Infrastruktura krytyczna pod ostrzałem

Ćwiczenia Cyber-EXE pokazały, jakie mogą być skutki ataku cyberterrorystów na infrastrukturę krytyczną: sieci energetyczne i gazowe. Wnioski z ćwiczeń mogą okazać się przydatne dla wielu przedsiębiorstw i organizacji. Pozwolą lepiej przygotować się na atak o niezwykłej sile pochodzący z internetu.

Temat bezpieczeństwa infrastruktury krytycznej niejednokrotnie gościł na łamach tygodnika Computerworld, ale rzadko kiedy mogliśmy opisywać ataki i obronę od strony praktycznej, na podstawie rzeczywistych informacji z Polski. Ćwiczenia Cyber-EXE Polska 2012 są wyjątkiem - to pierwsze tego typu przedsięwzięcie w Polsce, w którym założono istnienie podatności, ich wykorzystanie w praktyce, symulowane przejęcie kontroli nad częścią infrastruktury i postępujące skutki ataku. W trakcie konferencji "Wolność i Bezpieczeństwo", które odbyła się 18 września we Wrocławiu, odbyły się ćwiczenia organizowane przez Computerworld, Fundację Instytut Mikromakro i Fundację Bezpieczna Cyberprzestrzeń.

Polskie cybermanewry

W ćwiczeniach Cyber-EXE Polska 2012 uczestniczyły: Rządowe Centrum Bezpieczeństwa, Ministerstwo Obrony Narodowej, Komenda Główna Policji, Politechnika Wrocławska, Wojskowa Akademia Techniczna, Gaz-System SA, RWE Polska SA, CERT Orange Polska oraz PSE-Operator SA.

Organizatorami ćwiczeń z ochrony infrastruktury krytycznej oraz IX Konferencji "Wolność i Bezpieczeństwo" były magazyn Computerworld, Fundacja Instytut Mikromakro i Fundacja Bezpieczna Cyberprzestrzeń.

Scenariusz ćwiczeń przewidywał atak i spowodowanie awarii w systemach transmisji gazu ziemnego do dużych zakładów przemysłowych oraz wyłączenie dostaw energii elektrycznej w dużej części Wrocławia. Scenariusz według specjalistów był realistyczny, w trakcie ćwiczeń przeprowadzono praktyczne próby na specjalnie przygotowanym środowisku testowym wyposażonym w wirtualizowane systemy. Rolę atakujących odegrał zespół z Wojskowej Akademii Technicznej wspieranych przez pracowników i studentów Politechniki Wrocławskiej.

Ćwiczenia Cyber-EXE, jak każda gra taktyczna, rządzą się swoimi prawami. Do ataków została wydzielona infrastruktura, a jej właściciele przygotowali ją z założeniem, że ma ona podatności, które znają atakujący. W tym przypadku zostało to ustawione, ale w rzeczywistości tak przebiegają ataki - hakerzy najpierw miesiącami rozpracowują środowisko, aby poznać jego słabe punkty. Ćwiczenia miały dostarczyć informacji o tym, jak hakerzy wykorzystają istnienie przewidzianych podatności, jak poprowadzą atak, jakie mogą być jego konsekwencje i, przede wszystkim, jak zachowają się zaatakowane organizacje, a więc na ile sprawdzą się ich procedury zapisane w planach obrony.

W ćwiczeniach łącznie brało udział około 80 osób, przy czym w specjalnie przygotowanym pomieszczeniu pracowali specjaliści ze strony operatora energetycznego i gazowego, moderator, obserwator, specjaliści z wojskowego CERT-u oraz Komendy Głównej Policji i operatora telekomunikacyjnego.

Cała komunikacja odbywała się za pomocą poczty elektronicznej - w czasie jednodniowych ćwiczeń wymieniono ponad 500 e-maili, począwszy od stwierdzeń anomalii pracy automatyki przemysłowej, przez informację o postępujących działaniach włamywaczy komputerowych, aż po postępowanie związane z ustaleniem sprawców na podstawie raportów analizowanych przez specjalistów i przekazanych do funkcjonariuszy Komendy Głównej Policji.

Celem ćwiczeń było sprawdzenie, jak uczestniczące w nich firmy i instytucje radzą sobie z rozpoznaniem zagrożenia, jak przeciwdziałają atakom, czy stosowane w nich procedury okażą się wystarczające w przypadku uderzenia cyberterrorystów. Informacje o zdarzeniach, które następowały po sobie podczas ćwiczeń, były przedstawiane w syntetyczny sposób za pomocą oprogramowania Agile firmy HP i wyświetlane na dużym ekranie w osobnej sali.

Osiem dziur w krytycznych systemach

Podczas ćwiczeń Cyber-EXE w badanym środowisku testowym wykryto podatności związane zarówno z technologią, jak i pracą ludzi.

Nieznany wirus w sieci. Pierwsza podatność dotyczyła przedostania się złośliwego oprogramowania do sieci wewnętrznej. Wirus ten był kodem nowej generacji, który atakował systemy krytyczne dla firmy. Klasyczna ochrona antywirusowa, chociaż obecna w atakowanych systemach, okazała się w praktyce niewystarczająca. Problem dotyczy niemal wszystkich obecnych antywirusów, gdyż zmienność kodu sprawia, że działający za pomocą sygnatur jest nieskuteczny. Narzędzia heurystyczne z kolei sprawiają kłopoty wysokim odsetkiem fałszywych alarmów, a zmniejszenie czułości skutkuje radykalnym spadkiem możliwości wykrywania złośliwego kodu o niestandardowej konstrukcji.

Problem z klasycznym antywirusem polega na tym, że laboratorium musi mieć kilka próbek złośliwego oprogramowania, zanim będzie mogło dokonać analizy. Tymczasem w wielu atakach eksploit wraz z wirusem w skompilowanej formie jest wykorzystywany tylko raz, a zatem nie został nigdy zgłoszony do analizy przed atakiem. Większą skutecznością cechują się narzędzia korzystające z korelacji źródeł złośliwego oprogramowania, dzięki prowadzonej online analizie adresów internetowych, ale nie wszędzie taki antywirus może pracować.

Atak socjotechniczny. Druga luka była związana z atakiem socjotechnicznym, polegającym na nakłonieniu pracownika do otwarcia groźnego załącznika poczty elektronicznej. Atak socjotechniczny znacznie ułatwił przeprowadzenie dalszych działań cyberprzestępczych.

Podstawową radą na podatności socjotechniczne jest dobre szkolenie pracowników, obejmujące nie tylko reakcję na telefony, ale także ograniczenie zaufania do e-maili. Dobrym przykładem wykorzystania luki do prawdziwego ataku jest przypadek firmy RSA, gdzie również wykorzystano wirusa wysłanego w załączniku e-mail. Należy pamiętać, że rozwiązania techniczne stosowane w firmach nie zawsze ochronią przed atakami, które łączą elementy socjotechniki. Właśnie z tego powodu inwestycja w szkolenie ludzi może być bardziej uzasadniona od kosztownego oprogramowania, które ma chronić przed podobnymi atakami.

Razem z atakiem socjotechnicznym w scenariuszu ćwiczenia przewidziano także wysyłanie sfałszowanych informacji, które następnie były przetwarzane przez systemy informatyczne w firmie. Podstawową linią obrony powinno być posiadanie i regularne wykorzystywanie urządzeń monitorujących pracę infrastruktury, ale działających na innej zasadzie. Przykład stanowią tablice synoptyczne.

Słaby monitoring IDS. Trzecia podatność była związana z niedostateczną skutecznością pracy systemu monitoringu IDS (Intrusion Detection System). Nadmiar alertów i mała skuteczność wykrywania prawdziwych ataków skutkowała tym, że pracownicy mieli małe zaufanie do komunikatów wychodzących z urządzenia IDS.

Stosowane dziś urządzenia łączą wykrywanie zagrożeń i ich blokowanie, ponadto umożliwiają samodzielne dostrajanie reguł oraz zaprojektowanie zasad ruchu, o którym wiadomo, że jest poprawny. Usprawnienia w dziedzinie urządzeń IPS (Intrusion Prevention System) idą jednak znacznie dalej i aby móc chronić wrażliwe systemy informatyczne, trzeba posiadać IPS z aktualnym oprogramowaniem, bazą próbek ruchu oraz dobrą konfiguracją pod kątem chronionych urządzeń. Zła konfiguracja i przestarzałe oprogramowanie dają fałszywe poczucie bezpieczeństwa - a tego należy unikać.

Niewystarczające informacje z urządzeń sieciowych. Czwarty problem był związany z niedostateczną informacją o źródłach problemu w urządzeniach sieciowych. W czasie ćwiczeń stwierdzono, że spowodowane atakiem błędy w komunikacji pomiędzy urządzeniami sieciowymi były niewłaściwie raportowane przez istniejące narzędzia, a zatem diagnostyka wymagała znaczącego nakładu dodatkowej pracy. W przypadku skomplikowanej sieci istnieją już na rynku rozwiązania, które ułatwią ten proces, dostarczając spójnych i łatwych w zrozumieniu informacji na temat pracy całej infrastruktury sieciowej. Wdrożenie podobnych narzędzi wymaga jednak nakładów.

Niezabezpieczone systemy SCADA. Piąty element zagrożenia był związany z brakiem systemu wykrywającego złośliwe oprogramowanie obecne bezpośrednio w systemach kontroli i sterowania automatyką przemysłową. Nie musi to oznaczać konieczności opracowania i instalacji antywirusa w specjalizowanych systemach, gdyż kontrolę spójności oprogramowania i poprawności jego działania można przeprowadzić także innymi środkami. Niemniej dział IT w firmie musi opracować i realizować procedury związane z ochroną urządzeń SCADA, a także dysponować zasobami niezbędnymi do odtworzenia poprawnego funkcjonowania takiej infrastruktury w przypadku prawdziwego zagrożenia. Wykrycie malware'u na komputerach obsługujących systemy SCADA powinno powodować natychmiastowe odstawienie zagrożonych urządzeń i przejście na rozwiązania rezerwowe do czasu, aż dział IT usunie zagrożenie wraz z jego przyczyną.

Zakłócenie ciągłości działania. Szóstym zagadnieniem, które wpłynęło na skutki ataku, był brak systemu zapewniającego ciągłość działania dla kilku węzłów jednocześnie. W takich przypadkach pojawia się jednak kwestia optymalizacji kosztów, gdyż wdrożenie wysokiej dostępności wymaga o wiele większych nakładów niż obsługa tej samej funkcjonalności za pomocą podstawowej instalacji. Specjaliści uważają, że w przypadku infrastruktury krytycznej dla kraju nie powinny występować oszczędności w obszarze wysokiej dostępności.

MACIEJ IWANICKI

Senior Systems Engineer, Symantec Poland

Cwiczenie Cyber-EXE to doskonały przykład, ze tylko i wyłacznie praktyka oraz testy zblizone do rzeczywistych sa w stanie pokazac stan zabezpieczen zarówno technicznych (oprogramowanie, urzadzenia), jak i proceduralnych (jak zachowac sie po wykrytej infekcji, stan wiedzy pracowników). Zgadzam sie, ze klasyczna ochrona antywirusowa jest dzisiaj niewystarczajaca - fi rma Symantec od kilku lat w swojej ofercie nie ma juz czystego oprogramowania AV. Tylko kompleksowa ochrona (ochrona AV w połaczeniu z zapora ogniowa, systemem IPS, ochrona aplikacji i urzadzen, behawioralna analiza działajacych aplikacji) potrafi skutecznie chronic komputery. Ochrona proponowana przez nas w postaci systemu reputacji jest własnie w stanie chronic nas przed zagrozeniami, które zostaja stworzone i wykorzystane tylko raz. System równiez jest w stanie wspomóc technologie heurystyczne przed popełnianiem błedów. Stosowanie urzadzen IDS/IPS na pewno warto uzupełnic identycznymi rozwiazaniami stosowanymi na koncówkach - nie dosc, ze rozwiazania takie umieja wykryc i zablokowac próby dostania sie do komputera, to jezeli taka próba sie powiedzie, moga wykryc podejrzany ruch wychodzacy z komputerów. Nie moge jedynie zgodzic sie ze stwierdzeniem, ze przeprowadzenie podobnego ataku wykraczałoby poza mozliwosci grup hakerskich. Grupy te maja zarówno wiedze, jak i mozliwosci (chociazby dostepny w niskich cenach sprzet na aukcjach eBay SCADA itp.) do wykonania tego typów ataków. Chodzi tylko o determinacje i przewidywane zyski, ale zaproponowany przykład ataku cyberterrorystycznego na miasto Wrocław, w celu zdobycia okupu, nie wydaje sie juz opisem z ksiazki typu techno thriller.

Nieautoryzowanie połączenia. Siódmy problem dotyczył sieci, a dokładniej braku systemu wykrywającego nowe nieautoryzowane połączenia. Połączenia wychodzące z sieci lokalnej mogły posłużyć do ataku z zewnątrz, realizowanego przez złośliwe oprogramowanie obecne w firmowych komputerach. Detekcja takich połączeń umożliwiłaby wykrycie koni trojańskich w sieci wewnętrznej w chwili inicjacji połączenia na zewnątrz.

W praktyce do wykrywania podobnych połączeń można wykorzystać każdą z nowoczesnych zapór sieciowych, ale wymaga to ścisłego przestrzegania procedur związanych z opracowaniem i wdrożeniem poprawnej konfiguracji firewalla. Podstawową opcją jest detekcja ruchu SSL i blokowanie go poza dozwolonymi połączeniami.

Dodatkowo należy opracować aktualne założenia związane z ruchem w sieci, a także między podsieciami. Jeśli ruch odbiega od założeń, pojawiają się nowe połączenia, a jednocześnie wiadomo, że nie przeprowadzono żadnej modernizacji, to prawdopodobnie jest to zdarzenie, które może oznaczać przygotowania do ataku za pomocą malware'u. Obecnie jednym z najskuteczniejszych sposobów wykrywania złośliwego oprogramowania jest analiza ruchu w sieci, gdyż klasyczne nie stanowi żadnej ochrony (podatność pierwsza).

Fałszywe e-maile. Ósma podatność była związana z możliwością podrobienia wiadomości e-mail - serwer pocztowy nie był odporny na przekazywanie fałszywych wiadomości udających e-maile od osób uprawnionych. Problem ten dotyczy nie tylko bezpieczeństwa komunikatów zawierających nominacje (informacje i prognozy zużycia gazu), ale dowolnej komunikacji, gdyż sfałszowana wiadomość poczty elektronicznej może być wykorzystana do przeprowadzenia skutecznego ataku socjotechnicznego.

Ryzyko związane z możliwością podrobienia wiadomości e-mail można minimalizować przez odpowiednią konfigurację serwera pocztowego i wdrożenie ochrony poczty elektronicznej za pomocą certyfikatów. Zastosowanie tych środków zaradczych sprawi, że proste podszycie się pod pracownika i przesłanie e-maila z obcej maszyny będzie o wiele trudniejsze.

Czy to się może naprawdę zdarzyć?

Scenariusz ćwiczeń Cyber-EXE był oparty na prawdopodobnych założeniach, zatem niektóre wnioski muszą pozostać tajemnicą uczestniczących firm i instytucji. Z oczywistych powodów nie można opublikować informacji o wewnętrznych procedurach organizacji, które zostały podczas ćwiczeń zaatakowane, ani tym bardziej informacji mogących naprowadzić napastników na faktyczne podatności firmy i jej systemów. Ale też nie można uznać, że wnioski płynące z cybermanewrów ograniczają się do branży energetycznej czy dostaw gazu, które używają specjalizowanych, dedykowanych systemów.

Należy pamiętać, że poszczególne składniki systemu automatyki przemysłowej oraz sieci komputerowych w firmach są powszechnie stosowane i dostępne, a zatem podatności i sposoby minimalizacji ryzyka mogą być zastosowane w sposób niemal uniwersalny, pasują do firmy każdej wielkości. Wykorzystywany serwer poczty elektronicznej Microsoft Exchange jest korporacyjnym standardem, to samo dotyczy systemów operacyjnych i aplikacji SCADA.

Aby przeprowadzić podobny atak na skalę odpowiadającą ćwiczeniom, niezbędne byłoby zorganizowanie środków daleko wykraczających poza możliwości grup hakerskich. O ile posiadanie informacji o podatnościach dnia zerowego nie jest problemem dla grup hakerskich (bardzo często to właśnie one je wykrywają), o tyle zastosowanie ich wymaga przygotowań i środków na razie wykorzystywanych tylko w atakach militarnych.

Atak krok po kroku

Infrastruktura techniczna stosowana przez firmy dostarczające media, takie jak energia elektryczna, woda czy gaz ziemny, w dużym stopniu polega na urządzeniach telemetrycznych i automatyce przemysłowej. Jak każda technologia, także ta ma wiele podatności. Scenariusz ćwiczeń zakładał ich wyrycie i wykorzystanie.

Instalacja złośliwego oprogramowania

Pierwszy scenariusz zakładał, że do atakowanej organizacji zostaje przesłany e-mail zawierający załącznik, który wykorzystuje podatność dnia zerowego, by zainstalować oprogramowanie konia trojańskiego. To oprogramowanie miało przejąć kontrolę nad systemami IT.

W wariancie drugim założono wysłanie linku do strony www zawierającej złośliwe oprogramowanie - w świetle informacji o podatności w Internet Explorerze wykorzystywanej do rzeczywistych ataków (informacja SANS z 17 września 2012 r.) oraz kolejnej luce dnia zerowego w platformie Java atak tą drogą jest bardzo prawdopodobny.

(Przeciwdziałanie) Aby przeciwdziałać podobnym zdarzeniom, należy mieć aktualne oprogramowanie antywirusowe, stosować systemy różnych dostawców, nie wolno zaniedbywać także uświadamiania pracowników. Niestety, całkowita eliminacja zagrożenia nie jest możliwa.

Pozyskanie uprawnień wewnętrznych

Kolejnym krokiem było przechwycenie loginu i hasła administratora domeny oraz serwisów SCADA. Z zarażonego komputera przygotowano atak ARP spoofing, który skutkował przekierowaniem ruchu do fałszywej strony logowania do serwera poczty i systemu Telwin SCADA. Strony wyglądały tak samo jak prawdziwe i po przechwyceniu haseł mogły przekierować połączenie do rzeczywistych systemów. W laboratorium udało się podrobić certyfikaty, gdyż były samodzielnie podpisane. Aby wymusić zalogowanie administratorów do podrobionego serwisu, wystarczył atak odmowy obsługi wykorzystujący podatność protokołu RDP stosowanego w serwerach Windows.

(Przeciwdziałanie) Aby minimalizować ryzyko podobnych ataków, należy wprowadzić rozwiązania izolujące transmisję pomiędzy komputerami w tej samej podsieci i wdrożyć systemy wykrywania anomalii w sieci. Z kolei ochrona przed spoofingiem polega na stosowaniu potwierdzonych certyfikatów i uświadamianiu użytkowników, by sprawdzali opis certyfikatu przed jego zatwierdzeniem. Przed atakiem odmowy obsługi w protokole RDP można było się chronić przez wgranie najnowszych poprawek lub zrezygnowanie z tego typu komunikacji.

Fałszywe prognozy zużycia odwracają uwagę od przejęcia serwera

W celu skupienia uwagi na innych elementach systemu, przeprowadzony zostaje m.in. atak ze sfałszowaną nominacją (wiadomością o zużyciu/prognozie zużycia gazu). Po przejęciu danych dostępowych do skrzynki pocztowej dowolnego pracownika możliwe było przesyłanie sfałszowanych nominacji, co z kolei mogło spowodować duże zamieszanie wśród ludzi obsługujących dany system.

Inną podatnością, którą można było wykorzystać, było stosowanie starego protokołu Modbus pomiędzy niektórymi urządzeniami. Protokół ten nie jest szyfrowany i nie posiada uwierzytelnienia źródła.

(Przeciwdziałanie) Należy wprowadzić szyfrowanie nominacji za pomocą rozwiązań przechowujących klucze na zewnętrznych nośnikach (na przykład kartach mikroprocesorowych). Komunikację przy wykorzystaniu starszych protokołów, takich jak wymieniony Modbus, trzeba prowadzić w tunelu kryptograficznym, realizowanym za pomocą standardowych technik sieciowych. Taki tunel uzupełniłby komunikację o brakujące funkcje: szyfrowanie, uwierzytelnienie nadawcy i odbiorcy, zapewnienie integralności i autentyczności komunikacji.

Po przejęciu kontroli nad serwerem można było doprowadzić do zablokowania przepływu gazu w całym kontrolowanym systemie, co w czasie ćwiczeń zostało zrealizowane.


TOP 200