנו חושבים כי כמה חברות גדולות בשוק SCADA משקיעים הרבה כסף על התקשות אלה תשתיות, זה אומר את הנושא SCADA / ICS הוא ויהיה נושא חם עבור השנים הקרובות", אמר פראנטה באמצעות דוא"ל

עם זאת, הבטחת מערכות SCADA אינה פשוטה כמו הבטחת תשתיות IT רגילות ומערכות מחשב. גם כאשר תיקוני אבטחה למוצרי SCADA משוחררים על-ידי ספקים, הבעלים של מערכות פגיעות עשוי להימשך זמן רב מאוד לפריסתם.

יש מעט מאוד פתרונות אוטומטיים לפריסת טלאים עבור מערכות SCADA, אמר לואיג'י Auriemma באמצעות הדוא"ל. רוב הזמן, מנהלי ה- SCADA צריכים ליישם ידנית את המדבקות המתאימות, הוא אמר. "המצב גרוע," אמר קמלוק. המטרה העיקרית של מערכות SCADA היא פעולה מתמשכת, אשר בדרך כלל אינה מאפשרת תיקון או עדכון חם - התקנת תיקונים או עדכונים מבלי להפעיל מחדש את המערכת או את התוכנית - אמר.

בנוסף, מדבקות האבטחה של SCADA צריכות יבדקו ביסודיות לפני פריסתם בסביבות ייצור, משום שלכל התנהגות בלתי צפויה עשויה להיות השפעה משמעותית על הפעילות. "

" אפילו במקרים שבהם יש תיקון עבור פגיעות, נמצא מערכות פגיעות במשך זמן רב ", אמרה סנטארטה

"רוב מומחי האבטחה של SCADA מעוניינים במתקני בקרה תעשייתיים, כמו בקרים שיש לתכנן מחדש את האבטחה.

" מה שנדרש הוא בקרים עם אמצעי אבטחה בסיסיים ותוכנית לפריסה זו בתשתית הקריטית ביותר ב -13 השנים הבאות ", אמר פיטרסון." התרחיש האידיאלי הוא המקום שבו התקנים תעשייתיים מאובטחים על ידי עיצוב, אבל אנחנו צריכים להיות מציאותיים, זה ייקח זמן ", אמר Santamarta. "המגזר התעשייתי הוא עולם נפרד, אנחנו לא צריכים להסתכל בו בקפדנות דרך נקודת המבט שלנו, כי כולם מבינים שמשהו צריך להיעשות, כולל הספקים התעשייתיים". התקנים, בעלי ICS צריך לנקוט בגישה הגנה מעמיקה לאבטחת מערכות אלה, אמר Santamarta. "בהתחשב בכך שיש פרוטוקולים תעשייתיים שם בחוץ, כי הם חסרי ביטחון כברירת מחדל, זה הגיוני להוסיף הקלות ושכבות שונות של הגנה."

"ניתוק ICS מהאינטרנט, לשים אותו קטע רשת מבודד להגביל לחלוטין / ביקורת, אומר קמלוק. "בעלי התשתית הביקורתית צריכים להבין שרשתות נפרדות או לפחות אישורים נפרדים נדרשים לגישה לתשתית קריטית", אמר קריסטנסן. "אף מנהל שפוי ומבטיח לא ידע להיכנס לכל אחת ממערכותיו באמצעות אישורים מינהליים, ובאותה פגישה ניגש לאינטרנט העוין וקרא אימיילים.זה צריך לחול גם על ICS, השתמש במערך אחד של אישורים כדי לגשת לפגישה של ICS ואולי לגשת לפגישה של חיבור לאינטרנט באמצעות הגדרת שולחן עבודה וירטואלית ו / או שולחן עבודה מרוחק. "

תקנה דנה

הצורך בתקנה ממשלתית שתאלץ את המפעילים של תשתיות קריטיות לאבטח את מערכות הבקרה התעשייתיות שלהם הוא נושא שנוי במחלוקת. מומחים רבים SCADA אבטחה מסכימים כי זה יכול להיות נקודת התחלה טובה. עם זאת, ההתקדמות הממשלה השאפתנית ביותר, NERC CIP עבור המגזר החשמלי צפון אמריקה, היה כישלון ", אמר פיטרסון. "רובם רוצים תקנות ממשלתיות מוצלחות אבל לא יכולים לזהות מה זה יהיה". "אני פשוט רוצה שהממשלה תהיה כנה ותציין בקול רם שמערכות אלה אינן בטוחות על ידי תכנון וארגונים המפעילים את התשתית הסקאדה הקריטית ו DCS צריך תוכנית לשדרוג או להחליף את מערכות אלה ב 1-3 השנים הבאות, "אמר.

הרגולציה הממשלתית יהיה מאוד מועיל, אמר Kamluk. כמה ספקי SCADA להקריב את האבטחה עבור חיסכון בעלויות הפיתוח מבלי לקחת בחשבון את הסיכונים של החלטות כאלה ואת ההשפעה הפוטנציאלית שלהם על חיי אדם, אמר.

מוקדם יותר השנה, גילה קספרסקי Lab תוכניות לפתח מערכת הפעלה שתספק אבטחה מאובטחת, סביבת תכנון להפעלת SCADA ומערכות ICS אחרות. הרעיון מאחורי מערכת ההפעלה הוא להבטיח שאף פונקציונליות לא מוצהרת תוכל לפעול על זה, אשר ימנע התוקפים מ ביצוע קוד זדוני על ידי ניצול פגיעויות unatched.אף על פי שזה נשמע כמו פרויקט מעניין, זה עדיין נראה איך הקהילה SCADA ואת המגזר בתעשייה יגיב על זה, סנטמרטה אמר.

"אין פרטים מספיק על מערכת ההפעלה החדשה להעריך את התכונות שלו", אמר פראנטה. "כדי לעשות זאת נצטרך לחכות לשחרור רשמי, בכל מקרה הבעיה העיקרית בעת אימוץ מערכת הפעלה חדשה היא שהיא צריכה להיות מסוגלת להפעיל מערכות SCADA קיימות מבלי לכתוב מחדש את הקוד שלהן".