Как было
обещано, продолжаю традицию еженедельных ой-ай-новостей.
Сегодня - о безопасности критической инфраструктуры. Вернее - о проблемах и опасностях, её подстерегающих. Атаки на промышленные системы, ядерные объекты и прочие
АСУ ТП.
На самом деле это не совсем новости прошедшей недели - к счастью, не так уж часто по этой теме что-то всплывает на поверхность. Как мне думается, в основном их скрывают (что немудрено) или просто «не в курсе» (бабахнет в будущем по сигналу красной кнопки). Так что ниже, скорее, подборка любопытных фактов, чтобы показать нынешнюю ситуацию и тренды и приготовиться адекватно воспринимать последствия угроз.
А удивляться в критической инфраструктуре есть чему.
Главное кредо инженеров по АСУ - «работает - не трогай!». Дырка в контроллере, через которую хакер может получить управление системой? Подключение к Интернету? Отсутствие проверки стойкости паролей? Да, пофиг - система-то работает! А если поставить патч или там какие другие манипуляции произвести, то система может и перестать работать, и вот тогда будет мучительно больно. Да, критическая инфраструктура частенько всё ещё мыслит категориями релюшек.
В сентябре прошлого года мы сделали специальный honeypot, который «торчал» в Интернет и прикидывался промышленной системой. Так вот- за месяц его успешно поломали 422 раза, при этом злодеи 7 раз добрались прямо до
PLC-контроллера, а 1 раз даже удаленно перепрограммировали его.
Ну, то есть вы понимаете, да? Непатченная АСУ с подключением к Сети - это практически 100% гарантия её взлома в первый же день. А уж что потом негодяи будут делать с объектом - ойййй…Сценарий для Голливуда Мосфильма. Да и объекты бывают разные, например, вот такие:
Ядрёна малвара
Источник Незабываемо встретили Новый год в Японии. Один из компьютеров центра управления атомным реактором «Мондзю» оказался
заражён неким зловредом, проникшим туда в процессе обновления бесплатного софта.
Я не очень понял: для управления реактором используется некий бесплатный софт? Или это оператор обновлял MP3-плеер, который слушает в длинные одинокие ночные дежурства? И этот комп подключён к Интернету?
Так вот: промышленный комп должен быть как гарем турецкого султана - абсолютно непогрешим и не замечен ни в каких связях, тем более с Интернетом! Более того - нужно глубоко и ручками исследовать вообще каждый носитель, который присоединяется к таким ответственным узлам. Вспоминаем как
Stuxnet проник в Нетенз.
Кассандризмы
Я много раз
говорил, что сценарий «Крепкого орешка -4» - наполовину голливудское раздувалово, а наполовину сущая правда. У одного исследователя нашлось время проверить версию о возможности устроить дискотеку со светомузыкой на улицах американских городов при помощи взлома системы управления светофорами.
Ну, что
отчёт вполне себе убедительный. Особенно понравились следующие выводы: «сложнее всего было не найти уязвимости в оборудовании, а заставить его нормально работать», «мне удалось запустить атаку с высоты 650 футов с летающего дрона», «уязвимое оборудование используется в 45 штатах США и 10 других странах», «в ответ на мой запрос вендор сказал, что уязвимость пофиксена в новой версии оборудования, но для этого нужно физически заменить старые девайсы».
А теперь - банановый!
Практически всё кругом управляется компьютерами. А если есть компьютер, то его можно взломать, а если его можно взломать, то … тут сценарии типа
Watch_Dogs становятся очень даже реалистичными.
Вот, ловите
пример из Бельгии. Шустрые южно-американские наркоторговцы загружали банановые контейнеры кокаином, перевозили груз морем, складировали в порту Антвепена, а дальше в игру вступали хакеры. При помощи малвары в системе управления складом они отслеживали местонахождение «правильных» контейнеров, параметры доступа к ним и оперативно тырили их до прихода настоящего грузополучателя. Такая синергия традиционной наркомафии и кибер-преступности на почве промышленных систем.
Головой об стену
Проблема защиты АСУ не только и не столько в нежелании операторов трогать то, что работает. Проблема в самих производителях АСУ. Сейчас ситуация потихоньку начала исправляться и мне уже давно не попадались возмутительные случаи откровенного «забивания» разработчиков на очевидные недостатки в безопасности их продуктов. А чтобы понимать какое там было упругое болото - вот случай из практики компании RuggedCom, производящей коммуникационное оборудование для энергетики, промышленности, транспорта и других критических отраслей. Случай не единичный, а наоборот - типичный.
В апреле 2011г. в этом оборудовании была обнаружена дыра, которая позволяла достаточно просто получить админский доступ. Эксперт, нашедший уязвимость целый год пытался заставить компанию хоть что-то сделать или хотя бы порекомендовать заказчикам отрубить удалённый доступ. Всё тщетно и ровно через год
он выложил все сведения в паблик. Ну, разумеется, тут поднялся шум и дырку быстро законопатили. Ага, гром грянул, мужик перекрестился. Впрочем, я вот не очень уверен, что этот патч поставила хотя бы половина пользователей.
Ломай - не хочу
Для иллюстрации дырявости современных АСУ приведу вот такой пример.
Один секюрити-рисёрчер, который ранее в глаза не видел таких систем, решил утром Дня Благодарения покопаться в их софте (интересно, что его сподвигло на такой шаг?). Далее, по словам автора, он просто офигел. Первый
зеродей он нашёл через 7 минут, а вообще в течение нескольких часов быстренько насчитал более 20 дыр, некоторые из которых позволяли удалённо выполнять код. Как сказал один из спикеров SAS: по уровню безопасности «
АСУ застряли где-то в 90-х». Эти системы были сделаны в прошлом веке людьми из прошлого века по стандартам прошлого века, но работают по сей день.
Вообще, если всё же случится серьёзная
кибер-заварушка (тьфу-тьфу) и правительства начнут жать на свои красные кибер-кнопки, то вот тут-то и наступит момент истины и воздаяние за сокрытие, раздолбайство и игнорирование. Неужели кто-то ещё надеется, что все многочисленные дыры в критической инфраструктуре так и торчат никем не оприходованными?
Ага, вот тогда-то мы и увидим нижнюю часть айсберга. Точнее, услышим. Ээээ… точнее прочитаем… Ох, нет, мы вообще никак не узнаем - ничего работать не будет! Разве что баба Маня у подъезда расскажет. При дневном освещении.
Робо*.*
На тему роботов.
Я ни разу не сомневаюсь, что уже через лет 5-7 вокруг нас будут виться рои летающих, бегающих и ползущих дронов самых разных пород и назначений. Прошлогодний анонс планов
Amazon по экспресс-доставке товаров авиа-дронами вряд ли можно считать образцом футуристического пиара. Здесь проблема не столько техническая, сколько юридическая - ведь «курьерам» нужно будет выделять какие-то спецвоздушные транши, ввести новые правила полётов для этой категории объектов, выдавать сводки лётной погоды, лицензировать пользователей и производителей и т.п.
Однако всё идёт именно к этому! И не только в воздухе - давече
Гугл презентовал концепты своих «беспилотных» машин (вот теперь название «автомобиль» получило свою истинную смысловую реализацию на практике). А вот ещё примеры использования дронов - в
критической инфраструктуре.
С одной стороны «а что делать?» - дроны действительно автоматизируют многие сложные и затратные процессы, это объективное развитие прогресса. А с другой, эта автоматизация может так громко рухнуть, что можно будет подавиться попкорном.
Да будет свет!
Ну, и в заключение немного романтики. Точнее - «романтики».В кавычках.
С начала 2000-х мы знаем, что электросети также
подвержены вирусным атакам и теоретически так же уязвимы для них, как и домашний компьютер Васи Пупкина. Независимо от этого, но очень показательно один французский фотограф сделал вот такую любопытную серию картин
«Потухшие города». Потрясающие ночные виды Гонконга, Нью-Йорка, Сан-Франциско, Парижа, Шанхая, Сан-Пауло и многих других мегаполисов - без электрического освещения. Мечта астронома!! Так что если у вас дома внезапно выключился свет - не надо паниковать. Возможно, это просто вирусная или хакерская атака.
Источник Так что, всем накрываться простынёй и медленно ползти на кладбище? Всё так плохо и будет ещё хуже?
Да, всё плохо - на самом деле мы уже давно ходим по краю пропасти. Ключевые элементы критической инфраструктуры в любой момент могут рассыпаться как карточный домик. Но тогда нафиг мы (секюрити-эксперты) нужны?
Сложить лапки и заскулить - это по другой части. Я уверен, что с проблемой мир справится и сделает это тремя путями: разработкой
нового поколения софта, разработкой новой, более защищённой
архитектуры для критической инфраструктуры и разработкой
национальных и глобальных
стандартов безопасности.
Как результат, отсутствие света должно стать единственно следствием перегоревшей лампочки и ничего иного :)