Minaccia informatica per sistemi industriali ora più seria

Un ricercatore di sicurezza ha pubblicato un codice che potrebbe essere usato per prendere il controllo dei computer utilizzati per gestire i macchinari industriali, dando potenzialmente agli hacker una porta di servizio in aziende di servizi pubblici, impianti idrici e persino raffinerie di petrolio e gas.

Il software è stato pubblicato venerdì sera di Kevin Finisterre, un ricercatore che ha dichiarato di voler aumentare la consapevolezza delle vulnerabilità di questi sistemi, i problemi che ha affermato sono spesso sottovalutati dai fornitori di software. "Questi venditori non sono ritenuti responsabili per il software che stanno producendo", ha detto Finisterre, che è a capo della ricerca con la società di test di sicurezza Netragard. "Stanno dicendo ai loro clienti che non ci sono problemi, nel frattempo questo software sta eseguendo un'infrastruttura critica."

Finisterre ha rilasciato il suo codice di attacco come modulo software per Metasploit, uno strumento di hacking ampiamente utilizzato. Integrandolo con Metasploit, Finisterre ha reso il suo codice molto più facile da usare, hanno detto gli esperti di sicurezza. "L'integrazione dell'exploit con Metasploit offre a un ampio spettro di persone l'accesso all'attacco", ha affermato Seth Bromberger, responsabile della sicurezza delle informazioni presso PG & E. "Ora basta scaricare Metasploit e lanciare l'attacco."

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Il codice sfrutta un difetto nel software CitectSCADA di Citect che è stato originariamente scoperto da Core Tecnologie di sicurezza e reso pubblico a giugno. Citect ha rilasciato una patch per il bug quando è stato divulgato per la prima volta e il produttore del software ha affermato che il problema rappresenta un rischio solo per le aziende che collegano i loro sistemi direttamente a Internet senza la protezione del firewall, qualcosa che non sarebbe mai fatto intenzionalmente. Una vittima dovrebbe abilitare anche una particolare funzionalità di database all'interno del prodotto CitectSCADA per il funzionamento dell'attacco.

Questi tipi di prodotti di controllo di processo industriale SCADA (controllo di supervisione e acquisizione dati) sono stati tradizionalmente difficili da ottenere e analizzare, rendendolo difficile per gli hacker analizzarli per problemi di sicurezza, ma negli ultimi anni sempre più sistemi SCADA sono stati costruiti su noti sistemi operativi come Windows o Linux, rendendoli più economici e più facili da hackerare.

Gli esperti di sicurezza IT sono utilizzato per applicare patch ai sistemi in modo rapido e frequente, ma i sistemi informatici industriali non sono come i PC. Poiché un tempo di inattività con un impianto idrico o un sistema di alimentazione può portare a catastrofi, gli ingegneri possono essere riluttanti a apportare modifiche al software o addirittura portare i computer off-line per l'applicazione.

Questa differenza ha portato a disaccordi tra professionisti IT come Finisterre, che vedere la riduzione delle vulnerabilità della sicurezza e gli ingegneri del settore incaricati di mantenere in esecuzione questi sistemi. "Stiamo vivendo un momento di conflitto culturale tra gli ingegneri di controllo del processo e gli esperti IT", ha dichiarato Bob Radvanovsky, un ricercatore indipendente che gestisce un elenco di discussione online sulla sicurezza di SCADA che ha visto alcune discussioni accese su questo argomento. argomento.

Citect ha dichiarato di non aver sentito alcun cliente che sia stato hackerato a causa di questo difetto. Ma la società sta pianificando di rilasciare presto una nuova versione di CitectSCADA con nuove funzionalità di sicurezza, in una dichiarazione, (pdf) rilasciata martedì.

Quella release non arriverà troppo presto, poiché Finisterre crede che ci siano altre, simili, codifiche errori nel software CitectSCADA.

E mentre i sistemi SCADA possono essere separati da altre reti di computer all'interno degli impianti, possono comunque essere violati. Ad esempio, all'inizio del 2003, un appaltatore avrebbe infettato la centrale nucleare di Davis-Besse con il worm Slammer di SQL.

"Molte delle persone che gestiscono questi sistemi si sentono non legate dalle stesse regole del tradizionale IT ", ha detto Finisterre. "Il loro settore non ha molta familiarità con gli hacker e gli hacker in generale."