Computerworld.pl
 
  1. Strona główna
  2. Wiadomości
  3. Dziura w czarnej skrzynce

Dziura w czarnej skrzynce

W takim przypadku wystarczy przeskanować podsieć operatora, by znaleźć podatne urządzenia. Oprócz skanowania, listę podatnych urządzeń można uzyskać za pomocą odpytań NTP, a także transferu strefy DNS. Po znalezieniu listy adresów, włamywacze próbują domyślnych haseł, które z lenistwa mogą nie być zmieniane. Praktyka pokazuje, że u wielu operatorów znaczna część modemów działa na domyślnych ustawieniach. Zagrożeniem są także błędy w obsłudze interfejsu administracyjnego przez urządzenie, umożliwiające obejście uwierzytelnienia.

Tu są straty

Przy niektórych urządzeniach atak przynosi wymierne straty, prosto przeliczane na pieniądze. W systemach kart zbliżeniowych wykorzystywanych do rozliczeń płatności, koń trojański w czytniku umożliwił kopiowanie kontraktów zapisanych na kartach. Zanotowano także ataki przeciw licznikom energii elektrycznej, gdzie zmiana parametrów powoduje znaczne zmniejszenie wskazań licznika. W obu przypadkach udowodnienie winy jest bardzo trudne, gdyż do ataku nie jest wymagane żadne bezpośrednie połączenie, niekiedy wystarczy odległość rzędu kilku metrów. Kradzież przynosi dość duże straty w skali makro, przy szerokim wdrożeniu, szkodliwość pojedynczego ataku jest niewielka, rzadko przekracza kilka tysięcy złotych. Są jednak systemy, gdzie nawet pojedynczy atak może powodować milionowe straty - jest to automatyka przemysłowa.

Automatyka pod obstrzałem

Urządzeniami wbudowanymi są także kontrolery przemysłowe, które obsługują różne procesy. Ponieważ ich głównym zadaniem jest niezawodne zarządzanie procesami, sygnałami i maszynami, bezpieczeństwo instalacji automatyki przemysłowej traktowano przez całe lata po macoszemu. Jak dotąd, skutkowała strategia izolacji, która zakłada utworzenie osobnej podsieci, która nie posiada żadnego połączenia z innymi podsieciami. Obecnie systemy przemysłowe powszechnie stosują protokół TCP/IP i jednym z trendów jest integracja automatyki z aplikacjami biznesowymi. Połączenie podsieci związanej z automatyką przemysłową z podsiecią systemów zarządzania przedsiębiorstwem niesie ze sobą dość poważne ryzyko. Wynika ono nie tylko z możliwości przeniesienia złośliwego oprogramowania do wewnętrznej podsieci, gdzie istnieje znacznie wyższe ryzyko udanego ataku, ale także z konieczności zapewnienia ciągłości pracy automatyki przemysłowej w każdych warunkach. Nawet jeśli uda się odfiltrować na styku tych sieci wszystkie pakiety związane z wykorzystaniem luk w oprogramowaniu, należy także zapewnić ochronę przed atakami odmowy obsługi.

"Przy projektowaniu rozwiązań wbudowanych, należy zadać sobie wiele pytań, związanych z bezpieczeństwem. W jaki sposób zbudujemy niezawodny firewall, który ochroni przed wszystkimi próbami manipulacji krytycznymi elementami? Jak zapewnimy ciągłość pracy urządzeń automatyki także podczas zewnętrznego lub wewnętrznego ataku odmowy obsługi? Czy zbudujemy rozwiązania detekcji intruzów i prewencji, które przywrócą sprawność systemu w czasie krótszym niż 50 milisekund zanim pętla synchronizacji urządzeń nie zostanie zerwana?" - wyjaśnia Philip Koopman.

Bardzo wiele rozwiązań wbudowanych (nie tylko z zakresu automatyki przemysłowej) nie przechodziło nigdy zaawansowanego audytu bezpieczeństwa, co może skutkować późniejszą podatnością na ataki i bardzo poważnymi konsekwencjami.

Słaba implementacja to słaba ochrona

Systemy wbudowane posiadają bardzo ograniczone zasoby - zazwyczaj pracuje tam dość wolny procesor i niewielka ilość pamięci RAM. Ograniczenie zasobów sprawia, że producenci chcą maksymalnego uproszczenia implementacji niektórych składników. Jednym z takich modułów jest generator liczb losowych - niezbędny do dobrego szyfrowania połączenia. Jeśli liczby wytwarzane przez taki generator są przewidywalne (a dość często zjawisko to ma miejsce), wówczas jakość ochrony kryptograficznej pozostawia wiele do życzenia.

Przykładowymi rozwiązaniami, w których udowodniono słabość ochrony kryptograficznej, są karty zbliżeniowe Mifare Classic, gdzie wykorzystuje się słaby algorytm uwierzytelnienia oraz mikroprocesory ZigBee (stos Chipcon Zstack 2.2.2-1.30 dla układów CC2530), w których zastosowano przewidywalny generator liczb losowych. Ten ostatni błąd jest bardzo poważny, gdyż pseudolosowe dane powtarzają się po 32767 próbkach i posiadają jedynie 16 bitów entropii w każdym z kluczy, zatem atak metodą brute force zajmuje bardzo niewiele czasu. Takiego generatora nie wolno używać do kryptografii, ale niektórzy producenci go stosują, ze względu na prostotę i niskie koszty implementacji.

Ograniczanie kosztów jest jedną z przyczyn niektórych problemów z bezpieczeństwem, ale nie jest to jedyny powód. Philip Koopman uważa, że "wiele systemów wbudowanych powstaje w małych firmach, z udziałem niewielkiej grupy roboczej, czasami jest to nawet pojedynczy inżynier. Takich organizacji, które piszą rocznie zaledwie kilka kB kodu, nie stać na to, by wynająć specjalistę do spraw bezpieczeństwa i przeprowadzić stosowny audyt. Czasami ci ludzie nawet nie zdają sobie sprawy z tego, że potrzebują konsultacji w tej dziedzinie. Problem polega na tym, że nawet trywialnie proste programy mogą zawierać błędy".

TOP 200

Computerworld

Computerworld dostarcza najświeższe informacje, opinie, prognozy i analizy z branży IT w Polsce i na świecie.

Tematy

Serwisy IDG

Znajdź nas:   

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

Zamów reklamę

(+48) 662 287 830
Napisz do nas