Støt for flere angrep på industrisystemer i 2013

Et økende antall sårbarhetsforskere vil fokusere sin oppmerksomhet på industrielle kontrollsystemer (ICS) i årene som kommer, men det vil også cyberangrepere, sikkerhetseksperter tror.

Kontrollsystemer består av overvåkingsprogramvare som kjører på dedikerte arbeidsstasjoner eller servere og datamaskinlignende programmerbare maskinvareenheter som er koblet til og kontrollerer elektromekaniske prosesser. Disse systemene brukes til å overvåke og kontrollere en rekke operasjoner i industrielle anlegg, militære installasjoner, strømnettet, vanndistribusjonssystemer og til og med offentlige og private bygninger.

Noen brukes i kritisk infrastruktur - de systemer som store befolkninger er avhengige av elektrisitet, rent vann, transport, osv., så deres potensielle sabotasje kunne få vidtgående konsekvenser. Andre er imidlertid bare relevante for eiers virksomhet, og deres funksjonsfeil vil ikke ha utbredt betydning.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Malware avslører feil

Sikkerheten til SCADA (overvåkning og datainnsamling) og andre typer industrielle kontrollsystemer har vært et tema for mye debatt i IT-sikkerhetsbransjen siden Stuxnet-malware ble oppdaget i 2010.

Stuxnet var den første kjente malware for å spesifikt målrette og infisere SCADA systemer og ble vellykket brukt til å skade uranberikningscentrifuger ved Irans kjernefysiske anlegg i Natanz.

Stuxnet var en sofistikert cyberweapon som antas å blitt utviklet av nasjonalstatene - angivelig USA og Israel - med tilgang til dyktige utviklere, ubegrensede midler og detaljert informasjon om svakheter i styringssystemet.

Ved å angripe kritiske infrastrukturstyringssystemer krever alvorlig planlegging, innsamling av intelligens og bruk av alternativ tilgangsmeto ds-Stuxnet ble designet for å spres via USB-enheter fordi Natanz-datamaskinsystemene ble isolert fra Internett, utnyttet tidligere ukjente sårbarheter og målrettet meget spesifikke SCADA-konfigurasjoner som bare ble funnet på nettstedet. Men styringssystemer som ikke er en del av kritisk infrastruktur blir stadig lettere å angripe av mindre dyktige angripere.

Dette skyldes at mange av disse systemene er koblet til Internett for enkelhets skyld for fjernadministrasjon og fordi informasjon om sårbarheter i ICS programvare, enheter og kommunikasjonsprotokoller er lettere tilgjengelig enn i pre-Stuxnet dager. Detaljer om dusinvis av SCADA- og ICS-sårbarheter har blitt offentliggjort av sikkerhetsforskere de siste to årene, ofte ledsaget av konseptbevisskode.

"Vi vil se en økning i utnyttelsen av Internett-tilgjengelige kontrollsystemenheter som utnyttelsene blir automatiserte, sier Dale Peterson, administrerende direktør i Digital Bond, et selskap som spesialiserer seg på ICS-sikkerhetsforskning og vurdering via e-post.

Men de fleste Internett-tilgjengelige kontrollsystemenheter er ikke en del av det de fleste ville vurdere kritisk infrastruktur, sa han. "De representerer små kommunale systemer, bygningsautomatiseringssystemer etc. De er svært viktige for selskapet som eier og driver dem, men vil ikke påvirke en stor befolkning eller økonomi for det meste."

Angrepere som potensielt kunne være interessert I målrettingen av slike systemer inngår politisk motiverte hackere som prøver å lage en uttalelse, hacktivistiske grupper med interesse for å trekke oppmerksomheten til deres sak, kriminelle interessert i utfordringsselskaper eller til og med hackere som gjør det morsomt eller bragging rettigheter.

Hackere finner mål

Et nylig utlekket FBI cyberalert-dokument datert 23. juli avslørte at tidligere i år hackere oppnådde uautorisert tilgang til varme-, ventilasjons- og klimaanlegget (HVAC) som opererer i kontorbygningen til et New Jersey-luftkondisjoneringsfirma ved å utnytte sikkerhetsproblemet i kontrollen boks koblet til den - et Niagara kontrollsystem laget av Tridium. Det målrettede selskapet installerte lignende systemer for banker og andre virksomheter.

Bruddet skjedde etter at informasjon om sårbarheten i Niagara ICS-systemet ble delt online i januar av en hacker ved hjelp av moniker "@ntisec" (antisec). Operation AntiSec var en serie hacking angrep rettet mot rettshåndhevende organer og regjeringsinstitusjoner orkestrert av hackere assosiert med LulzSec, Anonym og andre hacktivistiske grupper.

"Et ukjent emne publiserte kommentarer på et kjent amerikansk nettsted, 21. og 23. januar 2012, med tittelen "#US #SCADA #IDIOTS" og "#US #SCADA #IDIOTS del II", "sa FBI i det lekkede dokumentet.

" Det handler ikke om at angrep mot ICS er mulig eller ikke fordi de er, sier Ruben Santamarta, en sikkerhetsforsker med sikkerhetskonsulentfirmaet IOActive, som fant sårbarheter i SCADA-systemer tidligere, sa via e-post. "Når motivasjonen er sterk nok, vil vi møte store hendelser. Den geopolitiske og sosiale situasjonen hjelper ikke så sikkert, det er ikke latterlig å anta at 2013 vil være et interessant år."

Målrettede angrep er ikke den eneste bekymringen; SCADA malware er også. Vitaly Kamluk, sjefens skadelig programvareekspert hos antivirusleverandøren Kaspersky Lab, mener at det i fremtiden vil være flere malware-målrettede SCADA-systemer.

"Stuxnet-demonstrasjonen av hvor sårbar ICS / SCADA åpnes et helt nytt område for whitehat og blackhat forskere, "sa han via e-post. "Dette emnet kommer til å være på topplisten for 2013."

Noen sikkerhetsforskere mener imidlertid at det å opprette slike malware fortsatt ikke overstiger evnen til de gjennomsnittlige angriperne.

"Opprette skadelig programvare som vil lykkes i å angripe en ICS er ikke trivielt og kan kreve mye innsikt og planlegging, sier Thomas Kristensen, sjefsikkerhetsansvarlig ved sårbarhetsintelligens og styringsfirma Secunia, via e-post. "Dette begrenser også betydelig mengden personer eller organisasjoner som kan trekke et slikt angrep."

"Vi er ikke i tvil om at vi vil se angrep mot ICS," stresset Kristensen. av de distribuerte SCADA- og DCS-applikasjonene (distribuert styringssystem) og maskinvare ble utviklet uten SDL (Security Development Lifecycle) - Tenk Microsoft på slutten av 90-tallet - så det er vanlig med vanlige programmeringsfeil som fører til feil, sårbarheter og utnytter, "sa peterson. "Det er sagt at PLC og andre felt enheter er usikre av design og krever ikke et sårbarhet for å ta en kritisk prosess ned eller endre den på en ondsinnet måte a la Stuxnet."

Peterson's selskap, Digital Bond, utgitt flere utnytter for sårbarheter som finnes i mange PLCer (programmerbare logikkstyrere) -SCADA-maskinvarekomponenter-fra flere leverandører som moduler for det populære Metasploit-penetrasjonstestrammen, et åpen kildekodeverktøy som kan brukes av nesten alle. Dette ble gjort som en del av et forskningsprosjekt kalt Project Basecamp, hvis mål var å vise hvor skjøre og usikre mange eksisterende PLCer er.

"Den eneste begrensningen for å finne et stort antall SCADA- og DCS-sårbarheter er at forskere får tilgang til utstyret, "Sa peterson. "Flere prøver og lykkes, så det vil bli en økning av sårbarheter som vil bli avslørt på hvilken måte forskeren anser det som passende."

Trenger fortsatt patcher

Santamarta ble enige om at det er enkelt for forskere å finne sårbarheter i SCADA-programvare i dag.

Det er enda et marked for SCADA sårbarhetsinformasjon. ReVuln, et Malta-basert oppstartssikkerhetsfirma grunnlagt av sikkerhetsforskere Luigi Auriemma og Donato Ferrante, selger informasjon om programvaresårbarheter til offentlige etater og andre private kjøpere uten å rapportere dem til de berørte leverandørene. Over 40 prosent av sårbarhetene i ReVulns portefølje for øyeblikket er SCADA.

Trenden ser ut til å vokse for både angrep og investeringer i SCADA-sikkerhetsfeltet, ifølge Donato Ferrante. "Faktisk hvis vi tror at flere store selskaper i SCADA-markedet investerer mye penger på å herde disse infrastrukturene, betyr det at SCADA / ICS-emnet er og vil forbli et hett tema for de kommende årene," sa Ferrante via e-post.

Sikring av SCADA-systemer er imidlertid ikke så grei som å sikre vanlige IT-infrastrukturer og datasystemer. Selv når sikkerhetsoppdateringer for SCADA-produkter frigjøres av leverandører, kan eiere av sårbare systemer ta svært lang tid å distribuere dem.

Det er svært få automatiserte patch-distribusjonsløsninger for SCADA-systemer, sa Luigi Auriemma via e-post. Mesteparten av tiden må SCADA-administratorer manuelt søke de riktige oppdateringene, sa han.

"Situasjonen er kritisk dårlig," sa Kamluk. Hovedmål for SCADA-systemer er kontinuerlig drift, noe som vanligvis ikke tillater varm patching eller oppdatering - installerer oppdateringer eller oppdateringer uten å starte systemet eller programmet på nytt. -

I tillegg må SCADA-sikkerhetsoppdateringer bli grundig testet før du blir distribuert i produksjonsmiljøer, fordi uventet oppførsel kan ha betydelig innvirkning på operasjonene.

"Selv i de tilfellene der det finnes en patch for et sikkerhetsproblem, finner vi sårbare systemer i lang tid," sa Santamarta..

De fleste SCADA-sikkerhetseksperter vil at industrielle kontrollenheter som PLC skal bli omdirigert med sikkerhet i tankene.

"Det som trengs, er PLCer med grunnleggende sikkerhetsforanstaltninger og en plan for å distribuere disse i den mest kritiske infrastrukturen i løpet av de neste ett til tre årene, sier Peterson. "Det ideelle scenariet er hvor industrielle enheter er sikre ved design, men vi må være realistiske, det vil ta tid," sa Santamarta. "Industrisektoren er en verden fra hverandre. Vi bør ikke se på det gjennom vårt IT-perspektiv. Det er sagt at alle innser at noe må gjøres, blant annet industrielle leverandører."

I fravær av sikker-for- design enheter, ICS eiere bør ta en forsvarsdyp-tilnærming til å sikre disse systemene, sa Santamarta. "Med tanke på at det er industriprotokoller der ute som er usikre som standard, er det fornuftig å legge til tiltak og forskjellige lag av beskyttelse."

"Koble ICS fra Internett, sett det i et isolert nettverkssegment og strengt begrense / revidere tilgang til det, "sa Kamluk.

" Eierne av kritisk infrastruktur bør innse at separate nettverk, eller i det minste separate referanser, er nødvendige for å få tilgang til kritisk infrastruktur, "sa Kristensen. "Ingen sane og sikkerhetsbevisst administrator ville logge på noen av hans systemer ved hjelp av administrativ legitimasjon og i samme sesong få tilgang til det fiendtlige Internett og lese e-post. Dette bør også gjelde for ICS, bruk ett sett med legitimasjonsbeskrivelser for å få tilgang til ICS-økten og kanskje få tilgang til Internett-tilkoblingsøkten din ved hjelp av et virtuelt og / eller eksternt skrivebordssett. "

Forordning debattert

Behovet for offentlig regulering som ville tvinge operatørene av kritisk infrastruktur til å sikre sine industrielle kontrollsystemer, har vært et diskutert tema og mange SCADA-sikkerhetseksperter er enige om at det kan være et godt utgangspunkt. Imidlertid er det gjort lite fremgang for dette målet.

"Den mest ambisiøse regjeringens regulering, NERC CIP for den nordamerikanske elektriske sektoren, har vært en feil," sa Peterson. "De fleste ønsker en vellykket offentlig regulering, men kan ikke identifisere hva dette ville være."

"Jeg vil bare at regjeringen skal være ærlig og si høyt at disse systemene er usikre av design og organisasjoner som driver kritisk infrastruktur SCADA og DCS bør ha en plan om å oppgradere eller erstatte disse systemene i løpet av de neste ett til tre årene, sier han.

Regjeringens regelverk vil være svært nyttig, sa Kamluk. Noen SCADA-leverandører offerer sikkerhet for kostnadsbesparelser uten å vurdere risikoen for slike beslutninger og deres potensielle innvirkning på menneskeliv, sa han.

Kaspersky Lab avslørte tidligere planer om å utvikle et operativsystem som ville gi en sikker-for- designmiljø for drift av SCADA og andre ICS-systemer. Ideen bak operativsystemet er å garantere at ingen svart funksjonalitet vil kunne kjøre på den, noe som ville forhindre at angripere fra å utføre skadelig kode ved å utnytte upakket sårbarhet.

Mens dette høres ut som et interessant prosjekt, er det fortsatt å se hvordan SCADA-fellesskapet og næringslivet vil reagere på det, sa Santamarta.

"Det er ikke nok detaljer om det nye operativsystemet for å evaluere sine funksjoner," sa Ferrante.. "For å gjøre det må vi vente på en offisiell utgave. Uansett er hovedproblemet ved å vedta et nytt operativsystem at den trenger å kunne kjøre eksisterende SCADA-systemer uten å måtte omskrive koden."