С момента появления червя
Stuxnet,
системы контроля промышленного производства SCADA завоевали достаточно внимания
специалистов. Поскольку эти системы контролируют многие критические
инфраструктуры и используются в крупных производственных предприятиях, ожидаешь,
что безопасность - это первое, о чем заботятся разработчики.
Но оказывается, нет. В марте итальянский исследователь Луиджи Ауриемма
обнаружил 34 уязвимости в различных программах SCADA и выпустил proof-of-concept
эксплоит для каждой из них.
Согласно данным исследователя, большинство из уязвимостей могут быть
использованы для удаленного выполнения кода на компьютерах с программным пакетом
SCADA, подключенных к интернету. Другие позволяют злоумышленникам получить
доступ к хранящимся данным, а в одном случае даже взаимодействовать с
оборудованием, которое управляется обсуждаемым ПО.
34 – это огромное количество если учесть то, что эти системы контролируют.
Теперь в интернете появилась новость, что другой исследователь безопасности
обнаружил некоторое количество уязвимостей в системах Siemens SCADA и хотел
представить свое открытие на конференции безопасности, но затем отказался от
данной идеи.
Согласно Wired, исследователь из NSS Labs Диллон Бересфорд должен был
продемонстрировать уязвимости, которые он обнаружил после изучения различных
Siemens SCADA систем в течение двух с половиной месяцев, но поменял свое мнение
после бесед с DHS и Siemens.
Вместо этого он поделился своими открытиями с Siemens и Industrial Control
Systems Cyber Emergency Response Team (ICS-CERT). Siemens, по всей видимости,
удалось найти средство для исправления одной из уязвимостей, но оказывается, его
легко обойти. Это было последним позывом к пробуждению немецкой компании и
остается надеяться, что этот урок показал им, что обеспечить безопасность
системы не так просто, и что данный процесс требует намного больше внимания и
усилий, чем они обычно прилагали.
Рик Мой, глава NSS Labs, поддержал решение Бересфорда. "Это отличается от
простой кражи из чьего-либо банковского аккаунта. Все может взорваться. Я не
хочу раздувать эту проблему и чтобы это выглядело как FUD (клевета компании с
целью посеять в аудитории неуверенность и сомнение в её состоятельности, и таким
образом вызвать страх перед ней), но физические разрушения могут реально
произойти и нанести значительные травмы и ущерб людям. Так что по нашим
ощущениям … лучше быть более разумным и подождать немного до тех пор, пока мы не
получим больше информации", - пояснил он.