Компьютерная угроза для промышленных систем теперь более серьезная

Исследователь безопасности опубликовал код, который можно было бы использовать для управления компьютерами, используемыми для управления промышленным оборудованием, потенциально предоставляя хакерам заднюю дверь в коммунальные компании, водоводы и даже нефтегазовые нефтеперерабатывающие заводы.

Программное обеспечение было опубликовано поздно вечером в пятницу Кевин Финистерре, исследователь, который сказал, что хочет повысить осведомленность об уязвимостях в этих системах, проблемы, которые, по его словам, часто преувеличиваются поставщиками программного обеспечения. «Эти поставщики не несут ответственности за программное обеспечение, которое они производят», - сказал Финистерре, который является руководителем исследования в компании по тестированию безопасности Netragard. «Они сообщают своим клиентам, что нет проблем, между тем это программное обеспечение использует критическую инфраструктуру».

Финистерре выпустил свой код атаки в качестве программного модуля для Metasploit, широко используемого инструмента взлома. Интегрируя его с Metasploit, Финистерре сделал его код намного проще в использовании, сказали эксперты по безопасности. «Интеграция эксплойта с Metasploit дает широкому спектру людей доступ к атаке», - сказал Сет Бромбергер, менеджер по информационной безопасности в PG & E. «Теперь все, что требуется, - это загрузить Metasploit, и вы можете запустить атаку».

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с Windows]

В коде используется недостаток программного обеспечения CitectCitectSCADA, который был первоначально обнаружен Core Технологии безопасности и обнародованы в июне. Citect выпустил патч для ошибки, когда он был впервые раскрыт, и поставщик программного обеспечения сказал, что проблема представляет риск только для компаний, которые подключают свои системы непосредственно к Интернету без защиты брандмауэра, что никогда не будет сделано намеренно. Потребитель должен также включить конкретную функцию базы данных в продукте CitectSCADA для атаки, чтобы она работала.

Эти типы промышленных продуктов управления процессом SCADA (контроля и управления данными) традиционно трудно получить и проанализировать, трудно для хакеров исследовать их для ошибок безопасности, но в последние годы все больше и больше систем SCADA были построены на основе известных операционных систем, таких как Windows или Linux, что делает их дешевле и проще взломать.

Эксперты в области ИТ-безопасности используемые для паттинга систем быстро и часто, но промышленные компьютерные системы не похожи на ПК. Поскольку простои с установкой для воды или системой электропитания могут привести к катастрофе, инженеры могут неохотно делать изменения программного обеспечения или даже отключать компьютеры для исправления.

Это различие привело к разногласиям между ИТ-специалистами, такими как Финистерре, который см. уязвимости безопасности, которые преуменьшаются, и отраслевые инженеры, которым поручено поддерживать эти системы. «У нас сейчас немного похоже на культурное столкновение между инженерами по управлению технологическими процессами и ИТ-специалистами», - сказал Боб Радвановский, независимый исследователь, который запускает онлайн-дискуссию по безопасности SCADA, в которой наблюдаются некоторые горячие дискуссии по этому вопросу тема.

Citect сказал, что он не слышал о каких-либо клиентах, которые были взломаны из-за этого недостатка. Но в ближайшее время компания планирует выпустить новую версию CitectSCADA с новыми функциями безопасности в заявлении (pdf), выпущенном во вторник.

Этот выпуск скоро не придет, поскольку Finisterre считает, что есть и другие аналогичные кодировки ошибки в программном обеспечении CitectSCADA.

И хотя системы SCADA могут быть отделены от других компьютерных сетей внутри установок, они все равно могут быть нарушены. Например, в начале 2003 года подрядчик, по сообщениям, заразил ядерную электростанцию ​​Дэвиса-Бессе червяком SQL Slammer.

«Многие люди, которые управляют этими системами, считают, что они не связаны теми же правилами, что и традиционные ИТ, - сказал Финистерре. «Их индустрия не очень хорошо разбирается в хакерах и хакерах вообще».