Brace untuk serangan lebih banyak ke atas sistem perindustrian pada tahun 2013

Peningkatan jumlah penyelidik akan menumpukan perhatian mereka terhadap sistem kawalan industri (ICS) pada tahun yang akan datang, tetapi begitu juga cyberattackers, pakar keselamatan percaya

Sistem kawalan terdiri daripada perisian penyeliaan yang dijalankan di stesen kerja khusus atau pelayan dan peranti perkakasan yang boleh diprogramkan seperti komputer yang disambungkan ke dan mengawal proses elektromekanikal. Sistem ini digunakan untuk mengawasi dan mengawal pelbagai operasi di kemudahan perindustrian, pemasangan ketenteraan, grid kuasa, sistem pengedaran air dan bangunan awam dan swasta.

Sesetengah digunakan dalam infrastruktur kritis - sistem yang bergantung kepada populasi besar elektrik, air bersih, pengangkutan, dan lain-lain-jadi sabotaj berpotensi mereka boleh membawa kesan yang meluas. Lain-lain, bagaimanapun, hanya berkaitan dengan perniagaan pemiliknya dan kerosakan mereka tidak akan memberi impak meluas.

[Bacaan lanjut: Bagaimana untuk menghapuskan malware dari PC Windows Anda]

Malware memperlihatkan kelemahan

Keselamatan SCADA (kawalan penyeliaan dan pengambilalihan data) dan lain-lain jenis sistem kawalan perindustrian telah menjadi topik perdebatan dalam industri keselamatan IT sejak malware Stuxnet ditemui pada tahun 2010.

Stuxnet adalah malware pertama yang diketahui khusus untuk menjejaskan SCADA sistem dan berjaya digunakan untuk merosakkan sentrifug pengayaan uranium di kilang nuklear Iran di Natanz.

Stuxnet adalah siber siber yang dipercayai dipercayai telah dibangunkan oleh negara-negara dilaporkan AS dan Israel - dengan akses kepada pemaju mahir, dana tanpa had dan maklumat terperinci mengenai kelemahan sistem kawalan.

Menyerang sistem kawalan infrastruktur kritikal memerlukan perancangan yang serius, perhimpunan perisikan dan penggunaan metho akses alternatif ds-Stuxnet direka untuk disebarkan melalui peranti USB kerana sistem komputer Natanz telah diasingkan dari Internet, mengeksploitasi kelemahan terdahulu yang tidak diketahui dan menyasarkan konfigurasi SCADA yang sangat khusus yang hanya terdapat di laman web ini. Walau bagaimanapun, sistem kawalan yang bukan sebahagian daripada infrastruktur kritikal menjadi semakin mudah diserang oleh penyerang kurang mahir.

Ini kerana kebanyakan sistem ini disambungkan ke Internet untuk kemudahan pentadbiran jauh dan kerana maklumat mengenai kelemahan dalam ICS perisian, peranti dan protokol komunikasi lebih mudah diakses daripada hari pra-Stuxnet. Butiran mengenai berpuluh-puluh kelemahan SCADA dan ICS telah didedahkan secara terbuka oleh penyelidik keselamatan dalam tempoh dua tahun yang lalu, selalunya disertai dengan kod eksploitasi bukti-konsep.

"Kami akan melihat peningkatan eksploitasi peranti sistem kawalan Internet yang boleh diakses sebagai eksploitasi mendapat automatik, "kata Dale Peterson, ketua pegawai eksekutif di Digital Bond, sebuah syarikat yang mengkhususkan diri dalam penyelidikan dan penilaian keselamatan ICS, melalui e-mel.

Walau bagaimanapun, kebanyakan peranti sistem kawalan akses internet yang dapat diakses bukanlah sebahagian dari apa kebanyakan orang akan mempertimbangkan infrastruktur kritikal, katanya. "Mereka mewakili sistem perbandaran kecil, sistem automasi bangunan, dan lain-lain. Mereka sangat penting untuk syarikat yang memiliki dan menjalankannya, tetapi tidak akan menjejaskan populasi atau ekonomi yang besar untuk sebahagian besar."

Penyerang yang berpotensi berminat dalam mensasarkan sistem tersebut termasuk penggodam bermotivasi politik yang cuba membuat kenyataan, kumpulan hacktivist dengan minat untuk menarik perhatian kepada tujuan mereka, penjenayah yang berminat untuk memeras syarikat atau bahkan penggodam yang melakukan keseronokan atau membualkan hak.

Hacker mencari target

Dokumen cyberalert baru-baru ini yang dibocorkan pada 23 Julai mendedahkan bahawa pada awal tahun ini, penggodam mendapat akses yang tidak dibenarkan ke sistem pemanasan, pengudaraan dan penghawa dingin (HVAC) yang beroperasi di bangunan pejabat syarikat penghawa dingin New Jersey dengan mengeksploitasi kelemahan backdoor dalam kawalan kotak yang disambungkan kepadanya - sistem kawalan Niagara yang dibuat oleh Tridium. Syarikat sasaran memasang sistem yang sama untuk bank dan perniagaan lain.

Pelanggaran itu berlaku selepas maklumat mengenai kelemahan sistem ICS Niagara telah dikongsi dalam talian pada Januari oleh penggodam menggunakan "@ntisec" (antisec) moniker. Operasi AntiSec adalah satu siri serangan penggodaman yang mensasarkan agensi penguatkuasaan undang-undang dan institusi kerajaan yang dirancang oleh penggodam yang berkaitan dengan kumpulan LulzSec, Anonymous dan lain-lain hacktivist.

"Pada 21 dan 23 Januari 2012, subjek yang tidak diketahui mencatatkan komen di laman web AS yang diketahui, bertajuk '#US #SCADA #IDIOTS' dan '#US #SCADA #IDIOTS part-II', "kata FBI dalam dokumen yang bocor.

" Ini bukan masalah sama ada serangan terhadap ICS adalah mungkin atau tidak kerana mereka "Ruben Santamarta, penyelidik keselamatan dengan firma perunding keselamatan IOActive, yang mendapati kelemahan dalam sistem SCADA pada masa lalu, berkata melalui e-mel. "Sekali motivasi itu cukup kuat, kita akan menghadapi insiden yang besar. Situasi geopolitik dan sosial tidak begitu penting, tidaklah masuk akal untuk mengandaikan bahawa 2013 akan menjadi tahun yang menarik."

Serangan yang disasarkan bukan satu-satunya kebimbangan; Malware SCADA juga. Vitaly Kamluk, pakar ketua malware di penjual antivirus Kaspersky Lab, percaya bahawa akan pasti lebih banyak perisian hasad yang menyasarkan sistem SCADA di masa depan.

"Demonstrasi Stuxnet tentang bagaimana ICS / SCADA terdedah membuka kawasan yang baru untuk whitehat dan blackhat penyelidik, "katanya melalui e-mel. "Topik ini akan berada di senarai teratas untuk 2013."

Namun, beberapa penyelidik keselamatan percaya bahawa pencipta malware seperti ini masih di luar kebolehan penyerang biasa.

"Mencipta malware yang akan berjaya menyerang ICS adalah tidak penting dan mungkin memerlukan banyak wawasan dan perancangan, "kata ketua pegawai keselamatan di kecerdasan kelemahan dan pengurusan Secunia, Thomas Kristensen, melalui e-mel. "Ini juga membataskan jumlah orang atau organisasi yang dapat menarik serangan sedemikian."

"Kami tidak ragu walaupun, kami akan melihat serangan terhadap ICS," kata Kristensen.

"Kebanyakan dari aplikasi SCADA dan DCS [sistem kawalan terdistribusi] yang digunakan dan perkakasan dibangunkan tanpa Cakupan Kemajuan Keselamatan (SDL) - berfikir Microsoft pada akhir 90-an - sehingga ia mengalami kesilapan pengaturcaraan umum yang membawa kepada pepijat, kelemahan, dan eksploitasi, "kata Peterson. "Itu berkata, PLC dan peranti lapangan lain tidak selamat dengan reka bentuk dan tidak memerlukan kelemahan untuk mengambil proses kritikal ke bawah atau mengubahnya dengan cara yang jahat dengan Stuxnet."

Peterson, Digital Bond, mengeluarkan beberapa eksploitasi untuk kelemahan yang terdapat dalam banyak PLC (pengawal logik boleh atur) -SCADA komponen perkakasan-daripada pelbagai vendor sebagai modul untuk rangka kerja pengujian Metasploit yang popular, alat sumber terbuka yang boleh digunakan oleh sesiapa sahaja. Ini dilakukan sebagai sebahagian daripada projek penyelidikan yang dipanggil Project Basecamp, yang tujuannya adalah untuk memperlihatkan bagaimana PLC sedia ada yang rapuh dan tidak selamat.

"Satu-satunya sekatan untuk mencari sejumlah besar kerentanan SCADA dan DCS adalah para penyelidik yang mendapat akses ke peralatan, "Kata Peterson. "Lebih banyak cuba dan berjaya sehingga akan ada peningkatan kelemahan yang akan didedahkan dalam apa cara yang dianggap oleh penyelidik sesuai."

Masih memerlukan patch

Santamarta setuju bahawa mudah bagi para penyelidik untuk mencari kelemahan dalam perisian SCADA hari ini.

Bahkan ada pasaran untuk maklumat kerentanan SCADA. ReVuln, firma keselamatan permulaan yang berpusat di Malta yang diasaskan oleh penyelidik keselamatan Luigi Auriemma dan Donato Ferrante, menjual maklumat mengenai kelemahan perisian kepada agensi kerajaan dan pembeli swasta lain tanpa melaporkannya kepada vendor yang terjejas. Lebih 40 peratus daripada kelemahan dalam portfolio ReVuln pada masa ini adalah SCADA.

Trend ini seolah-olah berkembang untuk kedua-dua serangan dan pelaburan dalam bidang keselamatan SCADA, menurut Donato Ferrante. "Sebenarnya jika kita berfikir bahawa beberapa syarikat besar di pasaran SCADA melaburkan banyak wang untuk mengeratkan infrastruktur ini, ini bermakna topik SCADA / ICS adalah dan akan menjadi topik hangat untuk tahun-tahun akan datang," kata Ferrante melalui e-mel.

Walau bagaimanapun, mendapatkan sistem SCADA tidak begitu mudah kerana memperoleh prasarana IT dan sistem komputer biasa. Malah apabila patch keselamatan untuk produk SCADA dibebaskan oleh vendor, pemilik sistem terdedah mungkin mengambil masa yang lama untuk menggunakannya.

Terdapat beberapa penyelesaian penggantian patch automatik untuk sistem SCADA, kata Luigi Auriemma melalui e-mel. Pada masa yang sama, pentadbir SCADA perlu menggunakan secara manual patch yang sesuai, katanya.

"Keadaan ini sangat buruk," kata Kamluk. Matlamat utama sistem SCADA adalah operasi berterusan, yang biasanya tidak membenarkan penampalan panas atau mengemas kini - memasang patch atau kemas kini tanpa memulakan semula sistem atau program - katanya.

Di samping itu, patch keselamatan SCADA perlu akan diuji dengan teliti sebelum digunakan dalam persekitaran pengeluaran kerana sebarang tingkah laku yang tidak diduga dapat memberi kesan yang signifikan terhadap operasi.

"Bahkan dalam kes-kes di mana patch untuk kelemahan ada, kita akan mencari sistem yang terdedah untuk waktu yang lama," kata Santamarta

Kebanyakan pakar keselamatan SCADA ingin menggunakan peranti kawalan perindustrian seperti PLC untuk direkayasa semula dengan keselamatan dalam fikiran.

"Apa yang diperlukan ialah PLC dengan langkah-langkah keselamatan asas dan rancangan untuk menggunakannya dalam infrastruktur yang paling kritikal dalam tempoh satu hingga tiga tahun akan datang, "kata Peterson.

" Senario yang ideal ialah peranti perindustrian adalah selamat dengan reka bentuk, tetapi kita perlu realistik, yang akan mengambil masa, "kata Santamarta. "Sektor perindustrian adalah dunia yang luar biasa, kita tidak boleh melihat dengan teliti menerusi perspektif IT kita, yang mengatakan, semua orang menyedari bahawa sesuatu yang perlu dilakukan, termasuk vendor perindustrian."

Dengan ketiadaan selamat- peranti reka bentuk, pemilik ICS perlu mengambil pendekatan pertahanan mendalam untuk mendapatkan sistem ini, kata Santamarta. "Memandangkan terdapat protokol perindustrian di luar sana yang tidak selamat secara lalai, masuk akal untuk menambah mitigasi dan lapisan perlindungan yang berlainan."

"Putuskan ICS dari internet, letakkannya dalam segmen rangkaian terpencil dan tegas / audit akses kepadanya, "kata Kamluk.

" Pemilik infrastruktur kritis harus sedar bahawa rangkaian yang terpisah, atau sekurang-kurangnya kepercayaan terpisah diperlukan untuk mengakses infrastruktur kritis, "kata Kristensen. "Tidak ada waras dan pentadbir mengetahui keselamatan akan log masuk ke mana-mana sistemnya menggunakan kelayakan pentadbiran dan dalam sesi yang sama mengakses internet yang bermusuhan dan membaca e-mel.Ini juga harus digunakan untuk ICS, menggunakan satu set bukti untuk mengakses sesi ICS dan mungkin akses sesi sambungan internet anda menggunakan persediaan desktop maya dan / atau jauh. "

Peraturan diperdebatkan

Keperluan untuk peraturan kerajaan yang memaksa pengendali infrastruktur kritikal untuk memastikan sistem kawalan perindustrian mereka menjadi topik hangat dan ramai pakar keselamatan SCADA bersetuju bahawa ia boleh menjadi titik permulaan yang baik.

"Peraturan pemerintah yang paling ambisius, NERC CIP untuk sektor elektrik Amerika Utara, telah menjadi kegagalan," kata Peterson. "Kebanyakannya mahu peraturan kerajaan yang berjaya tetapi tidak dapat mengenal pasti apa ini."

"Saya hanya ingin kerajaan jujur ​​dan menyatakan dengan tegas bahawa sistem ini tidak selamat dengan reka bentuk dan organisasi yang menjalankan infrastruktur kritikal SCADA dan DCS sepatutnya mempunyai rancangan untuk menaik taraf atau menggantikan sistem ini dalam tempoh satu hingga tiga tahun akan datang, "katanya.

Peraturan kerajaan akan sangat membantu, kata Kamluk. Beberapa vendor SCADA mengorbankan keselamatan untuk penjimatan kos pembangunan tanpa mengambil kira risiko keputusan itu dan kesannya terhadap kehidupan manusia, katanya. Awal tahun ini, Kaspersky Lab mendedahkan rancangan untuk membangunkan sebuah OS yang akan memberikan jaminan yang selamat- persekitaran reka bentuk untuk operasi SCADA dan sistem ICS yang lain. Idea di sebalik OS adalah untuk menjamin bahawa tiada fungsi yang tidak diumumkan akan dapat dijalankan di atasnya, yang akan menghalang penyerang daripada melaksanakan kod jahat dengan mengeksploitasi kelemahan yang tidak dipasang.

Walaupun ini kelihatan seperti satu projek yang menarik, ia tetap akan dilihat bagaimana masyarakat SCADA dan sektor industri akan bertindak balas terhadapnya, kata Santamarta.

"Tidak ada maklumat yang cukup tentang OS baru untuk menilai ciri-cirinya," kata Ferrante. "Untuk melakukan itu kita perlu menunggu pembebasan rasmi.Walaupun masalah utama ketika mengadopsi OS baru adalah ia perlu dapat menjalankan sistem SCADA yang ada tanpa perlu menulis ulang kod mereka."