V nevarnosti so Siemens SCADA sistemi

This post is also available in: English




Nov virus, ki napada Siemens SCADA sisteme z namenom dostopa do njihovih podatkov in nadzora.

Črv Stuxnet, ki je trenutno najbolj aktualen, izkorišča najnovejšo odkrito veliko varnostno grožnjo v Microsoft sistemih to je ranljivost datotek s končnico .lnk (bližnjice), da oddaljeno zažene katerokoli kodo na okuženem računalniku. V zadnji odkriti varianti virusa -črva, gre za namenski napad na Siemens SCADA sisteme, cilj pa je prenos podatkov na zunanjo spletno stran in nadzor na SCADA procesi.

Gre za prvo škodljivo kodo za Siemens SCADA sisteme. Siemens v primeru okužbe priporoča, da se ne zamenja gesla, saj lahko to povzroči še večje težave. Zaradi visoke stopnje nevarnosti in razširjenosti, je Microsoft ponudil pod nujno popravek 10-046 že teden prej kot pa je bilo načrtovano v paketu rednega mesečnega nadgrajevanja vsak drugi torek v mesecu.

Črv omogoča oddaljen zagon katerekoli kode, okužba pa izkoristi Windows ranljivost bližnjic.  Gre pa še za eno veliko spremembo. Koda je potrjena z veljavnih certifikatom svetovno znanega podjetja, kar običajno ovrže sum na škodljivo kodo. Od sedaj naprej ne več. Sumljivo je vse. Certifikat je bil verjetno ukraden ali kupljen od uslužbenca podjetja Realtek Semiconductor in kasneje JMicron Technology, ki imata sedež na Tajvanu.

Za tiste, ki ne veste kaj je SCADA (Supervisory Control and Data Acquistion); sistem za nadzor in krmiljenje tehnoloških procesov in je danes del vsake proizvodnje. Nekaj primerov uporabe SCADA sistemov za upravljanje in nadzor nad: daljinskim  ogrevanjem, kotlovnico, proizvodnimi podatki, obvestila o napakah in okvarah. Zaradi stabilnega delovanja je večina krmilnikov prav iz Siemensa.

Običajno se na računalnike, ki se uporabljajo v proizvodnji za tehnološke procese in so večkrat vgrajeni kar v stroje, ne gleda tako kot na osebne računalnike zaposlenih v smislu zagotavljanja primerne zaščite.

Poznam primer iz nekega slovenskega podjetja, kjer imajo poleg dobro zaščitenih strežnikov še en zelo varnostno nezaščiten server z nameščenim še Windows 2000 SP1 in brez antivirusnega programa ter star SCADA sistem za nadzor in upravljanje nekega tehnološkega procesa. Ker se bo tisti tehnol. proces čez leto ukinil, se jim ne splača nadgraditi zelo staro verzijo SCADA vmesnika z novejšo, saj to nikakor ni poceni, vmesnik pa ne dela na novejših Windows OS . Kaj pa če se namesti na ta server Stuxnet črv in pošlje podatke v neprave roke oz. še slabše, prevzame se kontrola nad tehnološkim procesom? Naredi se škoda, ki je veliko večja, kot da bi nadgradili SCADA sistem.

Seveda je možno zaščititi server tudi v primeru, če ima še starejši operacijski sistem, ki ga Microsoft ne podpira več. Kot prvo se onemogoči dostop do interneta iz tega serverja, kar onemogoči možnost pošiljanja podatkov ven, onemogoči se uporaba medijev kot je USB in CD ter zelo omeji mrežne povezave, saj npr. le onemogočanje samodejnega zagona na USB ključih ni več učinkovita zaščita pred črvi. Za prav ta črv že ponujajo antivirusna podjetja posebej namesna orodja za odstranitev tega črva.

Kako varni pa so vaši SCADA sistemi?

Saša

Works as system engineer in Slovenian Enterprise in Microsoft environment focusing on security, deployments, SharePoint, SCCM and CheckPoint firewall. Author of successful blog about IT security, Microsoft tips & tricks, social media, internet trends.

Leave a Reply