2013 Mehr Angriffe auf industrielle Systeme eindämmen

Eine wachsende Zahl von Schwachstellenforschern wird im kommenden Jahr ihre Aufmerksamkeit auf industrielle Kontrollsysteme (ICS) richten, aber auch Cyber-Attacker, meinen Sicherheitsexperten.

Kontrollsysteme bestehen aus einer Überwachungssoftware, die auf dedizierten Workstations oder Servern läuft, und computerähnlichen programmierbaren Hardwaregeräten, die mit elektromechanischen Prozessen verbunden sind und diese steuern. Diese Systeme werden zur Überwachung und Steuerung einer Vielzahl von Operationen in Industrieanlagen, Militäranlagen, Stromnetzen, Wasserverteilungssystemen und sogar öffentlichen und privaten Gebäuden eingesetzt.

Einige werden in kritischen Infrastrukturen eingesetzt - den Systemen, von denen große Bevölkerungsgruppen abhängen Elektrizität, sauberes Wasser, Transport usw. - so könnte ihre mögliche Sabotage weitreichende Folgen haben. Andere hingegen sind nur für die Geschäfte ihrer Eigentümer relevant und ihre Fehlfunktion hätte keine weitreichenden Auswirkungen.

[Lesen Sie weiter: So entfernen Sie Malware von Ihrem Windows-PC]

Malware macht Fehler sichtbar

Die Sicherheit von SCADA (Aufsichts- und Datenerfassung) und andere Arten von industriellen Kontrollsystemen ist seit der Entdeckung der Stuxnet-Malware 2010 ein viel diskutiertes Thema in der IT-Sicherheitsindustrie.

Stuxnet war die erste bekannte Malware, die SCADA gezielt angriff und infizierte Die Stuxnet war eine hochentwickelte Cyberwaffe, die vermutlich von Nationalstaaten entwickelt wurde - Berichten zufolge aus den USA und Israel - und Zugang zu qualifizierten Entwicklern, unbegrenzten Mitteln und detaillierten Informationen hatte über Kontrollsystemschwächen.

Der Angriff auf kritische Infrastrukturkontrollsysteme erfordert eine ernsthafte Planung, Informationsbeschaffung und die Verwendung alternativer Zugriffsverfahren ds-Stuxnet wurde entwickelt, um sich über USB-Geräte zu verbreiten, da die Natanz-Computersysteme aus dem Internet isoliert wurden, bisher unbekannte Sicherheitslücken ausgenutzt wurden und sehr spezifische SCADA-Konfigurationen gezielt auf der Site gefunden wurden. Kontrollsysteme, die nicht Teil der kritischen Infrastruktur sind, werden jedoch immer weniger von weniger qualifizierten Angreifern angegriffen.

Dies liegt daran, dass viele dieser Systeme mit dem Internet verbunden sind, um die Fernverwaltung zu erleichtern und Informationen über Sicherheitslücken in ICS bereitzustellen Software, Geräte und Kommunikationsprotokolle sind leichter zugänglich als in den Pre-Stuxnet-Tagen. Details über Dutzende von SCADA- und ICS-Schwachstellen wurden in den letzten zwei Jahren von Sicherheitsforschern öffentlich bekanntgegeben, oft begleitet von einem Proof-of-Concept-Exploit-Code.

"Wir werden eine zunehmende Nutzung der Internet-zugänglichen Kontrollsystemgeräte erleben da die Exploits automatisiert werden ", sagte Dale Peterson, Chief Executive Officer bei Digital Bond, einem Unternehmen, das sich auf ICS-Sicherheitsforschung und -bewertung per E-Mail spezialisiert hat.

Allerdings ist die Mehrheit der internetfähigen Kontrollsystemgeräte nicht Teil von dem die meisten Leute würden kritische Infrastruktur in Betracht ziehen, sagte er. "Sie stellen kleine kommunale Systeme, Gebäudeautomationssysteme usw. dar. Sie sind für das Unternehmen, das sie besitzt und betreibt, sehr wichtig, würden aber eine große Bevölkerung oder Wirtschaft größtenteils nicht beeinträchtigen."

Angreifer, die potenziell interessiert sein könnten Zu solchen Systemen gehören politisch motivierte Hacker, die versuchen, eine Erklärung abzugeben, Hacktivistengruppen, die Interesse an der Aufklärung ihrer Sache haben, Kriminelle, die an Erpressungsunternehmen interessiert sind, oder Hacker, die Spaß machen oder prahlen.

Hacker finden Ziele

Ein vor kurzem durchgesickertes FBI-Cyberalert-Dokument vom 23. Juli enthüllte, dass Hacker Anfang dieses Jahres unerlaubten Zugang zu dem Heizungs-, Lüftungs- und Klimatisierungssystem im Bürogebäude eines New-Jersey-Klimaanlagenunternehmens durch Ausnutzen einer Hintertüranfälligkeit in der Steuerung erhielten Box angeschlossen - ein Niagara Kontrollsystem von Tridium. Das Zielunternehmen installierte ähnliche Systeme für Banken und andere Unternehmen.

Der Fehler trat auf, nachdem Informationen über die Sicherheitslücke im Niagara-ICS-System im Januar online von einem Hacker mit dem Spitznamen "@ntisec" (antisec) geteilt wurden. Operation AntiSec war eine Serie von Hackerangriffen auf Strafverfolgungsbehörden und Regierungsinstitutionen, die von Hackern aus LulzSec, Anonymous und anderen Hacktivistengruppen inszeniert wurden.

"Am 21. und 23. Januar 2012 veröffentlichte ein unbekanntes Thema Kommentare auf einer bekannten US-Website. betitelt '# # #SCADA #IDIOTS' und '#US #SCADA #IDIOTS Teil-II', "das FBI sagte in dem durchgesickerten Dokument.

" Es ist nicht eine Frage, ob Angriffe gegen ICS durchführbar sind oder nicht, weil sie sind ", sagte Ruben Santamarta, Sicherheitsforscher der Sicherheitsberatungsfirma IOActive, die in der Vergangenheit Sicherheitslücken in SCADA-Systemen gefunden hat, per E-Mail. "Sobald die Motivation stark genug ist, werden wir große Vorfälle erleiden. Die geopolitische und soziale Situation hilft nicht so sicher, es ist nicht lächerlich anzunehmen, dass 2013 ein interessantes Jahr wird."

Gezielte Angriffe sind nicht die einzige Sorge; SCADA-Malware ist auch. Vitaly Kamluk, Chef-Malware-Experte des Virenschutzanbieters Kaspersky Lab, glaubt, dass es in Zukunft definitiv mehr Malware gegen SCADA-Systeme geben wird.

"Die Stuxnet-Demonstration, wie anfällige ICS / SCADA eröffnet werden, eröffnet Whitehat und Blackhat völlig neue Möglichkeiten Forscher ", sagte er per E-Mail. "Dieses Thema wird in der Top-Liste für 2013 stehen."

Einige Sicherheitsforscher glauben jedoch, dass das Erstellen solcher Malware die Fähigkeiten der durchschnittlichen Angreifer noch übersteigt.

"Erstellen von Malware, die erfolgreich ein ICS angreifen wird Das ist nicht trivial und kann viel Einsicht und Planung erfordern ", sagte Thomas Kristensen, leitender Sicherheitsbeauftragter bei der Sicherheitsbehörde Secunia, per E-Mail. "Dies schränkt auch die Anzahl von Personen oder Organisationen, die einen solchen Angriff durchführen können, erheblich ein."

"Wir sind jedoch nicht im Zweifel, dass wir Angriffe gegen ICS sehen werden", betonte Kristensen.

"Most Die eingesetzten SCADA- und DCS-Anwendungen [dezentrale Steuerungssysteme] und die Hardware wurden ohne einen SDL (Security Development Lifecycle) entwickelt - denken Sie an Microsoft in den späten 90ern - und ist daher häufig mit Programmierfehlern behaftet, die zu Fehlern, Schwachstellen und Exploits ", sagte Peterson. "Die PLCs und andere Feldgeräte sind jedoch vom Design her unsicher und erfordern keine Sicherheitslücke, um einen kritischen Prozess herunterzufahren oder auf eine bösartige Art und Weise zu verändern."

Petersons Firma, Digital Bond, veröffentlichte mehrere Exploits auf Schwachstellen, die in vielen SPSen (speicherprogrammierbaren Steuerungen) - SCADA-Hardwarekomponenten - von mehreren Anbietern als Module für das beliebte Metasploit Penetration Testing Framework zu finden sind, ein Open-Source-Tool, das praktisch von jedem genutzt werden kann. Dies geschah im Rahmen eines Forschungsprojekts namens Project Basecamp, dessen Ziel es war, zu zeigen, wie anfällig und unsicher viele existierende SPS sind.

"Die einzige Möglichkeit, eine große Anzahl von SCADA- und DCS-Schwachstellen zu finden, ist der Zugang zu den Geräten, Sagte Peterson. "Mehr versuchen und Erfolg haben, so dass die Anzahl der Sicherheitslücken steigt, die der Forscher für angemessen hält."

Benötigt noch Patches

Santamarta stimmte zu, dass es für Forscher heute leicht ist, Sicherheitslücken in SCADA-Software zu finden.

Es gibt sogar einen Markt für SCADA-Schwachstelleninformationen. ReVuln, ein von den Sicherheitsforschern Luigi Auriemma und Donato Ferrante gegründetes Startup-Sicherheitsunternehmen mit Sitz in Malta, verkauft Informationen über Software-Schwachstellen an Regierungsbehörden und andere private Käufer, ohne diese an die betroffenen Anbieter zu melden. Über 40 Prozent der Schwachstellen im Portfolio von ReVuln sind derzeit SCADA.

Der Trend scheint laut Donato Ferrante sowohl für Angriffe als auch für Investitionen in das SCADA-Sicherheitsfeld zuzunehmen. "Wenn wir der Meinung sind, dass mehrere große Unternehmen im SCADA-Markt viel Geld investieren, um diese Infrastrukturen zu verbessern, bedeutet dies, dass das SCADA / ICS-Thema ein heißes Thema für die nächsten Jahre ist", sagte Ferrante per E-Mail.

Die Sicherung von SCADA-Systemen ist jedoch nicht so einfach wie die Sicherung regelmäßiger IT-Infrastrukturen und Computersysteme. Selbst wenn Sicherheitspatches für SCADA-Produkte von Herstellern herausgegeben werden, benötigen die Besitzer anfälliger Systeme möglicherweise sehr lange Zeit, um sie zu implementieren.

Es gibt nur sehr wenige automatisierte Patch-Bereitstellungslösungen für SCADA-Systeme, sagte Luigi Auriemma per E-Mail. Die meiste Zeit, SCADA-Administratoren müssen die entsprechenden Patches manuell anwenden, sagte er.

"Die Situation ist kritisch schlecht", sagte Kamluk. Das Hauptziel von SCADA-Systemen ist der kontinuierliche Betrieb, der normalerweise kein Hot-Patching oder Update erlaubt - Patches oder Updates installieren, ohne das System oder das Programm neu zu starten, sagte er.

Zusätzlich müssen SCADA-Sicherheitspatches gründlich getestet werden, bevor sie in Produktionsumgebungen eingesetzt werden, da jedes unerwartete Verhalten erhebliche Auswirkungen auf den Betrieb haben kann.

"Selbst in den Fällen, in denen ein Patch für eine Schwachstelle existiert, werden wir anfällige Systeme für lange Zeit finden", sagte Santamarta.

Die meisten SCADA-Sicherheitsexperten möchten, dass industrielle Steuergeräte wie speicherprogrammierbare Steuerungen unter Berücksichtigung der Sicherheit überarbeitet werden.

"Was benötigt wird, sind SPS mit grundlegenden Sicherheitsmaßnahmen und einem Plan für deren Einsatz in der kritischsten Infrastruktur in den nächsten ein bis drei Jahren ", sagte Peterson.

" Das ideale Szenario ist, wo industrielle Geräte durch Design sicher sind, aber wir müssen realistisch sein, das wird Zeit brauchen ", sagte Santamarta. "Die Industrie ist eine Welt für sich. Wir sollten sie nicht aus unserer IT-Perspektive heraus betrachten. Jedenfalls erkennen alle, dass etwas zu tun ist, einschließlich der industriellen Anbieter."

In Abwesenheit von "secure by" Design-Geräte, sollten ICS-Besitzer eine Verteidigung-in-Tiefe-Ansatz zur Sicherung dieser Systeme, sagte Santamarta. "Angesichts der Tatsache, dass es industrielle Protokolle gibt, die standardmäßig unsicher sind, ist es sinnvoll, Abschwächungen und verschiedene Schutzebenen hinzuzufügen."

"Trennen Sie ICS vom Internet, stecken Sie es in ein isoliertes Netzwerksegment und beschränken Sie streng / auditieren Zugang zu ihm ", sagte Kamluk.

" Die Besitzer der kritischen Infrastruktur sollten erkennen, dass für den Zugang zu kritischer Infrastruktur separate Netzwerke oder zumindest separate Anmeldeinformationen benötigt werden ", sagte Kristensen. "Kein vernünftiger und sicherheitsbewusster Administrator würde sich mit administrativen Anmeldeinformationen bei irgendeinem seiner Systeme anmelden und innerhalb derselben Sitzung auf das feindliche Internet zugreifen und E-Mails lesen. Dies sollte auch für ICS gelten; einen Satz Anmeldeinformationen für den Zugriff auf die ICS-Sitzung verwenden Greifen Sie über eine virtuelle und / oder Remote-Desktop-Einrichtung auf Ihre Internetverbindungssitzung zu. "

Verordnung diskutiert

Die Notwendigkeit staatlicher Regulierung, die die Betreiber kritischer Infrastrukturen dazu zwingen würde, ihre industriellen Kontrollsysteme zu sichern, war ein heiß diskutiertes Thema Viele SCADA-Sicherheitsexperten sind sich einig, dass dies ein guter Ausgangspunkt sein könnte. Bisher wurden jedoch nur wenige Fortschritte in Richtung dieses Ziels erzielt.

"Die ambitionierteste Regierungsverordnung, NERC CIP für den nordamerikanischen Elektrosektor, ist gescheitert", sagte Peterson. "Die meisten möchten eine erfolgreiche staatliche Regulierung, können aber nicht identifizieren, was das wäre."

"Ich möchte nur, dass die Regierung ehrlich ist und laut erklärt, dass diese Systeme durch Design und Organisationen, die die kritische Infrastruktur SCADA betreiben, unsicher sind und DCS sollte einen Plan haben, diese Systeme in den nächsten ein bis drei Jahren zu verbessern oder zu ersetzen ", sagte er.

Regierungsregulierung wäre äußerst hilfreich, sagte Kamluk. Einige SCADA-Hersteller opfern Sicherheit für Entwicklungskosteneinsparungen, ohne die Risiken solcher Entscheidungen und ihre potenziellen Auswirkungen auf das Leben von Menschen zu berücksichtigen.

Anfang dieses Jahres enthüllte Kaspersky Lab Pläne zur Entwicklung eines Betriebssystems, das eine sichere Designumgebung für den Betrieb von SCADA und anderen ICS-Systemen. Die Idee hinter dem Betriebssystem ist es, zu garantieren, dass keine nicht deklarierte Funktionalität darauf ausgeführt werden kann, was verhindern würde, dass Angreifer bösartigen Code ausführen, indem sie ungepatchte Sicherheitslücken ausnutzen.

Das hört sich zwar nach einem interessanten Projekt an, aber es bleibt abzuwarten, wie die SCADA-Community und der Industriesektor darauf reagieren werden, sagte Santamarta.

"Es gibt nicht genug Details über das neue Betriebssystem, um seine Eigenschaften zu bewerten", sagte Ferrante. "Dazu müssen wir auf eine offizielle Freigabe warten. Das Hauptproblem bei der Einführung eines neuen Betriebssystems ist jedoch, dass es bestehende SCADA-Systeme ausführen kann, ohne ihren Code neu schreiben zu müssen."