;

Stuxnet do každé továrny

13. 4. 2012
Doba čtení: 9 minut

Sdílet

 Autor: © Elnur - Fotolia.com
Bezpečnost systémů pro řízení výroby je děravá jak řešeto. Doslova. Kevin Finisterre není typ člověka, kterého byste čekali v jaderné elektrárně. Má výrazné afro, letecké sluneční brýle a styl vyjadřování i chování jako rapper – vypadá tak spíše jako vzor typické černošské popové hvězdy než technologický odborník.

Nicméně jsou to právě lidé jako on, nesplňující představy tradičního inženýra v košili a svetru, kteří hrají stále významnější úlohu ve snahách o vyřazení počítačů a přístrojů řídících významné světové průmyslové celky. Kevin Finisterre je to, čemu se říká „white-hat hacker“ čili volně přeloženo „hacker s dobrými úmysly“. Testuje a snaží se prorazit počítačové systémy ne proto, aby se do nich naboural a vyřadil je z činnosti, ale aby odhalil potenciálně slabá místa. Své zkušenosti a znalosti poté prodává společnostem, které chtějí zlepšit své zabezpečení.

Před dvěma roky si Kevin Finisterre, mimo jiné zakladatel bezpečnostní testovací společnosti Digital Munition, vyměnil celou řadu e-mailů s pracovníkem programu Control Systems Security Program Národních laboratoří v americkém Idahu (Idaho National Laboratory – INL). Tento projekt je financovaný Ministerstvem vnitra USA a je součástí první obranné linie proti případnému útoku na národní IT infrastrukturu Spojených států.

Kevin Finisterre si vysloužil pozornost INL poprvé v roce 2008, kdy zveřejnil kód využívající chyby v CitectSCADA softwaru používaného k ovládání průmyslových kontrolních systémů. Doslechl se o programu INL, který pomáhá připravovat výrobce softwaru a provozní operátory pro případy útoků na jejich systémy, a napadlo ho, že by jim poslal krátký dopis, aby zjistil, jak dobří skutečně jsou. Z odpovědi nebyl zrovna nadšený.

Zajímalo ho, zda INL spolupracuje s hackerskou komunitou. Obdržel e-mailem nepříliš nadějnou odpověď vysvětlující, že pojem „hacker“ znamená osobu „pochybného či zločinného původu“, kterou by INL rozhodně nenajaly. Smyslem sdělení tedy bylo poučení, že INL nespolupracuje s hackery a Kevin Finisterre by měl být opatrný, když taková slova vůbec v komunikaci s INL používá. To vše k nemalému Kevinovu překvapení, podle něj by se totiž INL nemělo vyhýbat jakémukoli zdroji informací a zkušeností – pokud má být na špici bezpečnostního vývoje.

Je možné se na to dívat jako na konflikt kultur dvou světů. Na jedné straně nezávislí bezpečnostní výzkumníci zvyklí jednat s technologickými společnostmi jako Microsoft či Adobe, které už dávno přivykly myšlence spolupráce s hackery či kvazihackery, a na druhé straně konzervativní organizace, jež vyvíjejí a testují masivní průmyslové řídicí aplikace a chovají se, jako by nejraději zadupaly do země cokoli zavánějícího hackerstvím.

Pohoda, klídek, tabáček, Siemens

Počátkem loňského roku odhalil Dillon Beresford, výzkumník v bezpečnostní poradenské firmě NSSLabs, několik chyb v programovatelných logických ovladačích společnosti Siemens. Neměl námitky proti jednání ICS-CERT týmu Ministerstva vnitra USA (Industrial Control Systems Cyber Emergency Response Team), totéž však neplatí o Siemensu, který podle něj prokázal svým zákazníkům medvědí službu, když celý vzniklý problém bagatelizoval a neposkytl jim dostatek informací.

ICS-CERT vznikl před více než dvěma lety, aby řešil přesně ten druh chyb, které dnes Kevin Finisterre a Dillon Beresford běžně odhalují. Počet bezpečnostních událostí řešených přes ICS-CERT se během minulých let zvýšil šestinásobně, takže nyní dosahuje stovek případů.

V čele programu stojí Marty Edwards, který vidí jako hlavní příčinu nárůstu v počtech incidentů to, jaké oblibě se těší SCADA a průmyslové řídicí systémy. Za zbytkem zájmu stojí samozřejmě útoky na tyto systémy, mezi nimiž je obzvláště známý virus Stuxnet.

Pro mnoho hackerů jsou průmyslové systémy zcela novým hřištěm, novou příležitostí pro posunutí hranic svých technologických dovedností. Pro některé jsou naopak cestou zpět do počátečních dnů hackingu, než se hlavním terčem staly osobní počítače. Kevin Finisterre začal svou kariéru experta s domácím telefonem ve svém rodném Sidney v Ohiu. Uvádí příhodu, kdy si počátkem 90. let jeho matka myslela, že si hraje doma s telefony. Jak ale vyšlo najevo, někdo si na dálku hrál s telefonními přepínači. Pro něj osobně se to přehouplo do boje s telefonním operátorem, který tvrdil, že za vadné účtování musí být zodpovědný právě on.

O bezmála 20 let později je z něj bezpečnostní expert, pro něhož se postupně staly běžné „díry“ v aplikacích nudnými, neboť se objevují denně po stovkách. Proto svou pozornost zaměřil na průmyslové systémy, což vedlo i k nalezení chyb v CitecSCADA. Bylo to, jako by byl zase na začátku své kariéry během školních dnů.

Zdá se přitom, že není v této pozici osamocený a co nevidět se vyskytne doslova záplava podobných případů. ICS-CERT v současné době pracuje na více než 50 známých chybách, nicméně oba zmínění experti ze soukromého sektoru tvrdí, že vědí o stovkách dalších. Některé z těchto chyb mohou být v podstatě triviální, jiné však mohou způsobit nedozírné následky.
Až 100 chyb za tři týdny

100 chyb za tři týdny

Billy Rios, vedoucí týmu v bezpečnostní skupině Google, a Terry McCorkle, člen Information Security Red Team Boeingu, se v únoru 2010 rozhodli, že se detailněji podívají na typ průmyslových aplikací, které hackují lidé jako Kevin Finisterre

Na tomto projektu pracovali ve svém volném čase a stáhli co nejvíce softwarových balíků, celkem téměř 400, od firem jako Siemens, Rockwell Automation či Iconics. Všechny přitom byly zdarma k dispozici na internetu. Stanovili si za cíl najít během 100 dnů alespoň 100 chyb, nicméně šlo to tak dobře, že své mety dosáhli už za tři týdny, nemuseli přitom projít zdaleka všechny aplikace.

Nakonec nalezli 665 chyb v serverech, ovladačích a uživatelském rozhraní v softwaru pro Windows, který se používá v továrních terminálech. Většinu nalezených chyb zhodnotili jako nekritické, nicméně asi 75 by mohlo být zločinci použito k poškození průmyslových systémů.

Podle Billyho Riose a Terryho McCorkla se může hledáním chyb v průmyslových systémech zabývat v podstatě každý, kdo pochopí, jak fungují. Není to přitom tak, že se objeví tu a tam nějaká chyba, naopak to skoro vypadá, jako by bezpečnostní díry do softwaru někdo cíleně vkládal – až k tak absurdním výsledkům testování vedlo.

Marty Edwards, již zmíněný šéf ICS-CERT, potvrdil, že objem práce jeho skupiny začal masivně narůstat v roce 2009, od té doby je to přibližně 600% růst v počtu slabých míst, jejichž řešení bylo realizováno přes ICS-CERT. Celkově se tato oblast stává z hlediska bezpečnosti stále lákavější jak pro útočníky, tak i pro výzkumníky.

To připomíná situaci Windows před deseti lety, kdy se hackeři začali zaměřovat na produkty Microsoftu. Ten se už z četných skandálů a problémů poučil, nicméně výrobci průmyslových systémů donedávna žili poměrně v klidu, nyní ale musí řešit podobné problémy jako Microsoft před lety. Když se dostal do problémů, reagoval zmateně a měl tendenci se s hackery pouštět do otevřeného i skrytého boje. Trvalo roky, než si k hackerské komunitě nalezl cestu.

Microsoft se na přelomu století postupně dostal do situace, kdy byla komunita odborníků nespokojena s jeho přístupem – nalezená slabá místa nebyla řešena – takže experti začali zveřejňovat související technické detaily, aby donutili Microsoft vydat potřebné softwarové záplaty. A obdobná situace se opakuje i v případě průmyslových systémů. Přitom jde o aplikace, kde chyba může vést například k chemické havárii či elektrickému výpadku a kde vytvoření, testování a aplikace záplaty mohou trvat měsíce.

Luigi Auriemma nedávno zveřejnil detaily o několika zranitelných místech v různých průmyslových systémech. Věří totiž, že jejich zveřejnění vede k mnohem rychlejšímu odstranění chyb než tiché informování výrobce. To zvedlo tým ICS-CERT ze židle – a nebylo to poprvé, co tento milánský odborník způsobil podobné pozdvižení.

ICTS24

Podle jednoho z lidí pracujících na Control Systems Security programu INL se výrobci průmyslových systémů stále nenaučili plně spolupracovat s hackery. A situace byla ještě horší před dvěma až třemi lety, kdy „bílí“ hackeři zveřejnili první informace o zranitelných místech kontrolních systémů. Robert Huber, spoluzakladatel Critical Intelligence, společnosti zaměřené na výzkum zabezpečení průmyslových systémů, říká, že tehdy byli výrobci aplikací totálně nepřipraveni na taková zveřejnění a nevěděli, jak na ně efektivně a produktivně reagovat.

Robert Huber si však myslí, že se situace postupně zlepšuje. Mnoho bezpečnostních odborníků spolupracovalo s výrobci průmyslových systémů, a to ať už přímo či přes prostředníky, na odhalování chyb. Nyní naopak hrozí, že zájem o tuto oblast povede k nárůstu počtu objevených chyb, tato zjištění se však mohou i navzájem duplikovat. To může zhoršit i divoké nekoordinované zveřejňování technických podrobností slabých míst. Nicméně to není jisté a jen čas ukáže, jaký bude další vývoj.