Industriella kontrollsystem är fortfarande sårbara för skadliga cyberattacker





Redan 1982 avslöjade CIA en komplott från Sovjetunionen för att stjäla industriell programvara för att kontrollera dess snabbt växande nätverk av naturgasledningar. Som svar modifierade byrån programvaran med skadlig programvara utformad för att lamslå rörledningarna och lurade sedan sovjeterna att stjäla den.

Denna list visade sig vara spektakulärt framgångsrik. Sovjeterna installerade den modifierade mjukvaran - ett industriellt kontrollsystem kallat SCADA - på en sibirisk pipeline. Efter att den fungerat normalt i några månader började den skadliga programvaran stänga säkerhetsventilerna, vilket gjorde att trycket i rörledningen steg utöver vad svetsarna och fogarna kunde motstå. Så småningom exploderade rörledningen, vilket orsakade den mest monumentala icke-nukleära explosionen och branden som någonsin setts från rymden, enligt Washington Post, som rapporterade historien 2004.

Denna incident har gått till historien som det första exemplet på en skadlig programvara attack mot ett industriellt kontrollsystem. Och det satte scenen för en kampanj av cyberattacker som stängde av telefonsystemet vid flygledningscentralen på flygplatsen i Worcester, Massachusetts, 1997; funktionshindrade säkerhetssystem vid kärnkraftverket i Davis-Besse 2003; och förstörde centrifuger vid den hemliga iranska kärnkraftsanrikningsanläggningen 2010 – för att bara nämna några incidenter.



Några av dessa attacker har genererat enorm publicitet och ökat medvetenheten om hur sårbara industriella kontrollsystem är. Så alla företag som använder programvara för industriell kontroll bör vara medvetna om riskerna och skydda dem i enlighet med detta. Men är det sant?

Idag får vi ett slags svar tack vare Marcin Nawrocki vid Free University of Berlin i Tyskland och kollegor, som har studerat hastigheten med vilken industriella styrsystem skickar oskyddad data över internet. Deras resultat ger en häpnadsväckande inblick i dessa systems sårbarhet.

Industriella styrsystem, som SCADA och Modbus, utvecklades ursprungligen innan internet hade fått stor spridning. Så de designades för att vara enkla och fungera i ett slutet system som inte är kopplat till omvärlden.



Senare blev det möjligt att paketera styrsignalerna i vanlig internettrafik så att industrisystem kunde fjärrstyras. Detta tillvägagångssätt är dock helt öppet. Vem som helst kan skanna internettrafik efter den här typen av paket, titta på vart de är på väg och sedan skicka sina egna kommandon för att ta kontroll.

Och det är precis så många av de tidigaste attackerna inträffade. Hackare kan ringa in industriella kontrollsystem med hjälp av ett telefonmodem och antingen ta kontroll över eller inaktivera dem.

Så en hel industri har vuxit upp för att skydda sådana system. Eftersom programvaran är så utbredd kan den inte enkelt skrivas om. Istället är det huvudsakliga tillvägagångssättet att paketera kommandona i ett annat lager av programvara som är skyddad med konventionell kryptering, lösenord och så vidare. Detta förhindrar både obehörig åtkomst till industriella styrsystem och avlyssning av kommunikation över internet.



Men använder alla det? För att ta reda på det studerade Nawrocki och co två databaser med internettrafik. Den första de samlade in från en internetutbytespunkt (IXP) 2017 och 2018. Detta är en punkt där internetleverantörer och innehållsleveransnätverk utbyter data. Så det brukar vara trafik från samma land.

Den andra databasen var ett arkiv över rå internettrafik mellan internetleverantörer (ISP) i USA och Japan, som har lagrats för forskningsändamål. Dessa uppgifter är naturligtvis transnationella.

Den första uppgiften för Nawrocki och co var att filtrera data för paketen riktade mot industriella styrsystem. De gjorde detta med en standardpaketanalysator som heter Wireshark, som avslöjar oskyddade paket.



Men det finns också ett annat viktigt filtreringssteg. På grund av hoten mot industriella kontrollsystem har olika projekt börjat övervaka internettrafik – identifiera och katalogisera industritrafik, förhöra värdarna och källorna där det är nödvändigt, och sätta upp honeypots för att locka till sig illvilliga aktörer.

Denna aktivitet i sig skapar en betydande mängd trafik relaterad till industriella kontrollnätverk. Så Nawrocki och co var tvungna att filtrera datamängderna för att ta bort detta också.

Det som var kvar var intressant. De hittade över 330 000 oskyddade paket relaterade till industriella kontrollsystem. I den internationella trafiken mellan ISP:er utgjorde detta bara 1,5 % av den totala industritrafiken.

Men situationen är betydligt värre på lokal nivå, där 96 % av trafiken består av oskyddade industrikommandon. Andelen (96%) av oskyddad industriell trafik [Industrial Control Systems] vid IXP är alarmerande, säger de.

Teamet analyserade denna oskyddade trafik ytterligare med hjälp av DNS-poster och whois-data. De identifierade en rad företag som skickar oskyddad trafik, inklusive en solenergikonsult, ett byggföretag och ett handels- och transportföretag. Dessa organisationer löper uppenbarligen betydande risk för illvilliga attacker.

Det är intressant arbete som avslöjar alarmerande nivåer av oskyddad trafik som sätter industriella system på spel.

Ref: arxiv.org/abs/1901.04411 : Avslöja sårbara industriella kontrollsystem från Internet Core

Dölj