Preparati per ulteriori attacchi ai sistemi industriali nel 2013

Un numero crescente di ricercatori di vulnerabilità focalizzerà la propria attenzione sui sistemi di controllo industriale (ICS) per l'anno a venire, ma lo stesso faranno i cyber-attacchi, dicono gli esperti di sicurezza.

Sistemi di controllo sono costituiti da software di supervisione in esecuzione su workstation o server dedicati e dispositivi hardware programmabili simili a computer che sono collegati e controllano i processi elettromeccanici. Questi sistemi sono utilizzati per monitorare e controllare una varietà di operazioni in impianti industriali, installazioni militari, reti elettriche, sistemi di distribuzione dell'acqua e persino edifici pubblici e privati.

Alcuni sono utilizzati in infrastrutture critiche, i sistemi da cui dipendono grandi popolazioni elettricità, acqua pulita, trasporti, ecc., quindi il loro potenziale sabotaggio potrebbe avere conseguenze di vasta portata. Altri, tuttavia, sono rilevanti solo per le attività dei loro proprietari e il loro malfunzionamento non avrebbe un impatto diffuso.

[Ulteriori letture: Come rimuovere il malware dal PC Windows]

Il malware presenta difetti

La sicurezza di SCADA (controllo di supervisione e acquisizione dati) e altri tipi di sistemi di controllo industriale è stato argomento di dibattito nel settore della sicurezza IT da quando il malware Stuxnet è stato scoperto nel 2010.

Stuxnet è stato il primo malware noto a colpire e infettare in modo specifico SCADA sistemi e fu usato con successo per danneggiare le centrifughe di arricchimento dell'uranio presso la centrale nucleare iraniana a Natanz.

Stuxnet era un'arma informatica sofisticata che si riteneva fosse stata sviluppata da Stati nazionali - secondo quanto riferito USA e Israele - con accesso a sviluppatori esperti, fondi illimitati e informazioni dettagliate sui punti deboli del sistema di controllo.

L'attacco ai sistemi di controllo delle infrastrutture critiche richiede una seria pianificazione, raccolta di informazioni e l'uso di metodi di accesso alternativi ds-Stuxnet è stato progettato per diffondersi tramite dispositivi USB perché i sistemi di computer di Natanz sono stati isolati da Internet, sfruttate vulnerabilità precedentemente sconosciute e configurazioni SCADA mirate molto specifiche trovate solo sul sito. Tuttavia, i sistemi di controllo che non fanno parte dell'infrastruttura critica stanno diventando sempre più facili da attaccare da parte di aggressori meno esperti.

Questo perché molti di questi sistemi sono connessi a Internet per comodità dell'amministrazione remota e perché le informazioni sulle vulnerabilità in ICS software, dispositivi e protocolli di comunicazione sono più facilmente accessibili che nei giorni pre-Stuxnet. I dettagli sulle decine di vulnerabilità SCADA e ICS sono state divulgate pubblicamente dai ricercatori di sicurezza negli ultimi due anni, spesso accompagnate da un codice di exploit proof-of-concept.

"Assisteremo a un aumento dello sfruttamento dei dispositivi del sistema di controllo accessibile su Internet man mano che gli exploit vengono automatizzati, "ha affermato Dale Peterson, amministratore delegato di Digital Bond, una società specializzata nella ricerca e valutazione della sicurezza ICS, via email.

Tuttavia, la maggior parte dei dispositivi di controllo accessibili via Internet non fanno parte di ciò la maggior parte delle persone considererebbe l'infrastruttura critica, ha affermato. "Rappresentano piccoli sistemi municipali, sistemi di automazione degli edifici, ecc. Sono molto importanti per l'azienda che li possiede e li gestisce, ma non influenzano per lo più una popolazione o un'economia di grandi dimensioni."

Attaccanti che potrebbero essere potenzialmente interessati nel prendere di mira tali sistemi includono hacker motivati ​​politicamente che cercano di fare una dichiarazione, gruppi di hacktivisti interessati a richiamare l'attenzione sulla loro causa, criminali interessati a ricattare le società o persino hacker che lo fanno divertire o vantarsi.

Gli hacker trovano obiettivi

Un documento cibernetico dell'FBI recentemente diffuso datato 23 luglio ha rivelato che all'inizio di quest'anno gli hacker hanno ottenuto l'accesso non autorizzato al sistema di riscaldamento, ventilazione e condizionamento dell'aria (HVAC) che operava negli uffici di una società di condizionamento del New Jersey sfruttando una vulnerabilità backdoor nel controllo scatola collegata ad esso - un sistema di controllo Niagara realizzato da Tridium. L'azienda mirata ha installato sistemi simili per banche e altre imprese.

La violazione è avvenuta dopo che le informazioni sulla vulnerabilità nel sistema Niagara ICS erano state condivise online a gennaio da un hacker che utilizzava il moniker "@ntisec" (antisec). L'operazione AntiSec è stata una serie di attacchi di hacking indirizzati a forze dell'ordine e istituzioni governative orchestrate da hacker associati a LulzSec, Anonymous e altri gruppi di hacktivisti.

"Il 21 e il 23 gennaio 2012, un soggetto sconosciuto ha pubblicato commenti su un noto sito Web statunitense, intitolato "#US #SCADA #IDIOTS" e "#US #SCADA #IDIOTS part-II", "l'FBI ha detto nel documento trapelato.

" Non è questione di se gli attacchi contro ICS siano fattibili o meno perché Sono, "Ruben Santamarta, un ricercatore di sicurezza con la società di consulenza di sicurezza IOActive, che in passato ha riscontrato vulnerabilità nei sistemi SCADA, ha detto via email. "Una volta che la motivazione è abbastanza forte, dovremo affrontare grandi incidenti: la situazione geopolitica e sociale non aiuta di certo, non è ridicolo supporre che il 2013 sarà un anno interessante."

Gli attacchi mirati non sono l'unica preoccupazione; Anche il malware SCADA. Vitaly Kamluk, capo esperto di malware del fornitore di antivirus Kaspersky Lab, ritiene che ci saranno sicuramente più malware per il targeting di sistemi SCADA in futuro.

"La dimostrazione Stuxnet di come ICS / SCADA vulnerabili sono stati aperti in un'area completamente nuova per whitehat e blackhat ricercatori ", ha detto via e-mail. "Questo argomento sarà in cima all'elenco 2013."

Tuttavia, alcuni ricercatori della sicurezza ritengono che la creazione di tale malware sia ancora al di sopra delle capacità degli aggressori medi.

"Creazione di malware che avrà successo nell'attaccare un ICS non è banale e potrebbe richiedere parecchio approfondimento e pianificazione ", ha dichiarato Thomas tramite email Thomas Kristensen, responsabile della sicurezza presso l'intelligence di vulnerabilità e società di gestione Secunia. "Questo limita anche significativamente la quantità di persone o organizzazioni che sono in grado di sferrare un simile attacco."

"Non abbiamo dubbi sul fatto che vedremo attacchi contro ICS", ha sottolineato Kristensen.

"Most delle applicazioni SCADA e DCS [sistema di controllo distribuito] e l'hardware sono stati sviluppati senza un SDL (Security Development Lifecycle) - pensa Microsoft alla fine degli anni '90 - quindi è diffuso con errori di programmazione comuni che portano a bug, vulnerabilità e exploit ", ha detto Peterson. "Detto questo, i PLC e gli altri dispositivi di campo non sono sicuri di progettazione e non richiedono una vulnerabilità per arrestare un processo critico o alterarlo in modo malevolo a Stuxnet."

La società di Peterson, Digital Bond, ha rilasciato diversi exploit per le vulnerabilità presenti in molti PLC (controllori logici programmabili) - componenti hardware SCADA - da più fornitori come moduli per il popolare framework di test di penetrazione Metasploit, uno strumento open source che può essere utilizzato praticamente da chiunque. Questo è stato fatto come parte di un progetto di ricerca chiamato Project Basecamp, il cui obiettivo era mostrare quanto siano fragili e insicuri molti PLC esistenti.

"L'unica limitazione per trovare un gran numero di vulnerabilità SCADA e DCS è che i ricercatori abbiano accesso all'apparecchiatura ", Ha detto Peterson. "Più ci stanno provando e ci stiamo riuscendo, quindi ci sarà un aumento delle vulnerabilità che saranno rivelate in qualsiasi modo il ricercatore ritenga appropriato."

Ancora bisogno di patch

Santamarta ha convenuto che è facile per i ricercatori trovare vulnerabilità nel software SCADA oggi.

Esiste persino un mercato per le informazioni sulla vulnerabilità di SCADA. ReVuln, una società di sicurezza startup con sede a Malta fondata dai ricercatori di sicurezza Luigi Auriemma e Donato Ferrante, vende informazioni sulle vulnerabilità del software alle agenzie governative e ad altri acquirenti privati ​​senza segnalarle ai fornitori interessati. Oltre il 40% delle vulnerabilità nel portafoglio di ReVuln al momento sono quelle SCADA.

Secondo Donato Ferrante, la tendenza sembra essere in crescita sia per gli attacchi che per gli investimenti nel campo della sicurezza SCADA. "In effetti, se pensiamo che diverse grandi aziende nel mercato SCADA stanno investendo molto denaro per rafforzare queste infrastrutture, significa che l'argomento SCADA / ICS è e rimarrà un argomento caldo per i prossimi anni", ha detto Ferrante via email.

Tuttavia, la sicurezza dei sistemi SCADA non è così semplice come la sicurezza delle normali infrastrutture IT e dei sistemi informatici. Anche quando le patch di sicurezza per i prodotti SCADA sono rilasciate dai fornitori, i proprietari di sistemi vulnerabili potrebbero impiegare molto tempo per la loro distribuzione.

Ci sono pochissime soluzioni di distribuzione di patch automatizzate per i sistemi SCADA, ha detto Luigi Auriemma via email. La maggior parte delle volte, gli amministratori SCADA devono applicare manualmente le patch appropriate, ha detto.

"La situazione è gravemente negativa", ha affermato Kamluk. L'obiettivo principale dei sistemi SCADA è il funzionamento continuo, che normalmente non consente l'aggiornamento o l'aggiornamento a caldo - l'installazione di patch o aggiornamenti senza riavviare il sistema o il programma - ha affermato.

Inoltre, le patch di sicurezza SCADA devono essere accuratamente testati prima di essere implementati in ambienti di produzione perché qualsiasi comportamento imprevisto potrebbe avere un impatto significativo sulle operazioni.

"Anche nei casi in cui esiste una patch per una vulnerabilità, troveremo sistemi vulnerabili per un lungo periodo", ha detto Santamarta

La maggior parte degli esperti di sicurezza SCADA vorrebbe che i dispositivi di controllo industriale come i PLC fossero riprogettati pensando alla sicurezza.

"Ciò che è necessario sono i PLC con misure di sicurezza di base e un piano per implementarli nell'infrastruttura più critica nei prossimi 1-3 anni ", ha detto Peterson.

" Lo scenario ideale è dove i dispositivi industriali sono sicuri in base alla progettazione, ma dobbiamo essere realistici, ci vorrà del tempo ", ha detto Santamarta. "Il settore industriale è un mondo a parte, non dovremmo esaminarlo rigorosamente attraverso la nostra prospettiva IT. Detto questo, tutti si rendono conto che qualcosa deve essere fatto, compresi i venditori industriali."

In assenza di sicurezza dispositivi di design, i proprietari di ICS dovrebbero adottare un approccio difensivo per proteggere questi sistemi, ha detto Santamarta. "Considerando che esistono protocolli industriali non sicuri per impostazione predefinita, è opportuno aggiungere attenuazioni e diversi livelli di protezione."

"Disconnettere ICS da Internet, inserirli in un segmento di rete isolato e limitare / verificare rigorosamente accesso ", ha affermato Kamluk.

" I proprietari di infrastrutture critiche dovrebbero rendersi conto che sono necessarie reti separate o almeno credenziali separate per accedere alle infrastrutture critiche ", ha affermato Kristensen. "Nessun amministratore sensato e sensibile alla sicurezza accederà a nessuno dei suoi sistemi utilizzando le credenziali amministrative e all'interno della stessa sessione accederà a Internet e leggerà e-mail.Questo dovrebbe essere applicato anche a ICS, utilizzare un set di credenziali per accedere alla sessione di ICS e forse accedi alla tua sessione di connessione Internet utilizzando una configurazione desktop virtuale e / o remota. "

Regolamento dibattuto

La necessità di una regolamentazione governativa che costringa gli operatori di infrastrutture critiche a proteggere i loro sistemi di controllo industriale è stato un argomento molto dibattuto e molti esperti di sicurezza SCADA concordano sul fatto che potrebbe essere un buon punto di partenza. Tuttavia, finora sono stati fatti pochi progressi verso questo obiettivo.

"Il regolamento governativo più ambizioso, NERC CIP per il settore elettrico nordamericano, è stato un fallimento", ha affermato Peterson. "La maggior parte vorrebbe una regolamentazione governativa di successo, ma non è in grado di identificare cosa sarebbe".

"Vorrei solo che il governo fosse onesto e affermare a voce alta che questi sistemi sono insicuri dalla progettazione e dalle organizzazioni che gestiscono l'infrastruttura critica SCADA e DCS dovrebbe avere un piano per l'aggiornamento o la sostituzione di questi sistemi nei prossimi 1-3 anni ", ha detto.

Il regolamento del governo sarebbe estremamente utile, ha detto Kamluk. Alcuni vendor SCADA sacrificano la sicurezza per risparmi sui costi di sviluppo senza considerare i rischi di tali decisioni e il loro potenziale impatto sulla vita umana, ha detto.

All'inizio di quest'anno, Kaspersky Lab ha rivelato piani per sviluppare un sistema operativo che garantisse un accesso sicuro ambiente di progettazione per il funzionamento di SCADA e altri sistemi ICS. L'idea alla base del sistema operativo è quella di garantire che nessuna funzionalità non dichiarata possa essere eseguita su di essa, il che impedirebbe agli autori di attacchi di eseguire codice dannoso sfruttando vulnerabilità prive di patch.

Mentre questo suona come un progetto interessante, resta da vedere come la comunità SCADA e il settore industriale reagiranno, ha detto Santamarta.

"Non ci sono abbastanza dettagli sul nuovo sistema operativo per valutare le sue caratteristiche", ha detto Ferrante. "Per fare ciò dovremo aspettare una versione ufficiale, ma il problema principale quando si adotta un nuovo sistema operativo è che deve essere in grado di eseguire i sistemi SCADA esistenti senza dover riscrivere il proprio codice."