3 февраля на конференции Kaspersky Security Analyst Summit в г. Канкум (Мексика) исследователи рассказали о тревожном состоянии безопасности систем SCADA (supervisory control and data acquisition). Эти решения широко используются в разных отраслях промышленности (например, в нефтяной), в электросетях, в системах водоснабжения и контроля зданий. По мнению исследователей, лежащая в их основе базовая модель безопасности совершенно не адекватна.
Отраслевой исследователь Терри Мак-Коркл рассказал участникам конференции о двух исследователях, попробовавших найти 100 ошибок за 100 дней в промышленном управляющем ПО. Спустя небольшое время они поняли, что значение проблемы недооценивается. “В итоге мы обнаружили, что состояние безопасности ICS [Industrial Control System] заслуживает всяческих насмешек”, — сказал он.
Мак-Коркл и его партнер по проекту Билли Райос использовали fuzz-техники и нашли более тысячи ошибок в программном обеспечении ICS. Причём ошибки эти были “родом из 90-х” и большей частью вопиюще очевидными. Для многих людей, с которыми общались исследователи, применение fuzz-тестов с целью поиска уязвимостей в ICS оказалось сюрпризом.
Самыми распространенными были проблемы с форматами файлов, затем с ActiveX. Кроме того, они нашли несколько SQL-уязвимостей и множество проблем вида “переполнение буфера”. Были найдены примеры того, как ICS-программы используют VBScript для запуска командного процессора и других приложений, а также примеры доступа веб-сайтов к реестру Windows. Они сообщили производителям о 1035 ошибках, приводящих к краху систем и о 95 легко используемых уязвимостях (включая те, которые можно использовать с помощью кросс-сайтовых скриптов). Мак-Коркл уверен в том, что среди 1035 ошибок можно найти подходящие для реализации взлома.
Хотя Мак-Коркл и его команда передали производителям информацию об уязвимостях, исправить их весьма проблематично. Даже если производитель захочет сделать это, под вопросом остается способ извещения администраторов, доставки и установки исправлений.
Многие системы, доступные через Интернет, изначально проектировались без учета подключения к сетям. Некоторые из них имеют веб-сервисы и мобильные интерфейсы, что облегчает удаленное подключение. Выявлено немало SCADA-систем, которые доступны онлайн со слабыми паролями типа “100”, сообщил Мак-Коркл.
Когда разрабатывались программируемые контроллеры, безопасность не была приоритетом. Тиффани Ред, профессор информатики из университета Южного Мэна, инженер Джон Штраукс и специалист по тестам на проникновение Тиг Ньюман в своей презентации по уязвимостям SCADA-систем в исправительных учреждениях пришли к общему выводу. “Метод “безопасность на основе незнания” более не работает для SCADA”, — констатировала Ред.
Ред и ее команда обнаружили в Интернете управляющие системы, администраторы которых не знали, что они подключены к Интернету. “Наивна вера в то, что программируемые контроллеры неуязвимы без подключения к Интернету”, — сказал Штраукс.
Мак-Коркл ссылается на работу другого исследователя, который обнаружил в Сети более 10 000 промышленных управляющих систем, в том числе водоочистные системы. Хотя некоторые из них могли быть тестовыми, другие-то определенно эксплуатировались на производственных площадках. Согласно исследованию, только 17% систем запросили авторизацию удаленного соединения. “Люди стремятся быть захваченными. Последствия такого положения будут весьма болезненными”, — заключил Мак-Коркл.
Эксперты по безопасности критикуют производителей SCADA за весьма неспешное устранение проблем. На недавней конференции S4 в Майами команда из шести экспертов оценила шесть программируемых контроллеров, широко используемых в промышленности. Исследователи сообщили, что у одной из протестированных систем (General Electric D20ME) обнаружено множество дистанционно доступных уязвимостей, несколько “запасных” административных учетных записей и отсутствие контроля защиты. Судя по реакции компании, устранение проблем маловероятно.
Эта же команда сотрудничает с Rapid7 и Tenable Network Security в производстве модулей для инструментов поиска уязвимостей Metasploit и Nessus. Организации могут применять эти инструменты для поиска известных уязвимостей в производственных средах. Модуль тестирования D20 (PLC разработки General Electric) уже доступен, модули для контроллеров Rockwell Automation, Schneider Motion и Koyo/Direct LOGIC ожидаются позже.