Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Sztuka uniku

Sztuka uniku

Komputery osadzone sterują pracą infrastruktury o krytycznym znaczeniu. Ich silne zespolenie z urządzeniami, na przykład z automatyką przemysłową, powoduje, że zwykle nie można zabezpieczyć ich przed atakami standardowymi metodami, bo te zakłóciłyby pracę urządzenia. Administratorzy powinni stosować taktykę unikania zagrożenia.

Sztuka uniku

Wiele firm wykorzystuje urządzenia osadzone, które służą niekiedy do obsługi głównej gałęzi biznesowej. Oprócz zastosowań takich jak serwery wydruku lub niewielkie routery komputery osadzone można spotkać w automatyce przemysłowej, w telefonii i transmisji wideo. Są to urządzenia dostosowane do pełnienia konkretnej funkcji w firmie i producenci przez wiele lat dopracowali ich oprogramowanie. Cały nacisk kładziono na niezawodne wykonywanie wyznaczonych zadań, na czym musiało ucierpieć bezpieczeństwo rozwiązania. Niekiedy, zwłaszcza w automatyce przemysłowej, przyjmowano założenie, że bezpieczeństwo całego środowiska należy zapewnić innymi środkami, takimi jak separacja sieci.

Włamanie z routera

Bierz przykład z Bruce’a Lee

Pojęcie stylu walki bez walki pamiętają fani Bruce’a Lee. Legendarny mistrz karate tak określił swoją metodę walki w filmie "Wejście smoka". W trakcie podróży statkiem, dopytywany przez innego karatekę, na czym polega walka bez walki, przekonywał, że nie może tego pokazać na pokładzie, ale dopiero na pobliskiej wysepce, na którą trzeba płynąć łódką. Kiedy jego przeciwnik zszedł do łodzi, Lee odczepił cumę i zostawił go na morzu. Metoda unikania bezpośredniego zagrożenia sprawdza się nie tylko w sportach walki.

Urządzenia osadzone rzadko są pod dokładną kontrolą w firmowej sieci, gdyż nie można w nich zainstalować oprogramowania monitorującego lub uwierzytelniającego (agenta), a zatem nie daje się przeprowadzić uwierzytelnienia urządzenia do firmowej sieci. Jedyne, po czym rozpoznaje się takie urządzenie, to jego adres MAC, statycznie przydzielony adres IP oraz czasami charakterystyka ruchu i komunikacja po SNMP. Oznacza to, że można nie tylko przechwycić całą komunikację urządzenia, ale także użyć jego adresu IP oraz MAC do włamania. Wprowadzenie niedużego komputera (platforma Raspberry Pi się do tego świetnie nadaje) umożliwia sklonowanie adresu MAC oraz IP, przekierowanie całego ruchu do oryginalnego urządzenia i z powrotem, ale także rozpoczęcie ataków kierowanych przeciw firmowej sieci.

Metoda ta w wielu firmach pozostaje niezauważona, gdyż rzadko monitoruje się ruch np. na serwerach wydruku. W normalnych warunkach eksploatacji drukarki serwer wydruku nie powinien zestawiać innych połączeń niż do firmowego serwera plików i drukarek, korporacyjnych serwerów DNS i pocztowego w celu wysłania informacji o zdarzeniach alarmowych oraz ewentualnie do serwisu producenta, w celu sprawdzenia aktualizacji. Zazwyczaj jednak taki serwer wydruku przyjmuje jedynie połączenia przychodzące i wysyła raporty działania drukarki. Z kolei routery oprócz manipulacji ruchem przechodzącym przez urządzenie inicjują także połączenia do serwerów DNS oraz firmowego serwera zapisującego zdarzenia do usługi syslog.

Podmieniony firmware

Urządzenia osadzone nie mogą zostać łatwo zmodyfikowane przez firmowe IT, dla którego stanowią "czarną skrzynkę". Nie można tego powiedzieć o specjalistach do spraw bezpieczeństwa urządzeń, którzy są w stanie złamać zabezpieczenia i wprowadzić podmienione oprogramowanie do samego urządzenia. Atak taki jest groźny, gdyż nie każdy administrator zdaje sobie sprawę z tego, że firmware można łatwo podmienić. Chociaż urządzenie ma ograniczone zasoby procesora i pamięci, można w nim zaimplementować sporo dodatkowej funkcjonalności związanej z siecią.

Specjaliści do spraw bezpieczeństwa zajmujący się audytem wspominali o serwerze proxy zainstalowanym w niewielkim serwerze wydruku, a nawet o punkcie dostępowym wbudowanym w drukarkę z bezprzewodowym modułem sieciowym. Przy braku monitoringu atak za pomocą podrobionego firmware'u jest realny i w wielu organizacjach może nie zostać wykryty przez całe lata. Jedynym sposobem wykrycia niepożądanej funkcjonalności takiego urządzenia po podmianie firmware'u jest albo dokładna kontrola zawartości pamięci EEPROM lub Flash w urządzeniu, albo analiza ruchu sieciowego wychodzącego i przychodzącego do tego urządzenia. W praktyce administratorzy rzadko kiedy sprawdzają poprawność fimware'u, ufając zabezpieczeniom wprowadzanym przez producentów.

Urządzenia osadzone poważniejszych producentów wyposażone są w kontrolę spójności firmware'u, by uniknąć instalacji podmienionego oprogramowania, ale praktyka pokazała, że nawet takie zabezpieczenia udawało się włamywaczom obejść. Z pewnością należy regularnie aktualizować osadzone oprogramowanie, jeśli tylko producent dostarcza poprawki i istnieje możliwość ich wprowadzenia. Jeśli starsza wersja oprogramowania zawiera niewykrytego dotąd konia trojańskiego wprowadzonego przez włamywaczy, nadpisanie nową wersją firmware'u powinno usunąć niepożądany kod.

Brak aktualizacji

Dostępne z internetu

Największe zagrożenie dotyczy urządzeń, które są dostępne z internetu lub innej mało chronionej sieci. Jeśli taki sprzęt znajduje się na styku różnych sieci (np. jest także routerem), może stanowić bardzo dobry punkt wejścia dla napastnika. Na atak są także narażone modemy kablowe lub DSL, jeśli tylko można się z nimi połączyć. Na rynku można spotkać wielofunkcyjne routery, które mają wbudowany modem DSL oraz serwer wydruku, w tym również ze złączem USB. Włamanie na taki router umożliwiłoby przejęcie kontroli nad siecią. Administratorzy muszą uwzględniać ryzyko związane z wykorzystywaniem różnych urządzeń osadzonych w firmowej sieci.

Urządzenia osadzone mogą zawierać normalny system operacyjny. Spotyka się w nich zarówno systemy typu UNIX, jak i Windows. Systemy te stanowią część wbudowanego w urządzenie oprogramowania, które było tworzone specjalnie pod kątem obsługiwanych urządzeń. Niektóre aktualizacje, takie jak dodatki Service Pack dla systemu Microsoft Windows, nie były zgodne z niestandardowym oprogramowaniem, a zatem nie można ich zastosować. Jeśli komputer z tym systemem ma niestandardowe peryferia, np. steruje robotem przemysłowym, niezgodnej aktualizacji nie można zastosować.

Ponieważ w zastosowaniach osadzonych podstawowym celem jest stabilność pracy, nie daje się zastosować zabezpieczeń, poprawek ani aktualizacji, które mogłyby zakłócić pracę krytycznego dla firmy urządzenia. Bezpieczeństwo niechronionych komputerów jest poważnie zagrożone, gdyż nie mają one niezbędnych poprawek producenta, bo naruszyłyby one stabilność rozwiązania, a z drugiej strony w oprogramowaniu znajdują się znane już luki.

Przykładem jest ochrona linii produkcyjnej, w której stosowane są roboty przemysłowe sterowane komputerami z systemem Windows 2000 Service Pack 1. System ten dawno stracił wsparcie techniczne producenta i poprawki bezpieczeństwa nie są już przez Microsoft dostarczane. W niektórych urządzeniach pracuje jeszcze starszy system - Windows NT Workstation 4.0 - do którego poprawek nie ma od kilku lat i nie będzie nawet w najdroższym, wydłużonym wsparciu technicznym, oferowanym dla wybranych klientów. Urządzenia takie będą nadal pracować, a zatem należy skorzystać z innych metod zapewnienia im bezpieczeństwa.

Gdy urządzenia osadzone sterują infrastrukturą krytyczną firmy, każdy przestój wiąże się z wysokimi kosztami, dlatego też trzeba zabezpieczyć wrażliwy system przed atakiem bez wprowadzania zmian do stabilnej konfiguracji urządzenia, systemu i aplikacji.

Nieznane oprogramowanie

Nawet jeśli urządzenie zawiera standardowy i nadal obsługiwany system operacyjny, do którego jeszcze wydawane są poprawki, czynnikiem wpływającym na bezpieczeństwo jest specjalizowane oprogramowanie instalowane w tym systemie. Oprócz sterowników do specjalizowanego sprzętu w systemie zdarzają się niestandardowe usługi związane z tym oprogramowaniem. Otwierane są porty sieciowe, instalowane narzędzia, przechowywane zasoby i zestawiane połączenia. W takim oprogramowaniu zazwyczaj znajdują się luki w bezpieczeństwie. Nie zawsze producent spieszy się z wydaniem i dostarczeniem poprawek, gdyż proces ten wymaga uważnego testowania oprogramowania, co zawsze przynosi wysokie koszty. Oczywiście, te koszty należy ponieść, ale w systemach osadzonych, szczególnie związanych z przemysłem, priorytetem jest realizacja żądanej funkcjonalności.

Zabezpieczyć czarną skrzynkę

Ponieważ nie można ingerować w funkcjonalność ani możliwości komputerów osadzonych, jedynym sposobem ich ochrony jest izolacja od potencjalnie szkodliwego ruchu sieciowego.

Metoda polegająca na wykorzystaniu osobnej sieci sprawdzała się bardzo dobrze, dopóki między firmowym segmentem sieci LAN a omawianymi urządzeniami nie było połączenia. Razem z masowym rozwojem wirusów roznoszących się przy wykorzystaniu podatności systemu Microsoft Windows specjaliści do spraw bezpieczeństwa zauważyli, że nawet taka odseparowana sieć może być celem ataku, jeśli tylko będzie istniało urządzenie, które bywa podłączane zarówno do niej, jak i do innej, mniej chronionej.

Metoda ta w praktyce została wykorzystana do zarażenia systemów SCADA w ataku za pomocą wirusa Stuxnet. Prawie każda standardowo zrealizowana instalacja automatyki przemysłowej nadal może być zainfekowana tą drogą, gdyż w tej sieci pojawiają się regularnie laptopy inżynierów i serwisantów, dołączane w celu konserwacji urządzeń.

Strefy i granice

Skoro nie ma możliwości usunięcia podatności w osadzonym urządzeniu, zachowując jednocześnie połączenie z firmową siecią, należy podzielić sieć i kontrolować ruch na styku segmentów. Tak o tym rozwiązaniu mówi Miroslav Knapovsky, architekt rozwiązań bezpieczeństwa TippingPoint w firmie HP: "Aby podwyższyć bezpieczeństwo sieci, gdzie pracują podatne urządzenia, których nie można zaktualizować, należy podzielić sieć na funkcjonalne części, w których znajdują się poszczególne urządzenia. Na granicy podsieci należy wprowadzić strefy kontroli ruchu, na których pakiety będą analizowane przez urządzenia IPS w celu wykrycia symptomów ataku. Dzięki takiej organizacji firmowej sieci nie ma możliwości bezpośredniego połączenia w celu zaatakowania urządzenia osadzonego".

Zablokować atak

Dzięki wprowadzeniu stref kontrolnych można zaplanować komunikację między wrażliwymi urządzeniami a serwerami takimi jak SCADA lub innymi aplikacjami usługowymi. W zastosowaniach przemysłowych należy zatem podzielić sieć na części, zabezpieczyć zaporą sieciową oraz wyposażyć w sondy IPS. Dokładne zaplanowanie komunikacji umożliwi zestawienie tylko tych połączeń, które są niezbędne do pracy aplikacji, a nawet ten ograniczony ruch jest dodatkowo analizowany.

Miroslav Knapovsky wyjaśnia: "Cała komunikacja przechodzi przez sondy systemów IPS, które analizują pakiety w poszukiwaniu symptomów ataków. Tak działa w praktyce ochrona systemów automatyki w czeskich zakładach motoryzacyjnych, gdzie pracują urządzenia automatyki przemysłowej, m.in. roboty. Niektóre z tych urządzeń są sterowane komputerami z nieaktualizowanym już systemem Microsoft Windows 2000 - system ten wyszedł ze wsparcia technicznego i żadne poprawki nie są dostarczane. Wszystkie połączenia muszą przechodzić przez odpowiedni IPS, by wyłapać i zablokować ewentualny atak".

Chronione gniazdko

Dla wygody inżynierów serwisujących urządzenia automatyki przemysłowej blisko komputerów sterujących umieszcza się zazwyczaj gniazdo do podłączenia laptopa z odpowiednim oprogramowaniem. Miejsce portów RS-232 i RS-485 zajmuje dziś komunikacja Ethernet wykorzystująca protokół TCP/IP, a zatem właśnie standardowe gniazdo sieciowe służy do programowania urządzeń i pobierania z nich niezbędnych informacji serwisowych. Aby minimalizować ryzyko infekcji, także to połączenie powinno być chronione.

Miroslav Knapovsky tłumaczy: "W dobrym modelu ochrony cały ruch pomiędzy siecią a zabezpieczanym urządzeniem powinien podlegać inspekcji. Nawet jeśli gniazdo sieciowe jest umieszczone tuż przy urządzeniu, każde połączenie inicjowane np. z laptopa serwisowego będzie podlegać inspekcji na urządzeniach IPS. Im dokładniej podzielona jest sieć, tym lepiej można dostroić reguły urządzeń IPS, by lepiej wykrywać i blokować ataki, minimalizując obciążenie urządzeń. Jeśli w danej podsieci nie ma serwisów webowych, nie ma również potrzeby blokowania ataków kierowanych przeciw takim serwisom".

Różne urządzenia, jeden IPS

Dzisiejsze urządzenia IPS obsługują opcję tagowania wirtualnych sieci prywatnych, dzięki czemu sam IPS nie musi znajdować się przy urządzeniu. Do przekierowania ruchu można wykorzystać możliwości nowoczesnych przełączników sieciowych oraz urządzeń IPS.

Miroslav Knapovsky informuje: "Aby przekierować ruch, można wykorzystać mechanizm tagowania VLAN. Wtedy ruch pochodzący np. z laptopa serwisanta jest przypisany do konkretnej podsieci na przełączniku i zostaje kierowany do sondy urządzenia IPS, gdzie podlega inspekcji i filtrowaniu możliwych ataków. Po zamianie tagów przez IPS ruch jest kierowany przez przełącznik sieciowy do podsieci przypisanej do danego urządzenia. Dzięki temu proces inspekcji oraz przekierowań jest niewidoczny dla użytkowników i odbywa się automatycznie na centralnym urządzeniu IPS. W dalszym ciągu możliwe jest dostrojenie reguł IPS, by chronić systemy przed atakami".

Zagadnienia ochrony firmowego IT przed atakiem Miroslav Knapowski omawiał podczas organizowanej przez HP konferencji "Forum Wyzwania IT 2013".
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas