Datatrussel for industrisystemer nå mer alvorlig

En sikkerhetsforsker har utgitt kode som kan brukes til å ta kontroll over datamaskiner som brukes til å håndtere industrimaskiner, og potensielt gi hackere en bakdør til bruksområder, vannanlegg og til og med olje- og gassraffinaderier.

Programvaren ble publisert sent fredag ​​kveld av Kevin Finisterre, en forsker som sa at han ønsker å øke bevisstheten om sårbarhetene i disse systemene, blir problemer som han sa ofte nedslått av programvareleverandører. "Disse leverandørene holdes ikke ansvarlige for programvaren de produserer," sa Finisterre, som er leder for forskning med sikkerhetstestfirmaet Netragard. "De forteller sine kunder at det ikke er noe problem, mens denne programvaren kjører kritisk infrastruktur."

Finisterre ga ut angrepskoden som en programvaremodul for Metasploit, et mye brukt hackingsverktøy. Ved å integrere den med Metasploit har Finisterre gjort koden mye enklere å bruke, sa sikkerhetseksperter. "Integrering av utnyttelsen med Metasploit gir et bredt spekter av mennesker tilgang til angrepet," sa Seth Bromberger, leder av informasjonssikkerhet hos PG & E. "Nå er alt som trengs, nedlasting av Metasploit, og du kan starte angrepet."

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Koden utnytter en feil i Citects CitectSCADA-programvare som opprinnelig ble oppdaget av Core Sikkerhetsteknologier og ble offentliggjort i juni. Citect ga ut en patch for feilen da den ble først avslørt, og programvareleverandøren har sagt at problemet bare utgjør en risiko for selskaper som kobler sine systemer direkte til Internett uten brannmurbeskyttelse, noe som aldri ville bli gjort med vilje. Et offer skal også muliggjøre en bestemt databasefunksjon i CitectSCADA-produktet for angrepet på jobb.

Disse typer industrielle SCADA (overvåkings- og datainnsamling) prosesskontrollprodukter har tradisjonelt vært vanskelig å oppnå og analysere, og gjør det Det er vanskelig for hackere å prøve dem for sikkerhetsproblemer, men i de senere år har flere og flere SCADA-systemer blitt bygget ut over kjente operativsystemer som Windows eller Linux, noe som gjør dem både billigere og enklere å hacke.

IT-sikkerhetseksperter er brukes til å lappe systemer raskt og ofte, men industrielle datasystemer er ikke som PCer. Fordi nedetid med vannkraftverk eller kraftanlegg kan føre til katastrofe, kan ingeniører være motvillige til å gjøre programvareendringer eller til og med bringe datamaskinene off-line for patching.

Denne forskjellen har ført til uenigheter mellom IT-fagfolk som Finisterre, som se sikkerhetsproblemer blir downplayed, og industri ingeniører belastet med å holde disse systemene kjører. "Vi har litt av et kulturskudd som skjer akkurat nå mellom prosesskontrollingeniører og IT-folkene," sa Bob Radvanovsky, en uavhengig forsker som driver en SCADA-sikkerhets online diskusjonsliste som har sett noen oppvarmede diskusjoner om dette tema.

Citect sa at det ikke hadde hørt om noen kunder som hadde blitt hacket på grunn av denne feilen. Men selskapet planlegger snart å frigjøre en ny versjon av CitectSCADA med nye sikkerhetsfunksjoner, i en utgave, (pdf) utgitt tirsdag.

Denne utgivelsen kommer ikke til for tidlig, ettersom Finisterre mener at det er andre, like, kodende feil i CitectSCADA-programvaren.

Og mens SCADA-systemer kan skilles fra andre datanettverk i planter, kan de fortsatt brytes. For eksempel, i begynnelsen av 2003, har en entreprenør smittet atomkraftverket Davis-Besse med SQL Slammer-ormen.

"Mange av de som kjører disse systemene, føler at de ikke er bundet av de samme reglene som tradisjonelle IT, sier Finisterre. "Deres industri er ikke særlig kjent med hacking og hackere generelt."