Niebezpieczne kontrolery przemysłowe

W przemyśle do sprawdzania procesów wykorzystuje się specjalizowane układy PLC. Ich bezpieczeństwo pozostaje jednak pod znakiem zapytania.

Na konferencji Black Hat w Las Vegas specjaliści zajmujący się bezpieczeństwem różnych rozwiązań technicznych wzięli pod lupę przemysłowe kontrolery PLC wykorzystywane do sprawdzania procesów w zakładach przemysłowych, sektorze publicznym (wodociągi, kanalizacja, energetyka). Wyniki badań dowodzą, że stosowane od lat rozwiązania nie spełniają minimalnych wymagań bezpieczeństwa i w przyszłości cały model konstrukcji i eksploatacji kontrolerów przemysłowych będzie musiał się zmienić.

Sieci miały być odseparowane

Od lat stosuje się w praktyce metodę separacji firmowej sieci LAN od sieci kontrolerów PLC, chcąc w ten sposób zapewnić bezpieczeństwo tym rozwiązaniom. Jest to sprawne zabezpieczenie, o ile rzeczywiście sieć ta jest w pełni odseparowana od innych podsieci i nie ma żadnych urządzeń, które byłyby podłączane do niej, choćby na pewien czas. Ze względu na model separacji sieci urządzenia PLC są projektowane z zastosowaniem bardzo uproszczonych mechanizmów bezpieczeństwa. W dobie integracji różnych systemów zbierających dane także z kontrolerów PLC i przekazujących je do innych aplikacji separacja sieci staje się istotnym ograniczeniem. Niekiedy kontrolery PLC są łączone za pomocą źle zabezpieczonych sieci bezprzewodowych, co jeszcze ułatwia atak. Tymczasem podatność kontrolerów i aplikacji sterujących nimi na cyberataki jest poważna i wynika wprost z założeń i uproszczeń, na które się zdecydowano podczas projektowania tych rozwiązań.

Zobacz również:

SCADA i systemy firmowe

Sieci automatyki przemysłowej były projektowane przy założeniu, że bezpieczeństwo instalacji zostanie zapewnione za pomocą osobnych procedur, takich jak fizyczna kontrola dostępu do urządzeń aktywnych, a także brak połączenia z zewnątrz. W dobie potrzeb firm, które potrzebują narzędzi do analizy procesów produkcji, niezbędne stało się połączenie między sieciami PLC oraz serwerową, gdzie pracują aplikacje firmowe SCADA. Takie połączenie powoduje radykalny wzrost ryzyka naruszenia bezpieczeństwa, zatem należy niezwłocznie opracować rozwiązania, które zapewnią ochronę przed przejęciem kontroli nad kontrolerem PLC. Jest to trudne, dlatego że standardowa zapora sieciowa nie ochroni kontrolera przed atakiem. Zatem dopóki producenci urządzeń PLC nie opracują nowego modelu zabezpieczenia urządzeń, najlepszym rozwiązaniem jest jednak minimalizacja połączeń między tymi sieciami. Bezwzględnie należy wprowadzić restrykcyjne reguły na zaporach sieciowych, ograniczając połączenia między maszynami - do kontrolerów PLC mają prawo łączyć się tylko maszyny monitorujące ich pracę, a także maszyna kontrolująca procesy. Jednocześnie należy opracować restrykcyjne założenia pracy na komputerze, by ryzyko zarażenia złośliwym oprogramowaniem było jak najmniejsze. W obrębie infrastruktury kontrolującej elektronicznie procesy występuje wiele urządzeń wykorzystujących osadzone systemy Microsoft Windows - działają one na przykład w dotykowych wyświetlaczach. Założenia procedury bezpieczeństwa muszą chronić także te komputery. Producenci rozwiązań PLC pracują nad poprawą bezpieczeństwa swoich rozwiązań, ale nie należy oczekiwać radykalnej i szybkiej poprawy, gdyż proces usprawnień wymaga czasu.

Poważna luka w bezpieczeństwie

Kontrolery Siemens Simatic S7, badane podczas konferencji Black Hat, okazały się podatne nie tylko na ataki na oprogramowanie sterujące nimi, ale także na ataki ponownego odtworzenia przesyłanej informacji (replay attack), które umożliwiają napastnikom zmianę ustawień oraz wyłączenie urządzeń. Prezentacja Dillona Beresforda, badacza związanego z NSS Labs, udowodniła, że luka w bezpieczeństwie tych kontrolerów jest o wiele poważniejsza, niż dotąd sądzono. Oprócz ataków, które polegają na przechwyceniu i ponownym wykorzystaniu informacji (network replay attack), możliwe jest natychmiastowe przejęcie kontroli nad kontrolerem, gdyż w S7 wbudowano na stałe hasło, które uruchamiało połączenie z wierszem poleceń urządzenia. Jako ciekawostkę warto wspomnieć o wbudowanej przez producenta specjalnej opcji oprogramowania aktywowanej określonego dnia (tzw. eastern egg), wyświetlającej animację tańczących małpek. Badane urządzenia są identyczne z tymi, które atakował wirus Stuxnet w 2009, stanowiąc część cyberwojny przeciw irańskiemu programowi nuklearnemu.

Jak zaszkodzić PLC?

Urządzenia PLC przekładają komendy logiczne na fizyczne działania - otwierają i zamykają zawory, przesuwają dźwignie mechaniczne, monitorują za pomocą czujników parametry fizyczne, takie jak: temperatura, ciśnienie, poziom napełnienia czy stężenie określonych czynników, a następnie podejmują działania, by utrzymywać parametry procesów technologicznych w zadanych granicach. Zatem atak przeciw PLC zakładałby sabotaż tych urządzeń w taki sposób, by te parametry przekroczyć. Skutkiem mogłaby być awaria techniczna, załamanie pracy procesu przemysłowego, wybuch, a nawet lokalna katastrofa ekologiczna, gdyby wystąpił wyciek z uszkodzonego rurociągu lub reaktora chemicznego. Podstawową ochroną w takim przypadku są zabezpieczenia mechaniczne (na przykład zawory bezpieczeństwa, wyłączniki krańcowe), działające niezależnie od kontrolerów PLC i tak ustawione, by nie dopuścić do przekroczenia parametrów granicznych. Mimo ich istnienia, nadal możliwe są ataki odmowy obsługi, polegające na całkowitym zamknięciu pracy procesów przemysłowych lub takiej zmianie parametrów, że produkt wynikowy może być niedostatecznej jakości.