211service.com
Rūpnieciskās kontroles sistēmas joprojām ir neaizsargātas pret ļaunprātīgiem kiberuzbrukumiem
1982. gadā CIP atklāja Padomju Savienības plānu nozagt rūpniecisko programmatūru, lai kontrolētu tās strauji augošo dabasgāzes cauruļvadu tīklu. Atbildot uz to, aģentūra pārveidoja programmatūru, izmantojot ļaunprātīgu programmatūru, kas bija paredzēta cauruļvadu sabojāšanai, un pēc tam piemānīja padomju varu to nozagt.
Šī viltība izrādījās iespaidīgi veiksmīga. Padomju vara Sibīrijas cauruļvadā uzstādīja modificēto programmatūru — rūpnieciskās vadības sistēmu SCADA. Pēc tam, kad tas dažus mēnešus darbojās normāli, ļaunprogrammatūra sāka aizvērt drošības vārstus, izraisot spiedienu cauruļvadā, pārsniedzot to, ko spēj izturēt metinātās šuves un savienojumi. Galu galā cauruļvads eksplodēja, izraisot monumentālāko sprādzienu, kas nav kodols, un ugunsgrēku, kāds jebkad redzēts no kosmosa, vēsta Washington Post, kas par šo stāstu ziņoja 2004. gadā.
Šis incidents ir iegājis vēsturē kā pirmais piemērs ļaunprātīgas programmatūras uzbrukumam rūpnieciskās kontroles sistēmai. Un tas noteica pamatu kiberuzbrukumu kampaņai, kas 1997. gadā pārtrauca telefona sistēmu gaisa satiksmes vadības centrā Vusteras lidostā, Masačūsetsā; atspējotas drošības sistēmas Davis-Besse atomelektrostacijā 2003. gadā; un iznīcināja centrifūgas slepenajā Irānas kodolbagātināšanas iekārtā 2010. gadā — lai nosauktu tikai dažus incidentus.
Daži no šiem uzbrukumiem ir radījuši milzīgu publicitāti un vairojuši izpratni par to, cik neaizsargātas ir rūpnieciskās kontroles sistēmas. Tāpēc jebkuram uzņēmumam, kas izmanto rūpnieciskās kontroles programmatūru, ir jāapzinās riski un attiecīgi jāaizsargā. Bet vai tā ir taisnība?
Šodien mēs saņemam sava veida atbildi, pateicoties Marcin Nawrocki no Berlīnes Brīvās universitātes Vācijā un kolēģiem, kuri ir pētījuši ātrumu, kādā rūpnieciskās kontroles sistēmas nosūta neaizsargātus datus internetā. Viņu rezultāti sniedz pārsteidzošu ieskatu šo sistēmu ievainojamībā.
Rūpnieciskās vadības sistēmas, piemēram, SCADA un Modbus, sākotnēji tika izstrādātas, pirms internets bija plaši izplatījies. Tāpēc tie tika izstrādāti tā, lai tie būtu vienkārši un darbotos slēgtā sistēmā, kas nav saistīta ar ārpasauli.
Vēlāk kļuva iespējams iepakot vadības signālus parastā interneta trafikā, lai industriālās sistēmas varētu vadīt attālināti. Tomēr šī pieeja ir pilnībā atvērta. Ikviens var skenēt interneta trafiku, lai atrastu šāda veida paketes, apskatīt, kur tās virzās, un pēc tam nosūtīt savas komandas, lai pārņemtu vadību.
Un tieši tik daudz agrāko uzbrukumu notika. Hakeri var iezvanīt rūpnieciskās vadības sistēmās, izmantojot tālruņa modemu, un pārņemt tās kontroli vai atspējot tās.
Tātad vesela nozare ir izaugusi, lai aizsargātu šādas sistēmas. Tā kā programmatūra ir tik plaši izplatīta, to nevar viegli pārrakstīt. Tā vietā galvenā pieeja ir iesaiņot komandas citā programmatūras slānī, kas ir aizsargāts ar parasto šifrēšanu, parolēm utt. Tas novērš gan nesankcionētu piekļuvi rūpnieciskajām vadības sistēmām, gan interneta sakaru noklausīšanos.
Bet vai visi to izmanto? Lai to noskaidrotu, Navrocki un viņa kolēģi pētīja divas interneta trafika datu bāzes. Pirmo viņi savāca no interneta apmaiņas punkta (IXP) 2017. un 2018. gadā. Šis ir punkts, kurā interneta pakalpojumu sniedzēji un satura piegādes tīkli apmainās ar datiem. Tāpēc tā parasti ir satiksme no vienas valsts iekšienes.
Otrā datu bāze bija neapstrādātas interneta trafika arhīvs starp interneta pakalpojumu sniedzējiem (ISP) ASV un Japānā, kas tika glabāts pētniecības nolūkos. Šie dati, protams, ir starptautiski.
Pirmais Nawrocki un co uzdevums bija filtrēt datus paketēm, kas paredzētas rūpnieciskajām vadības sistēmām. Viņi to izdarīja ar standarta pakešu analizatoru Wireshark, kas atklāj neaizsargātas paketes.
Bet ir arī vēl viens svarīgs filtrēšanas posms. Rūpnieciskās kontroles sistēmu apdraudējuma dēļ ir sākti dažādi projekti, lai uzraudzītu interneta trafiku — identificētu un kataloģizētu rūpniecisko trafiku, vajadzības gadījumā iztaujātu saimniekus un avotus, kā arī izveidotu meduspodus, lai piesaistītu ļaunprātīgus dalībniekus.
Šī darbība pati par sevi rada ievērojamu satiksmes apjomu, kas saistīts ar rūpnieciskās vadības tīkliem. Tāpēc Nawrocki un citiem bija jāfiltrē datu kopas, lai noņemtu arī to.
Interesants bija tas, kas palika pāri. Viņi atrada vairāk nekā 330 000 neaizsargātu pakešu, kas saistītas ar rūpnieciskās vadības sistēmām. Starptautiskajā satiksmē starp interneta pakalpojumu sniedzējiem tas veidoja tikai 1,5% no kopējās rūpnieciskās satiksmes.
Taču situācija ir ievērojami sliktāka vietējā līmenī, kur 96% satiksmes veido neaizsargātas rūpnieciskās komandas. Viņi saka, ka neaizsargātās rūpnieciskās [industriālās vadības sistēmu] satiksmes daļa (96%) IXP ir satraucoša.
Komanda analizēja šo neaizsargāto trafiku, izmantojot DNS ierakstus un whois datus. Viņi identificēja vairākus uzņēmumus, kas nosūta neaizsargātu satiksmi, tostarp saules enerģijas konsultāciju uzņēmumu, celtniecības uzņēmumu un tirdzniecības un transporta uzņēmumu. Šīs organizācijas acīmredzami ir pakļautas ievērojamam ļaunprātīgu uzbrukumu riskam.
Tas ir interesants darbs, kas atklāj satraucošu neaizsargātas satiksmes līmeni, kas apdraud rūpnieciskās sistēmas.
Atsauce: arxiv.org/abs/1901.04411 : neaizsargātu rūpniecisko vadības sistēmu atklāšana no interneta kodola