18 июля 2016

[аналитика] Объекты критической инфраструктуры открыты в Интернете

Сканирование IP-адресов в зоне IPv4 показало, что более сотни объектов критической инфраструктуры открыты для внешнего доступа в Интернете, в том числе системы водоснабжения в Германии и Италии, а также «умный» элитный многоквартирный дом в Израиле.


Расследование, которое провели эксперты газеты Internet Wache в Берлине, началось осенью 2015 года; журналисты искали определенные маршрутизаторы, используемые системами управления промышленными процессами. Исследователь Тим Филипп Шаферс (Tim Philipp Schafers) нашел в ходе исследования больше, чем рассчитывал: в поисковых выдачах начали появляться веб-интерфейсы для систем промышленной автоматизации, не предполагающие аутентификации.  Эксперты заметили общие черты в заголовках HTTP, найденных поисковой системой, а затем написали скрипт на Python, который был загружен в инструменты сканирования ZMap и scans.io, чтобы исследователи могли отследить тот же тренд в публичном адресном пространстве IPv4.

В поисковой выдаче обнаружилось более 100 систем, в том числе системы водоснабжения. Об этом открытии авторы исследования доложили операторам объектов, которые затем убрали системы из публичного доступа. Однако не все операторы шли на контакт: некоторые отрицали возможность риска, многие перекладывали ответственность на вендоров или клиентов.
«Получается, что любой может получить доступ к веб-приложениям, связанным с управлением процессами на этих объектах критической инфраструктуры; для этого не нужно знать никакую определенную конфигурацию, —  сказал Шаферс. – В некоторых случаях, правда, необходима аутентификация. Из 100 обнаруженных нами в публичном доступе объектов только половина требовала аутентификации; остальные же не требовали и были доступны пользователям с правами администратора».

Это проблема не нова. Эксперты много лет публиковали предупреждения о наличии серьезных уязвимостей в системах управления процессов в энергетике, водопользовании и производстве. Простой поиск в Shodan позволяет выявить потенциально уязвимые для атак извне системы, и этот довод нередко используется для привлечения внимания к проблеме недостаточного обеспечения безопасности систем АСУТП. Шаферс сказал, что системы АСУТП – это вотчина в первую очередь инженеров, а не ИТ-специалистов, которые намного более осведомлены в вопросах информационной безопасности.

«В общем, этим двум группам специалистов нужно налаживать более тесное сотрудничество, — отметил он. – ИТ-безопасность очень сложна, в этой сфере существует очень много требований. Очень многие политики и процедуры непонятны инженерам и, по их мнению, неактуальны для работы систем критической инфраструктуры. Но назревает правомерный вопрос: почему бы тогда ИТ-специалистам не заняться вопросами информационной безопасности в этой сфере? Мы хотим, чтобы все работало, но при этом необходимо обеспечивать надлежащую степень безопасности, особенно на объектах, подключенных к сети».

Одним из самых важных выводов исследования Internet Wache стало положение дел на объектах, отвечающих за водопользование. Поисковая выдача показала четыре системы HMI (human machine interface), которые отвечают за мониторинг контроллеров и производственных процессов – в частности, процесса работы насоса. Три из HMI-систем, как выяснилось, находятся в Германии; одна из них, расположенная возле Мюнхена, обеспечивает питьевой водой 80 тыс человек.

Отчет Internet Wache доказал, что исследователи смогли получить доступ к данным датчиков потребления воды и другим сведениям о работе завода. Этими данными можно манипулировать – например, сделать так, чтобы оператор объекта думал, что показатели в норме, тогда как на самом деле это не так. В одном случае также был открыт доступ к системе насосов, и атака на инфраструктуру могла бы привести к нарушению водоснабжения целого города.
Все четыре системы уже недоступны в Интернете, сказал Шаферс. Данные отчета также были отправлены германским регуляторам BSI и CERT_Bund.

Также тестовое сканирование обнаружило открытую для доступа систему автоматизации здания The Tower – израильского объекта жилищного строительства класса «люкс» в Израиле. Система содержала ошибки конфигурации межсетевого экрана и логические ошибки в API-интерфейсах веб-приложения. Злоумышленник потенциально мог экплуатировать эти уязвимости и перехватить управление над системами освещения, климат-контроля и отопления.
Internet Wache также сообщила о большом количестве ошибок в программном коде, в том числе о наличии XSS-багов, предполагающих возможность удаленной атаки на HMI и внедрения вредоносного кода в HTTP, что, в свою очередь, могло привести к загрузке вредоносного ПО и экспортов.

По словам Шаферса, уровень осведомленности об информационной безопасности в сфере систем АСУТП очень низок. «Многие люди заходят в Фейсбук, поэтому можно с большой степенью уверенности сказать, что Фейсбук безопасен, — сказал Шаферс. – Но мы даже не думаем о системам критической инфраструктуры, которые во многих случаях обеспечивают нашу повседневную жизнь. Связь между реальным миром и Интернетом становится прочнее, но мы так и не задумываемся о безопасности».

Источник: Threatpost | Новости ИБ