V praxi testování informační bezpečnosti IT infrastruktury energetického sektoru, potažmo celého průmyslu metodami tzv. etického hackingu se opakovaně objevuje několik mýtů o optimálním zabezpečení. Jedním z nejfrekventovanějších důvodů, pro které si provozovatelé průmyslových podniků domnívají, že jejich systémy jsou imunní vůči hackerským útokům, je oddělenost vnitřní sítě s řídícími systémy od veřejných sítí (internetu). Příspěvek vysvětluje blíže, v čem spočívá koncepce oddělenosti sítí, tzv. „AIR GAP“, jaký je význam tohoto bezpečnostního opatření a jaké druhy útoků mohou být úspěšně vykonány na takovou síť.
Samotný pojem „air gap“ nás odkazuje do minulosti a poměrů, které dnes již jednoduše neplatí. Pochází z dob, kdy jediná představa o připojení na internet byla založena na kabelovém připojení a bezdrátové sítě a vysílače ještě nebyly vyvinuty. „Vzdušná propast“ tedy představovala a pro mnohé dodnes ztělesňuje nejspolehlivější obranu před útokem na vnitřní síť. Air Gap tedy označuje bezpečnostní opatření, které chrání počítačovou síť před nezabezpečenými sítěmi fyzickou izolací. Tento druh zabezpečení se tradičně aplikuje v armádním prostředí, řídících a kontrolních centrech kritické infrastruktury, u lékařských nástrojů přímo ovlivňujících lidský život atd.
Celý koncept je tedy založen na velmi jednoduchém předpokladu, který se za splnění patřičných podmínek jeví jako nezpochybnitelný. Hlavní problém ovšem spočívá k konfrontaci s reálným provozem ve skutečném světě. Natolik komplexní systémy, jako je řídící průmyslová, resp. Energetická infrastruktura vždy obsahují celou řadu potenciálních vektorů útoku – ať už jde o zranitelnosti software, chyba lidského faktoru zodpovědného za fyzickou neproniknutelnost, nedostatky architektury celého řešení nebo nepřepokládané technické možnosti útočníka. A i poté, co se podaří všechny tyto faktory v přijatelné míře zabezpečit, stále zůstává hrozba útoku zevnitř. V následujícím pojednání proto představíme několik různých druhů útoku, které se podle našich zkušeností z penetračního testování průmyslových kontrolních systémů (Industrial Control Systems, neboli „ICS“) a související infrastruktury vyskytují v reálných instalacích na běžících systémech.
Každý útočník, který se zaměří na průnik do izolované sítě, řeší tři základní otázky:
Obecně platí, že pro průnik malware do izolované sítě je třeba fyzické přítomnosti v této síti. Ta může mít různé formy: zneužití dodavatele oběti, zneužití interního zaměstnance nebo infiltrace neoprávněného útočníka. Existují ovšem i situace, kdy zdánlivě oddělené sítě mohou být kompromitovány přímo z internetu.
Pro úspěšný útok je třeba získat mnoho informací o zacíleném systému (pokud se to nepodařilo v předchozí fázi útoku, např. kompromitací počítače, ze kterého je izolovaná síť obsluhována). Až na základě nich pak lze konfigurovat malware tak, aby v oddělené síti vykonal zamýšlené procesy. K tomu je v některých situacích třeba zajistit opakovaný přístup do vnitřní sítě, tzv. „Air Gap Bridge“. Toto přemostění bývá realizováno prostřednictvím další zařízení, které se připojuje do napadené i jiných interních sítí (např. notebook nebo mobilní telefon servisního technika, datové nosiče apod.).
Málokterá síť může existovat bez výměny informací s vnějším světem, a to ať už kvůli patchingu systému, instalaci a údržbě software, získávání provozních dat a průběžným úpravám konfigurace, integrace nových komponent atd. To vše představuje potenciální hrozbu infekce, která může být vnesena na nosiči dat (instalační CD, paměťový disk, přenosné zařízení a jiné) nebo na předem kompromitovaném kusu hardware. Prvním krokem zde často bývá útok technikami sociálního inženýrství, neboli zneužití zranitelnosti lidského faktoru. Dostatečně trpělivý a důsledný útočník je schopen poznat návyky organizace a přizpůsobit útok vysledovanému chování, procesním opatřením a zabezpečovacím prvkům jako jsou bezpečností směrnice a různé prvky ochrany před fyzickým průnikem do chráněného objektu.
Pro to mají útočnici k dispozici obrovskou škálu nástrojů, ověřených postupů a rozmanitost lidských osobností, ale především neomezeně času a u některých druhů útočníků i prostředků na přípravu. Zajímavý případ se odehrál v létě 2016, kdy útočníci vydali aktualizaci software pro průmyslové řídící systémy od společnosti Rockwell, která se jevila jako plně legitimní výzva k aktualizaci, neboli instalaci infikované verze. Aktualizace obsahovala i ransomware – vyděračský malware – který se nerozšířil jen díky rychlé výměně informací s organizacemi, které sdružují ohrožené společnosti.
Jedním z útoků na air gap, který lze provést pouze prostřednictvím internetu, je zneužití architektonické zranitelností firmware, který se vyskytuje na globálně rozšířených zařízeních KVM (Keyboard/Video/Mouse) switch, neboli zařízeních, která umožňují ovládat různé počítače připojené do různých sítí pomocí jedné sady monitoru, klávesnice a myši. Robustní systémy, jakými ICS jsou, často obsahují mnohem více počítačů, než kolik je jejich správců. K usnadnění jejich práce se tak právě KVM zařízení obvykle využívají, a to i tehdy, pokud je část infrastruktury izolována (air-gapped) a část běžně připojena na internet. V důsledku existující zranitelnosti firmware, která umožňuje instalovat aktualizaci obsahující škodlivý kód (z kódu firmware lze vyčíst pravidelnost v označování legitimní aktualizace, kterou je zařízení ochotné instalovat). Takto infikovaný firmware pak lze proměnit v tzv. keylogger, neboli špehovací malware, který je schopen útočníkovi posílat např. veškeré aktivity na klávesnici (zejména tedy zadávání přihlašovacích údajů) a poskytnout tak cestu pro přímou instalaci malware uvnitř „izolované sítě“.
V roce 2014 byl představen malware s názvem AirHopper. Jeho schopností je exfiltrovat jakákoliv, tedy i mimořádně citlivá data a vytvořit tak přemostění (Air Gap Bridge) pro komunikaci s izolovanou sítí. Postačí k tomu jednorázově infikovat počítač připojený k vnitřní síti a mobilní telefon se zabudovaným FM radiem, který se v blízkosti tohoto počítače ocitá (až do vzdálenosti 7 metrů). Po nastavení command and control (C&C) kanálu s infikovaným mobilním zařízením je pak možné ovlivnit strukturu radiových vln tvořených grafickou kartou na infikovaném počítači, která jako vedlejší produkt své aktivity tyto vlny vytváří, a přenášet do nich informace přenášené na obrazovku. Tyto informace následně dekóduje v blízkosti umístěný mobilní telefon a po připojení na internet je zasílá útočníkovi (popř. lze využít i SMS).
Tato hrozba nabývá aktuálnosti s rostoucím trendem vnášení vlastních zařízení do objektů, kde je izolovaná infrastruktura umístěna. Jakkoliv se zdá být komplikovaná, tak v kategorii tzv. „Advanced Persistent Threats“ neboli dlouhotrvajících cílených útoků řízených člověkem a kombinujících různé vysoce sofistikované techniky jde o komplexitu, která se již u popsaných útoků opakovaně objevila.
Dalším postupem, který umožňuje překonat izolaci sítě díky radiovému signálu je kryptoanalýza implementací široce rozšířeného šifrování RSA šifrovacího algoritmu ElGamal pomocí radiového záření, které vydávají běžné notebooky při generování šifrovacích klíčů. Měřením rozsahu radiového záření se podařilo výzkumníkům telavivské univerzity extrahovat dešifrovací klíče, a to pouze za pomoci běžně dostupných radiových přijímačů.
Ačkoliv se radiové záření počítače uvnitř izolované sítě jeví na první pohled jako projev nesouvisející s otázkami bezpečnosti, uvedené příklady ukazují, že se jedná o další možný vektor průniku, se kterým je třeba počítat při zabezpečování sítí. V armádní sféře je ochrana aktivních komponent před externalizací jejich záření standardně vyžadovaným opatřením, ovšem do oblasti průmyslu zatím tato opatření v širší míře nepronikla, ačkoliv rizika jsou obdobná.
Popsané metody jsou pouze výběrem z různých postupů a nástrojů, které mají útočníci k dispozici. Jsou jen malou podmnožinou celého vesmíru možností, které je možné použít. Vývojem moderních hackerských technik se přirozeně zabývají i vládní týmy po celém světě. Proto v této oblasti vzniká obrovská asymetrie. Pod zámkem a v utajení dřímají nejmodernější útočné programy a strategie, které mají silnou šanci proniknout i do organizací s nejmodernějšími bezpečnostními prvky. Na druhé straně se brání organizace, jejichž informační bezpečnost je v podobném stavu jako byla před dvaceti lety. Na papíře vypadá na první pohled dokonale. Ve skutečném světě na vyřazení systému z provozu stačí jeden správný telefonát se zfalšovaným číslem volajícího (skutečně odhalená zranitelnost).
Bez celostního přístupu k otázkám bezpečnosti řídících a kontrolních systémů se tedy nadále nelze obejít. Spoléhání na mýtus o izolované síti je odbornou veřejností už odmítnuto a je tedy třeba hledat řešení adekvátní míře rizika, která z úspěšného zneužití těchto systémů vyplývá. Řešení spočívá ve vytvoření dokonalého přehledu o aktuálním stavu vlastní infrastruktury a jejích komponent. Tento první krok je nezbytný pro zhodnocení aktuálního stavu bezpečnosti, tzv. security assessment. Teprve na základě tohoto široce pojatého zhodnocení lze sestavit smysluplnou strategii pro postupnou eliminaci rizik. Ta nutně musí kombinovat opatření na rovině procesní bezpečnosti a její implementace u všech potenciálně zneužitelných zaměstnanců, prevenci průniku formou zjištění a opravy existujících zranitelností bezpečnostním auditem až po opatření na detekci a eliminaci škodlivých aktivit a systém pravidel pro minimální bezpečnostní vlastnosti jednotlivých komponent i systémovou integraci.
Pokud se organizaci podaří získat si celkový přehled o svých bezpečnostních nedostatcích a rizicích, existuje pak již mnoho cest, jak odpovídající míru bezpečnosti zajistit a izolace sítě od internetu je nepochybně účinným opatřením, jak širokou škálu útoků eliminovat. Na druhou stranu technologické požadavky modernizace již se vzdáleným řízením a monitoringem integrálně počítají a je tedy třeba věnovat zvýšenou pozornost připravenosti infrastruktury na tyto nové požadavky. Fenomén tzv. Industry 4.0, neboli plošné automatizace veškerých procesů, které to umožňují, působí na úrovni managementu společností očekávání radikálního zvýšení efektivity a tím i tlak na implementaci těchto nástrojů do vlastního provozu. Infrastruktura většiny průmyslových provozů, energetiku nevyjímaje, však na takovouto skokovou změnu není připravena.
Dohnat nedostatky po desetiletí zanedbané bezpečnosti je velká výzva a běh na dlouhou trať a je proto třeba začít s ní neprodleně. Je třeba udělat strategické rozhodnutí a začít analýzou a střízlivým plánem, který bude znamenat změny v dílčích promyšlených krocích.
Martin Leskovjan - Industrial Security Project Leader @ Citadelo
