Att hacka industriella system visar sig vara enkelt

Tre presentationer planerade att äga rum på Black Hat datorsäkerhetskonferens i Las Vegas kommer idag att avslöja sårbarheter i kontrollsystem som används för att hantera energiinfrastruktur som gasledningar. Detta är bara det senaste tecknet på att sådana system förblir farligt mottagliga för datorattacker som kan få förödande konsekvenser; och även om forskarna föreslog korrigeringar för varje brist de har identifierat, varnar de för att industriell infrastruktur på det hela taget förblir bedrövligt sårbar.





Sårbarheterna lägger till en växande lista över problem som identifierats på grund av en nyligen ökad forskning om säkerhet i industriella system. Framstegen för att åtgärda sådana säkerhetsproblem har gått långsamt, dels på grund av den dåliga utformningen av befintliga system, och dels på bristen på starka incitament för att snabbt åtgärda bristerna.

En demonstration idag kommer att spraya publiken med vatten från en kopia av en vattenanläggningskomponent som tvingats övertrycka. En annan kommer att visa hur trådlösa sensorer som vanligtvis används för att övervaka temperaturer och tryck i oljeledningar och annan industriell utrustning kan göras för att ge falska avläsningar som lurar automatiska styrenheter eller mänskliga operatörer att vidta skadliga åtgärder. Ett tredje föredrag kommer att beskriva brister i trådlös teknik som används i 50 miljoner energimätare över hela Europa som gör det möjligt att spionera på hemmets eller företagets energianvändning och till och med införa strömavbrott.

Amerikanska tjänstemän har ofta varnat för att sårbarheter i industriella kontrollsystem kan tillåta skadliga attacker på offentlig infrastruktur som resulterar i strömavbrott, miljöskador eller till och med förlust av människoliv (se U.S. Power Grids a Hacking Target ).



Alla attacker som ska nämnas idag kräver betydligt färre resurser och skicklighet än vad som krävdes för att använda den mest kända attacken mot ett industrisystem, den amerikansk-israeliskt stödda Stuxnet-operationen mot det iranska kärnkraftsprogrammet (se New Malware Brings Cyberwar One Step Närmare).

Vi har visat några scenarier som kommer att orsaka ett katastrofalt haveri – ett rör att brista eller en tank att svämma över – samtidigt som vi skickar en helt annan vy till styrenheten, säger Brian Meixell från Texas säkerhetsföretag Cimation , som tog med sig en kopia av vattenväxtkomponenten för att visa upp de sårbarheter han upptäckte.

Tillsammans med kollegan Eric Forner utnyttjade Meixell ett protokoll som heter Dbus som har använts för att styra industriell utrustning sedan 1970-talet och som fortfarande används i stor utsträckning idag på enheter som ofta är anslutna direkt till Internet. Genomsökningar av offentliga IP-adresser har avslöjat att minst 90 000 industriella kontrollenheter är online och sårbara för den typen av attacker, säger Forner (se Vad hände när en man pingade hela Internet ). Dbus är osäkert eftersom ingen i branschen som använder den tyckte att det var en prioritet att göra den säker, säger Meixell.



Lucas Apa, en forskare med IOActive , säger att denna attityd också underbygger den brist han och kollegan Carlos Mario Penagos hittade i trådlösa sensorer som används för att övervaka olja, vatten, kärnkraft och naturgasinfrastruktur. De tre ledande leverantörerna av dessa sensorer designade dem så att de kan göras för att ge falska avläsningar, eller till och med stängas av med en relativt billig radiosändare på 40 mils räckvidd, säger Penagos. Vi kan visa total avstängning av anläggningen, säger han.

Det problemet – och det som upptäcktes av Cimation-teamet – är nu känt för företagen som tillverkar utrustningen och för industri- och infrastrukturföretagen som köper dem, tack vare ett datadelningsprogram som drivs av Department of Homeland Security. Det programmet, kallat ICS-CERT, för Industrial Control System Cyber ​​Emergency Response Team, delar nyligen publicerade data om sårbarheter med berörda företag och industrioperatörer.

Men bara för att ICS-CERT lyfter fram ett problem betyder det inte att det åtgärdas snabbt.



Apa säger att han förväntar sig att många sensorer kommer att förbli sårbara för hans trådlösa attack trots ICS-CERT:s åtgärder eftersom att fixa det kräver fysisk anslutning till sensorerna för att uppgradera deras mjukvara. Eftersom enheterna används på farliga platser kan det vara väldigt svårt att få tag i dem, säger han, och vissa företag kommer att ha många hundra sensorer eller fler.

Sameer Bhalotra, tidigare senior chef för cybersäkerhet vid Obama Vita huset och nu operativ chef för webbsäkerhetsföretaget Impermium , berättade MIT Technology Review att även om ICS-CERT fungerar bra, påskyndar den inte framstegen inom industriell säkerhet. Däremot har mjukvaruföretag som Microsoft blivit skickliga på att snabbt korrigera sårbarheter, till den punkt där stora brister nu är sällsynta, säger Bhalotra. Företag som tillverkar industriell kontrollutrustning och mjukvara har aldrig behövt oroa sig särskilt mycket för säkerhet, och därför kan de inte generera patchar snabbt eller göra betydande designändringar. Det händer inget välorganiserat i dag, säger han. Leverantörer kommer bara att behöva bli snabbare och bättre på att lappa, och det kommer att ta lite tid.

En anledning till att processen går så långsamt är bristen på tydliga incitament, säger Bhalotra. Gällande lag gör inte energioperatörer eller tillverkare av kontrollsystem ansvariga för konsekvenserna av dålig säkerhet, såsom skador orsakade av en explosion eller ett långvarigt strömavbrott. Endast införandet av ny lagstiftning för att klara upp ansvarsfrågan kommer sannolikt att påskynda utvecklingen av säkrare industriella kontrollsystem, säger Bhalotra.



Dölj