industry-security

Kritický stav bezpečnosti priemyselných kontrolných systémov

“Konečne začíname riešiť problém, ktorý máme už roky.” Do takto lakonickej vety by sa dal zhrnúť záver prvej konferencie zameranej na bezpečnosť priemyselných kontrolných systémov (ICS, častejšie známe ako SCADA) SCADAconf, ktorá sa konala 6. októbra 2015 vo Vigľáši neďaleko Zvolena. Prvá konferencia svojho druhu na Slovensku aj v Čechách spojila prevádzkovateľov technológií, ktoré využívajú ICS a poskytovateľov bezpečnostných služieb a riešení v tejto oblasti. Vedľa energetikov, prevádzkovateľov distribučných sústav a výrobcov sa prezentovali aj spoločnosti pripravujúce bezpečnostné riešenia (usporiadateľská spoločnosť Fortinet vyvíja hardvér s vysokým bezpečnostným štandardom) a etickí hackeri z Citadelo, ktorí sa v poslednej dobe intenzívne zamerali na túto novú výzvu, tj. pochopiť ICS v ich komplexnosti a následne byť schopní ich testovať na zraniteľnosti, ktoré by potenciálnemu útočníkovi umožnili ovládnutie systému.

Otázka bezpečnosti týchto systémov sa stala značne aktuálnou obzvlášť po obrovskom zásahu do mimoriadne citlivej oblasti jadrového vývoja v roku 2010. Vírus Stuxnet napadol vedľa ďalších najmä iránske výskumné centrá a zničil celú pätinu tamojších jadrových centrifúg. Celý útok mieril primárne na tzv. Pragrammable Logic Controler (PLC), čo sú koncové kontrolery, ktoré priamo komunikujú a riadia samotný proces alebo úlohu. Akákoľvek kompromitácia, ktorá je schopná ovplyvniť chod PLC je obrovským rizikom, ktoré fakticky znamená, že útočník – hacker – je schopný nahradiť riadenie danej prevádzky svojimi vlastnými príkazmi. Napriek tomu, že sa antivírusy a nástroje pre analýzu a detekciu hrozieb rýchlo zdokonaľujú, kybernetická mafia je v predstihu a ponúka svojim klientom útočné nástroje založená na tzv. zero-day vulnerabilities, tzn. doposiaľ neznámych zraniteľnostiach a exploitoch, ktoré ich dokážu využiť pre úspešný prienik. Je viac ako naivné domnievať sa, že by oblasť ICS zostala mimo pozornosti. Naopak, na hackerských fórach môžeme zaznamenať ďalší vývoj nástrojov obdobných Stuxnetu a môžeme len hádať, ako ďaleko už vývoj dospel.

Pri prvkoch kritickej infraštruktúry by človek očakával vysoký štandard bezpečnosti vo všetkých jej smeroch. Realita však značne pokrivkáva a je treba spoločne hľadať cesty k efektívnemu zabezpečeniu kritických systémov. Trend poslednej doby je totiž taký, že vývojári ICS kladú dôraz na pohodlnejšie a funkčnejšie riešenie, založené na vzdialených prístupoch a kontrole mimo samotnej prevádzky, často prostredníctvom internetu alebo firemných sietí.

V minulosti bolo štandardom, že kritické systémy zostávali izolované v uzavretých okruhoch, čo významne znižovalo riziká prieniku. Čo však v minulosti bolo bežné, je dnes skôr vzácnym úkazom. V kombinácii s často veľmi zastaranou architektúrou a predpotopnými komunikačnými protokolmi kontrolerov sa tak jedná o aktuálnu a v súvislosti s globálnou politickou situáciou aj vysoko zásadnú bezpečnostnú hrozbu. Stačí si uvedomiť aspoň príkladný zoznam oblastí, kde sa kontrolné systémy bežne využívajú pri riadení základných procesov: výroba elektrickej energie (vrátane jadrovej energetiky), prevádzka distribučných sietí, dopravná infraštruktúra, ťažba a distribúcia nerastných surovín, telekomunikácie, výroba v oblasti ťažkého aj ľahkého priemyslu a mnoho ďalších. Ako vám je pri predstave, že niekto ovláda závoru vodnej priehrady zo svojho tabletu a komunikuje cez nešifrované spojenie?

Ako na konferencii zaznelo, je ťažko predstaviteľné, že by sa trend prepojovania ICS s verejne prístupnými sieťami začal radikálne obracať, takže je teraz na nás – profesionáloch IT security – zabezpečiť v maximálnej možnej miere všetky vstupy do systémov, ktorými by ich mohol kompromitovať nezvaný hosť. Citadelo začalo na rastúci dopyt po bezpečnostných auditoch ICS reagovať výskumom v tejto oblasti a vyčlenením niekoľkých špecialistov pre túto oblasť. Napĺňame tak našu dlhodobú víziu, tj. poskytovať služby vo všetkých otázkach informačnej bezpečnosti a robiť z internetu bezpečné miesto.

Martin Leskovjan

About the author

Citadelo
Citadelo je dom plný etických hackerov na vašej strane. Pomáhame otestovať ich informačnú bezpečnosť. Podrobte svoje IT prostredie výzve a odhaľte, do akej miery sú vaše citlivé dáta chránené.
Zobraziť viac od autora

Related posts

Citadelo Security Evening - jeseň 2017

Blog | | Citadelo
Hackerské tipy, odhalenie zraniteľnosti s medzinárodným dopadom a ako ukradnúť milióny. Nie, to nie sú názvy filmov, ale témy prednášok, ktoré odzneli na Citadelo Security Evening (CSE)
Zobraziť

WPA2 prelomená. Viete ako ochrániť svoje dáta?

Blog | | Citadelo
Bezpečnostný analytik Mathy Vanhoef zverejnil širokej verejnosti vážnu bezpečnostnú chybu vo WPA2 protokole. WPA2 protokol sa bežne používa na šifrovanie komunikácie pri použití Wi-Fi, jeho predchodcovia sú WPA a WEP.
Zobraziť

Odhalili sme zraniteľnosť CMS Made Simple

Blog | | Citadelo
CMS Made Simple je voľne dostupný, open source CMS. Pozreli sme sa bližšie na zraniteľnosť CMS Made Simple a o výsledok sme sa s vami podelili.
Zobraziť

Úspešne sme absolvovali certifikáciu OSCP

Blog | | Citadelo
OSCP je skúška, ktorá preverí teoretické aj praktické znalosti. Narozdiel od iných skúšok, OSCP a jej úspešné absolvovanie hovorí o určitej znalosti držitela certifikátu.
Zobraziť