Ай-да-новости 30.05.2014

Как было обещано, продолжаю традицию еженедельных ой-ай-новостей.

Сегодня — о безопасности критической инфраструктуры. Вернее – о проблемах и опасностях, её подстерегающих. Атаки на промышленные системы, ядерные объекты и прочие АСУ ТП.

На самом деле это не совсем новости прошедшей недели – к счастью, не так уж часто по этой теме что-то всплывает на поверхность. Как мне думается, в основном их скрывают (что немудрено) или просто «не в курсе» (бабахнет в будущем по сигналу красной кнопки). Так что ниже, скорее, подборка любопытных фактов, чтобы показать нынешнюю ситуацию и тренды и приготовиться адекватно воспринимать последствия угроз.

А удивляться в критической инфраструктуре есть чему.

Главное кредо инженеров по АСУ – «работает — не трогай!». Дырка в контроллере, через которую хакер может получить управление системой? Подключение к Интернету? Отсутствие проверки стойкости паролей? Да, пофиг — система-то работает! А если поставить патч или там какие другие манипуляции произвести, то система может и перестать работать, и вот тогда будет мучительно больно. Да, критическая инфраструктура частенько всё ещё мыслит категориями релюшек.

В сентябре прошлого года мы сделали специальный honeypot, который «торчал» в Интернет и прикидывался промышленной системой. Так вот- за месяц его успешно поломали 422 раза, при этом злодеи 7 раз добрались прямо до PLC-контроллера, а 1 раз даже удаленно перепрограммировали его.

Ну, то есть вы понимаете, да? Непатченная АСУ с подключением к Сети – это практически 100% гарантия её взлома в первый же день. А уж что потом негодяи будут делать с объектом – ойййй…Сценарий для Голливуда Мосфильма. Да и объекты бывают разные, например, вот такие:

Ядрёна малвара

Атомный реактор Мондзю, ЯпонияИсточник

Незабываемо встретили Новый год в Японии. Один из компьютеров центра управления атомным реактором «Мондзю» оказался заражён неким зловредом, проникшим туда в процессе обновления бесплатного софта.

Я не очень понял: для управления реактором используется некий бесплатный софт? Или это оператор обновлял MP3-плеер, который слушает в длинные одинокие ночные дежурства? И этот комп подключён к Интернету?

Так вот: промышленный комп должен быть как гарем турецкого султана – абсолютно непогрешим и не замечен ни в каких связях, тем более с Интернетом! Более того – нужно глубоко и ручками исследовать вообще каждый носитель, который присоединяется к таким ответственным узлам. Вспоминаем как Stuxnet проник в Нетенз.

Кассандризмы

Я много раз говорил, что сценарий «Крепкого орешка -4» — наполовину голливудское раздувалово, а наполовину сущая правда. У одного исследователя нашлось время проверить версию о возможности устроить дискотеку со светомузыкой на улицах американских городов при помощи взлома системы управления светофорами.

Ну, что отчёт вполне себе убедительный. Особенно понравились следующие выводы: «сложнее всего было не найти уязвимости в оборудовании, а заставить его нормально работать», «мне удалось запустить атаку с высоты 650 футов с летающего дрона», «уязвимое оборудование используется в 45 штатах США и 10 других странах», «в ответ на мой запрос вендор сказал, что уязвимость пофиксена в новой версии оборудования, но для этого нужно физически заменить старые девайсы».

А теперь – банановый!

Практически всё кругом управляется компьютерами. А если есть компьютер, то его можно взломать, а если его можно взломать, то … тут сценарии типа Watch_Dogs становятся очень даже реалистичными.

Вот, ловите пример из Бельгии. Шустрые южно-американские наркоторговцы загружали банановые контейнеры кокаином, перевозили груз морем, складировали в порту Антвепена, а дальше в игру вступали хакеры. При помощи малвары в системе управления складом они отслеживали местонахождение «правильных» контейнеров, параметры доступа к ним и оперативно тырили их до прихода настоящего грузополучателя. Такая синергия традиционной наркомафии и кибер-преступности на почве промышленных систем.

Головой об стену

Проблема защиты АСУ не только и не столько в нежелании операторов трогать то, что работает. Проблема в самих производителях АСУ. Сейчас ситуация потихоньку начала исправляться и мне уже давно не попадались возмутительные случаи откровенного «забивания» разработчиков на очевидные недостатки в безопасности их продуктов. А чтобы понимать какое там было упругое болото – вот случай из практики компании RuggedCom, производящей коммуникационное оборудование для энергетики, промышленности, транспорта и других критических отраслей. Случай не единичный, а наоборот – типичный.

В апреле 2011г. в этом оборудовании была обнаружена дыра, которая позволяла достаточно просто получить админский доступ. Эксперт, нашедший уязвимость целый год пытался заставить компанию хоть что-то сделать или хотя бы порекомендовать заказчикам отрубить удалённый доступ. Всё тщетно и ровно через год он выложил все сведения в паблик. Ну, разумеется, тут поднялся шум и дырку быстро законопатили. Ага, гром грянул, мужик перекрестился. Впрочем, я вот не очень уверен, что этот патч поставила хотя бы половина пользователей. 

Ломай – не хочу

Для иллюстрации дырявости современных АСУ приведу вот такой пример.

Один секюрити-рисёрчер, который ранее в глаза не видел таких систем, решил утром Дня Благодарения покопаться в их софте (интересно, что его сподвигло на такой шаг?). Далее, по словам автора, он просто офигел. Первый зеродей он нашёл через 7 минут, а вообще в течение нескольких часов быстренько насчитал более 20 дыр, некоторые из которых позволяли удалённо выполнять код. Как сказал один из спикеров SAS: по уровню безопасности «АСУ застряли где-то в 90-х«. Эти системы были сделаны в прошлом веке людьми из прошлого века по стандартам прошлого века, но работают по сей день.

Современные АСУ ТП по всем показателям динозавры прошлого

Вообще, если всё же случится серьёзная кибер-заварушка (тьфу-тьфу) и правительства начнут жать на свои красные кибер-кнопки, то вот тут-то и наступит момент истины и воздаяние за сокрытие, раздолбайство и игнорирование. Неужели кто-то ещё надеется, что все многочисленные дыры в критической инфраструктуре так и торчат никем не оприходованными?

Ага, вот тогда-то мы и увидим нижнюю часть айсберга. Точнее, услышим. Ээээ… точнее прочитаем… Ох, нет, мы вообще никак не узнаем – ничего работать не будет! Разве что баба Маня у подъезда расскажет. При дневном освещении.

Робо*.*

На тему роботов.

Я ни разу не сомневаюсь, что уже через лет 5-7 вокруг нас будут виться рои летающих, бегающих и ползущих дронов самых разных пород и назначений. Прошлогодний анонс планов Amazon по экспресс-доставке товаров авиа-дронами вряд ли можно считать образцом футуристического пиара. Здесь проблема не столько техническая, сколько юридическая – ведь «курьерам» нужно будет выделять какие-то спецвоздушные транши, ввести новые правила полётов для этой категории объектов, выдавать сводки лётной погоды, лицензировать пользователей и производителей и т.п.

Однако всё идёт именно к этому! И не только в воздухе – давече Гугл презентовал концепты своих «беспилотных» машин (вот теперь название «автомобиль» получило свою истинную смысловую реализацию на практике). А вот ещё примеры использования дронов – в критической инфраструктуре.

С одной стороны «а что делать?» — дроны действительно автоматизируют многие сложные и затратные процессы, это объективное развитие прогресса. А с другой, эта автоматизация может так громко рухнуть, что можно будет подавиться попкорном.

Да будет свет!

Ну, и в заключение немного романтики. Точнее – «романтики».В кавычках.

С начала 2000-х мы знаем, что электросети также подвержены вирусным атакам и теоретически так же уязвимы для них, как и домашний компьютер Васи Пупкина. Независимо от этого, но очень показательно один французский фотограф сделал вот такую любопытную серию картин «Потухшие города». Потрясающие ночные виды Гонконга, Нью-Йорка, Сан-Франциско, Парижа, Шанхая, Сан-Пауло и многих других мегаполисов – без электрического освещения. Мечта астронома!! Так что если у вас дома внезапно выключился свет – не надо паниковать. Возможно, это просто вирусная или хакерская атака.

Темнота - друг молодёжи, но только на ограниченное времяИсточник

Так что, всем накрываться простынёй и медленно ползти на кладбище? Всё так плохо и будет ещё хуже?

Да, всё плохо – на самом деле мы уже давно ходим по краю пропасти. Ключевые элементы критической инфраструктуры в любой момент могут рассыпаться как карточный домик. Но тогда нафиг мы (секюрити-эксперты) нужны?

Сложить лапки и заскулить – это по другой части. Я уверен, что с проблемой мир справится и сделает это тремя путями: разработкой нового поколения софта, разработкой новой, более защищённой архитектуры для критической инфраструктуры и разработкой национальных и глобальных стандартов безопасности.

Как результат, отсутствие света должно стать единственно следствием перегоревшей лампочки и ничего иного :)

Прочитать комментарии 0
Оставить заметку