Luki w systemach SCADA na sprzedaż

Firma ReVuln, zlokalizowana na Malcie, ogłosiła, że zamierza sprzedawać informacje o podatnościach dnia zerowego w systemach SCADA, zamiast zgłaszać je producentom. Luk może być bardzo dużo.

Badacze z ReVuln opublikowali niedawno informację, że mają na sprzedaż informacje o licznych podatnościach w różnym programach automatyki przemysłowej (SCADA). Zamiast informować producentów o lukach w bezpieczeństwie, ReVuln postanowił sprzedawać te informacje agencjom rządowym oraz innym podmiotom, które zgodzą się za nie zapłacić. Aby nie wywoływać poważnych szkód na skalę międzynarodową, klientami firmy mogą być jedynie "zaufani klienci z krajów obdarzonych dobrą reputacją".

W opublikowanym materiale wideo przedstawiono dziewięć luk dnia zerowego, które według badaczy dotyczą oprogramowania SCADA firm General Electric, Schneider Electric, Kaskad, Rockwell Automation, Eaton i Siemens. ReVuln nie podaje jednak nazw produktów, w których podatności wykryto. Zdaniem badaczy, zaprezentowane podatności umożliwiają zdalne wykonanie dowolnego kodu czy komendy, pobranie wybranych plików, a także otwarcie zdalnej powłoki przez sieć i przechwycenie sesji na systemach, w których pracuje oprogramowanie SCADA. Uzyskane w ten sposób przywileje systemowe (poziom uprawnień SYSTEM w maszynach Windows) pochodzą z usługi uruchomionej w systemie, w którym pracuje podatne oprogramowanie. W ten sposób można zainstalować dowolnego rootkita, uruchomić złośliwe oprogramowanie, by przechwycić poufne informacje, rejestrować wciskane klawisze, a ostatecznie kontrolować całą infrastrukturę.

Z dowolnej sieci

Ataki przeciw podatnym aplikacjom można przeprowadzić z dowolnego komputera, z sieci lokalnej, a w niektórych przypadkach także przez internet, gdyż, według dokumentacji, wiele z tych produktów było opracowanych w taki sposób, by umożliwić zdalne administrowanie przez sieć.

Bywa, że przez niedopatrzenie lub błędy w implementacji takie systemy są wprost dostępne z dowolnej sieci przez internet. Według badaczy, specjalizowane narzędzie o nazwie Shodan, przeznaczone do wyszukiwania systemów automatyki przemysłowej dostępnych przez internet, już teraz zwraca bardzo wiele trafień. Niektóre z tych systemów należą do dużych, znanych firm. Specjaliści z ReVuln twierdzą, że mogliby omawiane ataki przeprowadzić zdalnie już teraz.

To nic nowego

Luigi Auriemma, założyciel firmy ReVuln, w przeszłości znajdował luki w oprogramowaniu automatyki przemysłowej i prawdopodobnie w przyszłości będzie odnosił sukcesy w tej dziedzinie. Potwierdza to Dale Peterson, CEO w firmie Digital Bond, która specjalizuje się w podatnościach takich systemów, przeprowadzając badania i ocenę ryzyka. Według Petersona, problemy z bezpieczeństwem systemów SCADA wynikają stąd, że nie zakładano wprowadzenia żadnych zabezpieczeń od początku podobnych projektów - koncentrowano się na realizacji głównego celu, jakim było zarządzanie procesami przemysłowymi.

"Problemy z tymi aplikacjami wynikają z braku integracji założeń bezpieczeństwa z procesem tworzenia oprogramowania. Podobne zjawisko można było zaobserwować w Microsofcie w latach 90. Jeśli w cyklu tworzenia aplikacji nie uwzględni się jej bezpieczeństwa, w oprogramowaniu nadal będą pojawiać się błędy, które będą ciągle wykorzystywane za pomocą kolejnych eksploitów" - uważa Dale Peterson.

Oprogramowanie SCADA działa na typowych pecetach z typową instalacją Microsoft Windows, ale w porównaniu do korporacyjnych instalacji biurowych trudno zapewnić tym rozwiązaniom oczekiwany poziom bezpieczeństwa za pomocą typowych narzędzi.

Informacje dla wybranych

ReVuln i bardziej znany francuski Vupen należą do firm, które nie zgłaszają odkrytych podatności producentom, ale sprzedają je na wolnym rynku. Co prawda, dokonują selekcji podmiotów, które wyrażają chęć nabycia takich informacji, ale nadal nie informują dostawcy ani CERT-ów (CERT to skrót od Computer Emergency Response Team, czyli Zespół Reagowania na Incydenty Komputerowe) państwowych lub branżowych, które mają na celu odpowiedzieć na zagrożenia lub incydenty. Wykryte podatności są publikowane w płatnym biuletynie i pozostają nieujawniane publicznie aż do chwili, gdy ktoś inny odkryje tę samą lukę i opublikuje informację o niej, albo dostawca usunie dziurę, podając (lub nie) informację na ten temat do publicznej wiadomości.

Niedostarczanie informacji na temat podatności do dostawcy lub CERT-ów jest jednym z głównych zarzutów wobec firm takich jak Vupen czy ReVuln. Według krytyków, ich działalność przyczynia się do rozwoju cyberprzestępczości oraz ogólnego spadku poziomu bezpieczeństwa w internecie. Zagrożenie wynika stąd, że podatności nie są usuwane i są znane różnym podmiotom, które mogą być zainteresowane wykorzystaniem ich do działań zaczepnych.

Model biznesowy ReVuln i Vupen jest uznawany za kontrowersyjny, ale jak dotąd nikt nie zakwestionował jego zgodności z prawem. Nieco odmienne zdanie ma Dale Peterson, prezes firmy Digital Bond. "Digital Bond zakłada, że osoba, która znajdzie podatność, może zdecydować, co z taką informacją zrobić. Może raportować dostawcy, zgłosić do właściwego CERT-u, sprzedać, opublikować albo zachować dla siebie, do późniejszego użycia" - uważa Dale Peterson.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200