Недавно ReVuln, итальянская компания, занимающаяся проблемами безопасности промышленных ИТ-систем показала видео, в котором продемонстрировала найденные так называемые уязвимости нулевого дня в работе ПО, которое управляет промышленным оборудованием таких производителей, как Siemens, GE, Schneider Electric, Kaskad, Rockwell Automation и Eaton.
Как сообщает интернет-ресурс Threatpost, специалисты другой исследовательской компании — Exodus Intelligence — косвенно подтверждают выводы итальянских экспертов, утверждая, что уязвимости в промышленных комплексах для управления оборудованием продолжают оставаться одним из самых слабых звеньев промышленных систем. Ими было найдено более двух десятков новых уязвимостей в применяемых на сегодняшний день SCADA-системах разных производителей. Эксперты не раскрывают информации о найденных уязвимостях, поскольку производителями они еще не устранены.
К слову, ReVuln также не предоставила данных о выявленных уязвимостях, сказав, что сейчас эти данные проходят экспертизу. Сама компания ReVuln продает информацию о выявленных уязвимостях своим клиентам по подписке. Она объясняет это тем, что продажа информации об уязвимостях в SCADA-системах является общепринятой практикой на рынке промышленных систем управления, поэтому не является чем-то удивительным для исследовательского сообщества и производителей ПО.
Другого мнения на этот счет придерживаются независимые эксперты, считающие практику продажи информации об уязвимостях порочной. К примеру, в адрес французской компании Vupen уже раздавались обвинения в том, что она продает информацию об уязвимостях правительственным органам и НАТО, вместо того, чтобы передавать данные производителям софта.
Аарон Портной, вице-президент Exodus, говорит, что уязвимости в SCADA-системах представляют серьезную угрозу для управления критически важными областями, такими как производственные объекты или промышленные комплексы.
Exodus не раскрывает никаких подробностей касательно методики обнаружения уязвимостей, но уточняет, что выявила семь уязвимостей, допускающих выполнение кода с удаленных узлов, и еще 14, приводящих к DoS-атакам на SCADA. Некоторые из уязвимостей допускают возможность загрузки, закачки и удаления целевых файлов из уязвимых систем. “Можно сказать, что самым удивительным при выявлении “слабых мест” в системах было то, что обнаружить их оказалось удивительно просто. Первая уязвимость нулевого дня была обнаружена через семь минут анализа. Для тех, кто много занимается аудитом SCADA-систем, очевидно, что выявить здесь проблемы в разы проще, чем в обычном ПО корпоративного уровня”, — говорит Портной.
Он также добавляет, что сейчас в мире SCADA-продуктов сложилась парадоксальная ситуация, когда получить само программное обеспечение сложнее, чем найти в нем уязвимости. “Для того, чтобы заполучить эти программы, пришлось приложить немалые усилия. Некоторые программы имеют триальные версии, другие пришлось разыскивать по FTP-архивам, третьи доставать через другие каналы. Я постарался раздобыть самые последние версии продуктов”, — рассказывает он.
Приоткрывая детали бизнеса по выявлению критических уязвимостей в промышленных ИТ-системах и последующих действий, предпринимаемых компаниями, подобными Exodus, Портной говорит, что как и ReVuln, его компания продает данные об уязвимостях по подписке, но сам сервис Exodus ориентирован на компании, желающие защититься от потенциальных атак, так как одновременно с выявлением проблемы данные о ней передаются производителю. “Все наши клиенты подписывают соглашения о неразглашении получаемой информации, чтобы быть уверенным в том, что опасные сведения остаются у ограниченного круга получателей”, — говорит Портной. Еще одной компанией, занятой в области поиска “слабых мест” в промышленных системах, является компания Secunia, причем ее требования по неразглашению еще жестче.
Эксперты по безопасности придерживаются единодушного мнения, что софт для SCADA-систем использует устаревшие методики защиты и не обеспечивает должной безопасности в целом. Технический специалист компании IOActive Рубен Сантамарта полагает, что не лучше ситуация и на рынке систем промышленного контроля (ICS): “Единственное, что спасает промышленные системы от краха, — политика конфиденциальности и неразглашения, по условиям которых и работает этот рынок”, — говорит эксперт.
Портной полагает, что безопасность SCADA-систем можно существенно повысить: “Многим, если не всем производителям промышленного ПО, следует передавать код новых версий своих решений на независимый аудит перед тем, как предлагать его своим клиентам. Особенно это актуально тогда, когда речь идет о продуктах, которые интересуют хакеров все больше, таких как системы управления транспортом, водоснабжением, подачей электроэнергии и др.”, — говорит Портной.
Эксперты по безопасности ISC- и SCADA-систем предполагают, что в 2013 г. интерес к промышленным инфраструктурам со стороны хакеров будет только возрастать: “На данном этапе мы наблюдаем взрывной интерес к подключенным к Сети системам промышленного контроля, здесь регулярно появляются многие новые методы атак и получения информации”, — полагает Дейл Петерсон, генеральный директор компании Digital Bond, специализирующейся на безопасности ICS-систем.
Петерсон считает, что онлайновые ICS-системы пока не относятся к критически важным объектам, так как под их управлением находятся сравнительно небольшие объекты, но многие промышленные производители уже готовят новое поколение “больших” SCADA-систем, имеющих выходы в Сеть. Эксперт делает прогноз, что если безопасность SCADA-систем останется на нынешнем уровне, то это может грозить серьезными проблемами.
В октябре Евгений Касперский заявил, что его компания разрабатывает защищенную операционную систему, предназначенную для критически важных промышленных информационных систем. Касперский не стал конкретизировать детали ОС по причине сотрудничества с потенциальными заказчиками, но сообщил, что она нацелена на защиту ключевой информации, используемой в промышленной инфраструктуре, включая атомные электростанции, системы управления транспортом, телекоммуникационные системы и другие критически важные объекты, и не предназначена для того, чтобы “играть в Half-Life, редактировать видео или общаться в социальных сетях”.