Stöd för fler angrepp på industrisystem 2013

Ett ökande antal sårbarhetsforskare kommer att fokusera sin uppmärksamhet på industrins kontrollsystem (ICS) under det kommande året, men det kommer även cyberattackers, säkerhetsexperter tror.

Kontrollsystem består av tillsynsprogramvara som körs på dedikerade arbetsstationer eller servrar och datorliknande programmerbara hårdvaruenheter som är anslutna till och kontrollerar elektromekaniska processer. Dessa system används för att övervaka och styra en rad olika verksamheter inom industriella anläggningar, militära installationer, elnät, vattendistributionssystem och till och med offentliga och privata byggnader.

Vissa används i kritisk infrastruktur - de system där stora populationer är beroende av el, rent vatten, transport mm - så att deras potentiella sabotage kan få långtgående konsekvenser. Andra är dock endast relevanta för deras ägares verksamhet och deras funktionshinder skulle inte få utbredd påverkan.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Malware avslöjar brister

Säkerheten för SCADA (övervakning och datainsamling) och andra typer av industriella kontrollsystem har varit ett ämne för mycket debatt i IT-säkerhetsbranschen, sedan Stuxnet-malware upptäcktes 2010.

Stuxnet var den första kända skadliga programvaran för att specifikt rikta sig mot och infektera SCADA system och framgångsrikt användes för att skada uranberikningscentrifuger vid Irans kärnkraftverk i Natanz.

Stuxnet var en sofistikerad cyberweapon som antogs ha utvecklats av nationalstater - enligt uppgift USA och Israel - med tillgång till skickliga utvecklare, obegränsade fonder och detaljerad information om styrsystemets svagheter.

Attacking av kritiska infrastrukturstyrningssystem kräver allvarlig planering, insamling av information och användning av alternativ åtkomstmeto ds-Stuxnet var utformat för att sprida via USB-enheter eftersom Natanz datorsystem isolerades från Internet, utnyttjade tidigare okända sårbarheter och riktade väldigt specifika SCADA-konfigurationer som hittades endast på webbplatsen. Men styrsystem som inte ingår i kritisk infrastruktur blir alltmer lättare att attackera av mindre skickliga angripare.

Detta beror på att många av dessa system är anslutna till Internet för att underlätta fjärradministration och eftersom information om sårbarheter i ICS Programvara, enheter och kommunikationsprotokoll är lättillgängliga än i pre-Stuxnet-dagar. Uppgifter om dussintals SCADA- och ICS-sårbarheter har publicerats offentligt av säkerhetsforskare under de senaste två åren, ofta åtföljd av bevis-av-koncept utnyttjandekod.

"Vi kommer att se en ökning av utnyttjandet av de tillgängliga Internet-kontrollsystemenheterna som exploaterna blir automatiserade ", säger Dale Peterson, VD på Digital Bond, ett företag som specialiserar sig på ICS-säkerhetsforskning och bedömning via e-post.

Men de flesta av de tillgängliga tillgängliga kontrollsystemenheter är inte en del av det de flesta skulle överväga kritisk infrastruktur, sa han. "De representerar små kommunala system, byggnadsautomationssystem etc. De är mycket viktiga för det företag som äger och driver dem, men skulle inte påverka en stor befolkning eller ekonomi för det mesta."

Attackers som potentiellt kan vara intresserade I riktning mot sådana system ingår politiskt motiverade hackare som försöker göra ett uttalande, hacktivistiska grupper med intresse av att uppmärksamma deras orsak, brottslingar intresserade av utpressningsföretag eller till och med hackare gör det roligt eller bragging rättigheter.

Hackers hitta mål

Ett nyligen läckt FBI cyberalert dokument daterat den 23 juli visade att hackare tidigare i år fick obehörig tillgång till systemet för uppvärmning, ventilation och luftkonditionering (HVAC) som arbetar i kontorsbyggnaden i ett New Jersey-luftkonditioneringsföretag genom att utnyttja en säkerhetsdörr i bakdörren i kontrollen box ansluten till det - ett Niagara kontrollsystem tillverkat av Tridium. Det riktade bolaget installerade liknande system för banker och andra företag.

Brottet hände efter att information om sårbarheten i Niagara ICS-systemet delades online i januari av en hackare med moniker "@ntisec" (antisec). Operation AntiSec var en serie hackande attacker som inriktades på brottsbekämpande organ och statliga institutioner som orkesterades av hackare i samband med LulzSec, Anonym och andra hacktivistiska grupper.

"Ett 21-jan-2012-2012 skickade ett okänt ämne kommentarer på en känd amerikansk webbplats, med titeln "#US #SCADA #IDIOTS" och "#US #SCADA #IDIOTS part II", säger FBI i det läckta dokumentet.

"Det handlar inte om att attacker mot ICS är möjliga eller inte, för att de är "Ruben Santamarta, en säkerhetsforskare med säkerhetskonsultföretaget IOActive, som hittat sårbarheter i SCADA-system tidigare, sa via e-post. "När motivationen är stark nog kommer vi att möta stora incidenter. Den geopolitiska och sociala situationen hjälper inte så säkert, det är inte löjligt att anta att 2013 kommer att bli ett intressant år."

Målta attacker är inte det enda som berörs; SCADA malware är också. Vitaly Kamluk, chef för malwareexpert hos antivirusleverantör Kaspersky Lab, tror att det i framtiden kommer definitivt att finnas fler malware-inriktning på SCADA-system.

"Stuxnet-demonstrationen av hur utsatt ICS / SCADA öppnar ett helt nytt område för whitehat och blackhat forskare ", sa han via e-post. "Detta ämne kommer att finnas på topplistan för 2013."

Men vissa säkerhetsforskare tror att att skapa sådan skadlig kod fortfarande är bortom de genomsnittliga angriparnas förmågor.

"Skapa skadlig programvara som kommer att lyckas vid attack av en ICS är inte trivialt och kan kräva mycket insikt och planering, säger Thomas Kristensen, chefsäkerhetsansvarig vid sårbarhetsintelligens och förvaltningsföretag Secunia, via e-post. "Detta begränsar också betydligt antalet personer eller organisationer som kan dra av en sådan attack." "Vi är inte i tvivel om att vi ska se attacker mot ICS", Kristensen betonade. "De flesta av de distribuerade SCADA- och DCS-programmen [distribuerat styrsystem] och hårdvara utvecklades utan en säkerhetsutvecklingslivscykel (SDL) - tänka på Microsoft i slutet av 90-talet - så det är vanligt med vanliga programmeringsfel som leder till fel, sårbarheter och utnyttjar ", sade Peterson. "Med andra ord, PLCs och andra fältutrustning är osäkra av design och kräver inte en sårbarhet för att ta en kritisk process ner eller ändra det på ett ondskanligt sätt a la Stuxnet."

Petersons företag, Digital Bond, släppte flera verksamheter för sårbarheter som finns i många PLCs (programmerbara logiska kontroller) -SCADA-hårdvarukomponenter-från flera leverantörer som moduler för det populära Metasploit penetrationstestramverket, ett open source-verktyg som kan användas av praktiskt taget alla. Detta gjordes som en del av ett forskningsprojekt som kallades Project Basecamp, vars mål var att visa hur ömtåliga och osäkra många befintliga PLC är.

"Den enda begränsningen att hitta ett stort antal SCADA- och DCS-svagheter är att forskare får tillgång till utrustningen, Säger Peterson. "Mer försöker och lyckas så det kommer att bli en ökning av sårbarheter som kommer att avslöjas på vilket sätt forskaren anser det lämpligt."

Behöver fortfarande patchar

Santamarta gick överens om att det är lätt för forskare att hitta sårbarheter i SCADA-programvaran idag.

Det finns även en marknad för SCADA sårbarhetsinformation. ReVuln, ett Malta-baserat säkerhetsföretag som grundas av säkerhetsforskare Luigi Auriemma och Donato Ferrante, säljer information om programvara sårbarheter till myndigheter och andra privata köpare utan att rapportera dem till de drabbade leverantörerna. Över 40 procent av sårbarheterna i ReVulns portfölj är för närvarande SCADA.

Trenden verkar växa för både attacker och investeringar i SCADA-säkerhetsområdet, enligt Donato Ferrante. "Om vi ​​tror att flera stora företag på SCADA-marknaden investerar mycket pengar på att härda dessa infrastrukturer, betyder det att SCADA / ICS-ämnet är och kommer att förbli ett hett ämne under de kommande åren, säger Ferrante via e-post.

Att säkra SCADA-system är dock inte så enkelt att säkra regelbundna IT-infrastrukturer och datorsystem. Även när säkerhetspatchar för SCADA-produkter släpps av leverantörer kan ägare av sårbara system ta väldigt lång tid att distribuera dem.

Det finns väldigt få automatiska patch-implementeringslösningar för SCADA-system, sade Luigi Auriemma via e-post. För det mesta måste SCADA-administratörer manuellt tillämpa de korrekta patcharna, sa han. "

" Situationen är kritiskt dålig, "sa Kamluk. Huvudsyftet med SCADA-system är kontinuerlig drift, vilket normalt inte tillåter hot patching eller uppdatering - installation av patchar eller uppdateringar utan att omstart av systemet eller programmet. -

Dessutom måste SCADA-säkerhetsfläckar testas noga innan de distribueras i produktionsmiljöer, eftersom eventuellt oväntat beteende skulle kunna få stor inverkan på operationerna.

"Även i de fall där det finns en korrigeringsfil för en sårbarhet, kommer vi att hitta sårbara system under lång tid", sa Santamarta.

De flesta SCADA-säkerhetsexperter vill att industriella kontrollanordningar som PLC ska omstruktureras med säkerhet i åtanke.

"Det behövs PLC med grundläggande säkerhetsåtgärder och en plan för att distribuera dessa i den mest kritiska infrastrukturen under de närmaste tre till tre år, säger Peterson. "Det ideala scenariot är där industriella enheter är säkra genom design, men vi måste vara realistiska, det kommer att ta tid," sa Santamarta. "Industrisektorn är en värld från varandra, vi borde inte strikt se på det genom vårt IT-perspektiv. Det är sagt att alla inser att något måste göras, inklusive industriländarna."

I avsaknad av säker-vid- design enheter, bör ICS ägare ta ett försvar-djupgående tillvägagångssätt för att säkra dessa system, sa Santamarta. "Med tanke på att det finns industriella protokoll där ute som är osäkra som standard, är det meningsfullt att lägga till begränsningar och olika skyddslag."

"Koppla bort ICS från internet, sätt det i ett isolerat nätverkssegment och strikt begränsa / granska tillgång till det ", säger Kamluk." Ägare av kritisk infrastruktur bör inse att separata nätverk, eller åtminstone separata referenser krävs för att få tillgång till kritisk infrastruktur ", säger Kristensen. "Ingen sane och säkerhetsmedveten administratör skulle logga in på något av hans system med administrativa uppgifter och inom samma session komma åt det fientliga Internetet och läsa e-postmeddelanden. Detta bör också gälla ICS, använd en uppsättning referenser för att komma åt ICS-sessionen och kanske få tillgång till din Internet-anslutningssession med hjälp av en virtuell och / eller fjärrskrivbordsinstallation. "

Förordning debatterad

Behovet av statlig reglering som skulle tvinga operatörerna av kritisk infrastruktur för att säkra sina industriella kontrollsystem har varit ett diskutabelt ämne och många SCADA-säkerhetsexperter är överens om att det kan vara en bra utgångspunkt. Men lite framsteg har gjorts hittills mot detta mål.

"Den mest ambitiösa regeringsförordningen, NERC CIP för den nordamerikanska elsektorn, har varit ett misslyckande", säger Peterson. "De flesta vill ha framgångsrik regeringlig reglering men kan inte identifiera vad det här skulle vara." "Jag skulle bara vilja att regeringen är ärlig och säger högt att dessa system är osäkra av design och organisationer som driver den kritiska infrastrukturen SCADA och DCS borde ha en plan att uppgradera eller ersätta dessa system under de kommande tre till tre åren, säger han.

Regeringsreglering skulle vara mycket hjälpsam, sa Kamluk. Vissa SCADA-leverantörer offrar säkerhet för utvecklingskostnadsbesparingar utan att ta hänsyn till riskerna med sådana beslut och deras potentiella inverkan på människoliv, säger han.

Tidigare i år avslöjade Kaspersky Lab planer på att utveckla ett operativsystem som skulle ge en säker-för- designmiljö för drift av SCADA och andra ICS-system. Tanken bakom operativsystemet är att garantera att ingen oförklarlig funktionalitet kommer att kunna köra på den, vilket skulle förhindra att angripare utför skadlig kod genom att utnyttja oöverträffade sårbarheter.

Även om detta låter som ett intressant projekt, återstår det att se hur SCADA-samhället och industrisektorn kommer att reagera på det, sade Santamarta.

"Det finns inte tillräckligt med detaljer om det nya operativsystemet för att utvärdera dess funktioner, säger Ferrante. "För att göra det måste vi vänta på en officiell release. Hur som helst är det största problemet när vi antar ett nytt operativsystem att den måste kunna köra befintliga SCADA-system utan att behöva skriva om deras kod."