Car-tech

Prepare-se para mais ataques a sistemas industriais em 2013

Lula Project - Fernando Merces - H2HC 2013

Lula Project - Fernando Merces - H2HC 2013

Índice:

Anonim

Sistemas de controle são compostas de software de supervisão executado em estações de trabalho ou servidores dedicados e dispositivos de hardware programáveis ​​semelhantes a computadores que estão conectados e controlam processos eletromecânicos. Esses sistemas são usados ​​para monitorar e controlar uma variedade de operações em instalações industriais, instalações militares, redes elétricas, sistemas de distribuição de água e até prédios públicos e privados.

Alguns são usados ​​em infraestruturas críticas - os sistemas dos quais grandes populações dependem eletricidade, água limpa, transporte, etc-tão sua sabotagem potencial poderia ter consequências de longo alcance. Outros, no entanto, são relevantes apenas para os negócios de seus proprietários e seu mau funcionamento não teria um impacto generalizado.

[Leitura adicional: Como remover malware do seu PC Windows]

Malware expõe falhas

A segurança do SCADA (controle de supervisão e aquisição de dados) e outros tipos de sistemas de controle industrial tem sido um tópico muito debatido no setor de segurança de TI desde que o malware Stuxnet foi descoberto em 2010.

O Stuxnet foi o primeiro malware conhecido a especificamente atacar e infectar o SCADA e foi usado com sucesso para danificar centrífugas de enriquecimento de urânio na usina nuclear do Irã em Natanz.

O Stuxnet era uma sofisticada ciberespionagem que se acredita ter sido desenvolvida por Estados-nação e Israel com acesso a desenvolvedores qualificados, fundos ilimitados e informações detalhadas

Atacar sistemas críticos de controle de infraestrutura requer planejamento sério, coleta de inteligência e uso de métodos alternativos de acesso. O ds-Stuxnet foi projetado para se espalhar através de dispositivos USB porque os sistemas de computadores Natanz foram isolados da Internet, exploraram vulnerabilidades até então desconhecidas e direcionaram configurações SCADA muito específicas encontradas apenas no site. No entanto, os sistemas de controle que não fazem parte da infraestrutura crítica estão se tornando cada vez mais fáceis de atacar por invasores menos qualificados.

Isso ocorre porque muitos desses sistemas estão conectados à Internet para a conveniência da administração remota e porque informações sobre vulnerabilidades no ICS software, dispositivos e protocolos de comunicação são mais facilmente acessíveis do que nos dias anteriores ao Stuxnet. Detalhes sobre dúzias de vulnerabilidades SCADA e ICS foram divulgados publicamente por pesquisadores de segurança durante os últimos dois anos, muitas vezes acompanhados por código de exploração de prova de conceito.

"Veremos um aumento na exploração dos dispositivos do sistema de controle acessível pela Internet. como as façanhas são automatizadas ", disse Dale Peterson, diretor executivo da Digital Bond, empresa especializada em pesquisa e avaliação de segurança da ICS, via e-mail.

No entanto, a maioria dos dispositivos do sistema de controle acessível pela Internet não faz parte do que a maioria das pessoas consideraria a infra-estrutura crítica, disse ele. "Eles representam pequenos sistemas municipais, sistemas de automação predial, etc. Eles são muito importantes para a empresa que os possui e administra, mas não afetam grande parte da população ou da economia."

Agressores que poderiam estar interessados em atacar esses sistemas incluem hackers politicamente motivados que tentam fazer uma declaração, grupos hacktivistas com interesse em chamar a atenção para sua causa, criminosos interessados ​​em chantagear empresas ou até mesmo hackers fazendo isso divertido ou se gabando.

Hackers encontram alvos

Um documento cibernético do FBI divulgado recentemente revelou que no início do ano hackers conseguiram acesso não autorizado ao sistema de aquecimento, ventilação e ar condicionado (HVAC) que opera no prédio de escritórios de uma empresa de ar condicionado de Nova Jersey, explorando uma vulnerabilidade no controle. caixa conectada a ele - um sistema de controle Niagara feito pela Tridium. A empresa-alvo instalou sistemas semelhantes para bancos e outros negócios.

A violação aconteceu depois que informações sobre a vulnerabilidade no sistema Niagara ICS foram compartilhadas on-line em janeiro por um hacker usando o apelido "@ntisec" (antisec). A Operação AntiSec foi uma série de ataques de hacking direcionados a agências policiais e instituições governamentais orquestradas por hackers associados ao LulzSec, Anonymous e outros grupos hacktivistas.

"Em 21 e 23 de janeiro de 2012, um assunto desconhecido postou comentários em um conhecido site americano, intitulado '#US #SCADA #IDIOTS' e '#US #SCADA #IDIOTS parte II', "disse o FBI no documento que vazou.

" Não é uma questão de saber se os ataques contra o ICS são viáveis ​​ou não porque eles Ruben Santamarta, um pesquisador de segurança da empresa de consultoria de segurança IOActive, que descobriu vulnerabilidades em sistemas SCADA no passado, disse por e-mail. "Uma vez que a motivação é forte o suficiente, enfrentaremos grandes incidentes. A situação geopolítica e social não ajuda tão certamente, não é ridículo supor que 2013 será um ano interessante."

Os ataques direcionados não são a única preocupação; O malware SCADA também é. Vitaly Kamluk, principal especialista em malware do fornecedor de antivírus Kaspersky Lab, acredita que definitivamente haverá mais malware direcionando sistemas SCADA no futuro.

"A demonstração do Stuxnet de como vulneráveis ​​ICS / SCADA são abertas uma área completamente nova para whitehat e blackhat pesquisadores ", disse ele por e-mail. "Este tópico estará na lista de topo para 2013."

No entanto, alguns pesquisadores de segurança acreditam que a criação desse malware ainda está além das habilidades dos invasores comuns.

"Criando malware que terá sucesso em atacar um ICS não é trivial e pode exigir muito insight e planejamento ", disse Thomas Kristensen, diretor de segurança da empresa de inteligência e gerenciamento de vulnerabilidades Secunia, por e-mail. "Isso também limita significativamente a quantidade de pessoas ou organizações que são capazes de realizar tal ataque."

"Não estamos em dúvida, porém, que veremos ataques contra o ICS", disse Kristensen.

"A maioria Os aplicativos e hardware implantados SCADA e DCS [sistema de controle distribuído] e hardware foram desenvolvidos sem um Security Development Lifecycle (SDL) - pense na Microsoft no final dos anos 90 - por isso está repleto de erros de programação comuns que levam a bugs, vulnerabilidades e explorações ", disse Peterson. "Dito isto, os PLCs e outros dispositivos de campo são inseguros e não exigem uma vulnerabilidade para derrubar um processo crítico ou alterá-lo de maneira maliciosa à la Stuxnet."

A empresa de Peterson, Digital Bond, lançou várias explorações para vulnerabilidades encontradas em muitos CLPs (controladores lógicos programáveis) - componentes de hardware SCADA - de vários fornecedores como módulos para a popular estrutura de testes de penetração Metasploit, uma ferramenta de código aberto que pode ser usada por praticamente qualquer pessoa. Isso foi feito como parte de um projeto de pesquisa chamado Project Basecamp, cujo objetivo era mostrar como são frágeis e inseguros muitos PLCs existentes.

"A única restrição para encontrar um grande número de vulnerabilidades SCADA e DCS é o acesso dos pesquisadores ao equipamento. ", Disse Peterson. "Mais estão tentando e obtendo sucesso, então haverá um aumento de vulnerabilidades que serão divulgadas de qualquer maneira que o pesquisador julgar apropriado."

Ainda precisa de patches

Santamarta concordou que é fácil para os pesquisadores encontrarem vulnerabilidades no software SCADA hoje

Existe até um mercado para informações de vulnerabilidade do SCADA. A ReVuln, empresa iniciante de segurança sediada em Malta fundada pelos pesquisadores de segurança Luigi Auriemma e Donato Ferrante, vende informações sobre vulnerabilidades de software para agências governamentais e outros compradores privados sem relatá-las aos fornecedores afetados. Mais de 40% das vulnerabilidades no portfólio da ReVuln no momento são do SCADA.

A tendência parece estar crescendo tanto para ataques quanto para investimentos no campo de segurança do SCADA, segundo Donato Ferrante. "Na verdade, se pensarmos que várias grandes empresas no mercado SCADA estão investindo muito dinheiro no fortalecimento dessas infraestruturas, isso significa que o tópico SCADA / ICS é e continuará sendo um tema quente para os próximos anos", disse Ferrante por e-mail.

No entanto, proteger sistemas SCADA não é tão simples quanto proteger infraestruturas de TI e sistemas de computadores comuns. Mesmo quando os patches de segurança para produtos SCADA são liberados pelos fornecedores, os proprietários de sistemas vulneráveis ​​podem levar muito tempo para implantá-los.

Existem muito poucas soluções automatizadas de implantação de patches para sistemas SCADA, disse Luigi Auriemma por e-mail. Na maioria das vezes, os administradores do SCADA precisam aplicar manualmente os patches apropriados, disse ele.

"A situação é criticamente ruim", disse Kamluk. O principal objetivo dos sistemas SCADA é a operação contínua, que normalmente não permite atualizações ou atualizações a quente - instalar patches ou atualizações sem reiniciar o sistema ou o programa - ele disse.

Além disso, os patches de segurança SCADA precisam ser exaustivamente testado antes de ser implantado em ambientes de produção porque qualquer comportamento inesperado poderia ter um impacto significativo nas operações.

"Mesmo nos casos em que existe uma correção para uma vulnerabilidade, encontraremos sistemas vulneráveis ​​por muito tempo", disse Santamarta.

A maioria dos especialistas em segurança do SCADA deseja que os dispositivos de controle industrial como PLCs sejam reprojetados levando-se em conta a segurança.

"O que é necessário é PLCs com medidas básicas de segurança e um plano para implantá-los na infraestrutura mais crítica nos próximos um a três anos ", disse Peterson.

" O cenário ideal é onde os dispositivos industriais são seguros pelo projeto, mas temos que ser realistas, isso levará tempo ", disse Santamarta. "O setor industrial é um mundo à parte. Não devemos olhar estritamente através de nossa perspectiva de TI. Dito isso, todos percebem que algo precisa ser feito, incluindo os fornecedores industriais."

Na ausência de segurança por dispositivos de design, os proprietários do ICS devem adotar uma abordagem de defesa profunda para proteger esses sistemas, disse Santamarta. "Considerando que existem protocolos industriais por aí que são inseguros por padrão, faz sentido adicionar mitigações e diferentes camadas de proteção."

"Desconecte o ICS da Internet, coloque-o em um segmento de rede isolado e limite estritamente / auditoria o acesso a ele ", disse Kamluk.

" Os proprietários de infraestruturas críticas devem perceber que redes separadas, ou pelo menos credenciais separadas, são necessárias para acessar infraestruturas críticas ", disse Kristensen. "Nenhum administrador sensível e com segurança entraria em seus sistemas usando credenciais administrativas e dentro dessa mesma sessão acessaria a Internet hostil e leria e-mails. Isso também deveria se aplicar ao ICS; use um conjunto de credenciais para acessar a sessão do ICS e talvez acesse sua sessão de conexão à Internet usando uma configuração de área de trabalho virtual e / ou remota. "

Regulamentação

A necessidade de regulamentação governamental que forçaria os operadores de infra-estrutura crítica a proteger seus sistemas de controle industrial tem sido um tópico bastante debatido Muitos especialistas em segurança do SCADA concordam que este poderia ser um bom ponto de partida. No entanto, pouco progresso foi feito até agora em direção a essa meta.

"A regulação governamental mais ambiciosa, NERC CIP para o setor elétrico norte-americano, tem sido um fracasso", disse Peterson. "A maioria gostaria de regulamentação governamental bem-sucedida, mas não consegue identificar o que seria."

"Gostaria apenas que o governo fosse honesto e declarasse em voz alta que esses sistemas são inseguros pelo design e pelas organizações que executam a infraestrutura crítica SCADA. e a DCS deve ter um plano para atualizar ou substituir esses sistemas nos próximos um a três anos ", disse ele.

A regulamentação do governo seria extremamente útil, disse Kamluk. Alguns fornecedores do SCADA sacrificam a segurança para reduzir os custos de desenvolvimento sem considerar os riscos de tais decisões e seu impacto potencial em vidas humanas, disse ele.

No início deste ano, a Kaspersky Lab revelou planos para desenvolver um sistema operacional que proporcionasse segurança. ambiente de projeto para operar o SCADA e outros sistemas ICS. A idéia por trás do sistema operacional é garantir que nenhuma funcionalidade não declarada possa ser executada, o que impediria que os invasores executassem códigos maliciosos explorando vulnerabilidades não corrigidas.

Embora isso pareça um projeto interessante, resta saber como a comunidade SCADA e o setor da indústria reagirão a ele, disse Santamarta.

"Não há detalhes suficientes sobre o novo sistema operacional para avaliar suas características", disse Ferrante.. "Para fazer isso, precisamos esperar por uma versão oficial. De qualquer forma, o principal problema ao adotar um novo sistema operacional é que ele precisa ser capaz de rodar sistemas SCADA existentes sem ter que reescrever seu código."