Skala i typy zagrożeń

JAK SIĘ BRONIĆ?

Przykłady dotychczasowych cyberincydentów w przemyśle dowodzą pomysłowości przestępców, którzy wykorzystując m.in. ludzką nieuwagę lub ciekawość, wprowadzali do atakowanych systemów złośliwe programy za pośrednictwem nośników pamięci albo specjalnie przygotowanych linków. Ponieważ wszystkich możliwości nie da się przewidzieć, najlepszym rozwiązaniem jest wdrożenie tzw. strategii ochrony warstwowej (defense in depth).

Polega ona na stosowaniu wielu różnych poziomów zabezpieczeń. Jeśli jedna z blokad zostanie ominięta, pojawia się następna, co spowalnia lub powstrzymuje atak. Zazwyczaj stosuje się ochronę mieszaną, która łączy metody utrudniające fizyczny dostęp do chronionych zasobów i techniki programowe. Te pierwsze opiszemy w następnych rozdziałach. Przykłady zabezpieczeń informatycznych to z kolei firewalle, szyfrowanie danych i programy antywirusowe. Skutecznym rozwiązaniem jest też koncepcja tzw. białych list (whitelisting).

Jest to metoda odwrotna do tej stosowanej w programach antywirusowych, które bazują na tzw. czarnych listach znanych zagrożeń. W tym wypadku tworzony jest natomiast wykaz bezpiecznych aplikacji, a każda próba uruchomienia programu spoza tej listy traktowana jest jak atak.

Dzięki temu oprogramowanie nieautoryzowane jest automatycznie blokowane. Uważa się, że gdyby metoda białych list była stosowana powszechnie, można by zapobiec infekcji Stuxnetem, a w przyszłości skutecznie uniemożliwić także kolejne ataki typu zero day.

Jaki cel mieli twórcy Duqu?

Pod koniec 2011 roku firma Symantec otrzymała od laboratorium, które zajmuje się bezpieczeństwem systemów informatycznych na jednym z węgierskich uniwersytetów, informację o odkryciu nowego zagrożenia w europejskiej cyberprzestrzeni. Robaka nazwano Duqu, od przedrostka DQ tworzonych przez niego plików. W związku z podobieństwem do Stuxnetu uznano, że oba wirusy z dużym prawdopodobieństwem stworzyły te same osoby albo ktoś, kto miał dostęp do kodu źródłowego tego pierwszego. Po zbadaniu Duqu stwierdzono jednak, że miał on inny cel niż poprzednik.

Okazało się, że było to oprogramowanie złośliwe typu RAT (Remote Access Trojan), które za zadanie miało wykradanie informacji oraz dokumentacji technicznej dotyczącej infrastruktury oraz systemów przemysłowych i nie tylko. Ułatwiłyby one w przyszłości ataki o mechanizmie podobnym do sposobu, w jaki działał Stuxnet.

Elementy składowe
Duqu składał się z pliku sterownika, biblioteki DLL oraz pliku konfiguracyjnego. Wymagały one instalacji, podczas której plik sterownika był rejestrowany w systemie jako usługa, dzięki czemu uruchamiał się po każdym restarcie systemu. Następnie umożliwiał on rozpakowanie komponentów z biblioteki DLL, te z kolei dołączały do innych procesów uruchomionych w systemie.

Dzięki temu obecność i aktywność Duqu mogły pozostawać przez dłuższy czas niezauważone przez programy antywirusowe. Ponadto w jednej z wersji pliki wirusa miały certyfikat bezpieczeństwa podpisany prawdziwymi cyfrowymi kluczami prywatnymi, które wykradziono pewnej firmie z Tajwanu. Umożliwiało to ominięcie zabezpieczeń, które blokują pliki pochodzące z niezaufanych źródeł.

Jak atakował Duqu?
W jednym z ataków hakerzy użyli specjalnie przygotowanego e-maila z dokumentem Microsoft Word w załączniku. Zawierał on program, który wykorzystywał wcześniej nieznaną lukę bezpieczeństwa (0-day exploit), aby zainstalować Duqu. Następnie przez Internet komunikował się on z serwerami zagranicznymi. W każdym ataku korzystano z jednego albo kilku serwerów - m.in. w Indiach, Belgii oraz Wietnamie.

Skonfigurowano je tak, aby przekierowywały połączenia na inne serwery, które kierowały je na kolejne, przez co trudno było zlokalizować pierwotny, z którego kierowano atakiem. Z tego ostatniego przesyłano też dodatkowe programy szpiegujące, m.in. rejestrujące naciśnięcia klawiszy, pobierano skradzione dane oraz wysyłano i odbierano nieszkodliwe pliki wyłącznie po to, aby generować sztuczny ruch sieciowy.

Choć Duqu nie miał zdolności samopowielania się, jego rozprzestrzenianiem się na inne komputery w tej samej sieci kierowano za pośrednictwem zdalnego serwera. Robaka zaprogramowano tak, by po 30 dniach automatycznie sam usunął się z systemu. Dzięki temu, jeżeli atakujący utracili kontrolę nad zainfekowanym komputerem, na przykład w wyniku wyłączenia jednego z serwerów pośredniczących, po miesiącu wszelkie ślady zewnętrznej ingerencji były zacierane.

BIAŁE CZY CZARNE?

Ważną zaletą metody białych list jest to, że nie wymaga wcześniejszej wiedzy o zagrożeniu. Niestety występują też komplikacje hamujące jej rozpowszechnianie się, z których główna związana jest z koniecznością ciągłego aktualizowania wykazu. W związku z tym, że potrzeby oraz wymagania użytkowników w zakresie oprogramowania ciągle się zmieniają, a wiele aplikacji należy systematycznie uaktualniać, zarządzanie takim wykazem z czasem staje się wyzwaniem.

Prezydent Iranu Mahmoud Ahmadinejad odwiedzający zakład wzbogacania uranu w Natanz; obiekt ten był jednym z celów ataku z wykorzystaniem robaka Stuxnet

Na szczęście problem ten dotyczy w większym stopniu komputerów osobistych niż systemów sterowania i automatyki w przemyśle. W ich przypadku bowiem stosuje się zupełnie inne podejście w zakresie zmian i aktualizacji oprogramowania, rzadziej modyfikując raz skonfigurowany system. Skuteczność koncepcji białych list można dzięki temu jeszcze zwiększyć, dzieląc dany system na segmenty, dla których tworzone są niedługie i bardzo szczegółowe wykazy.

Zaleca się, aby zgodnie z zasadą ochrony warstwowej, nie rezygnować całkowicie z oprogramowania antywirusowego na rzecz metody białych list. Taka decyzja może bowiem mieć poważne konsekwencje, jeśli zanim powstanie wykaz w komputerze, zostanie zainstalowana złośliwa aplikacja, która następnie zostanie uznana za dozwoloną. Jeżeli wówczas regularnie uruchamiany będzie skaner antywirusowy, z czasem na pewno wykryje zagrożenie.

KOMUNIKACJA JEDNOKIERUNKOWA

Drugą metodą jest komunikacja jednokierunkowa, którą realizuje się na poziomie sprzętowym. Polega ona na wykorzystaniu specjalnych urządzeń (tzw. data diodes), które pozwalają na przepływ informacji w sieci tylko w jednym kierunku, tzn. bez kanału zwrotnego.

W takim układzie jedną stroną łącza jest nadajnik, ale bez odbiornika, a drugą urządzenie skonfigurowane odwrotnie. Metoda ta do tej pory była wykorzystywana głównie w systemach bezpieczeństwa w wojsku oraz w sieciach rządowych, jednak w obliczu cyberzagrożeń zainteresowanie nią coraz częściej wykazuje przemysł, a przede wszystkim energetyka, w tym nuklearna.

Łączność jednokierunkową najczęściej wdraża się w takim przypadku na styku system sterowania - sieć informatyczna przedsiębiorstwa. Ponieważ większość przemysłowych protokołów komunikacyjnych wykorzystuje łączność dwukierunkową, należy zastosować dodatkowe rozwiązania, które symulują transmisję danych w obu kierunkach.

W tym celu wykorzystuje się najczęściej specjalistyczne oprogramowanie, które symuluje przesył lub odbiór informacji w zależności od wymagań danej konfiguracji. Dzięki takiemu zabezpieczeniu personel wciąż ma dostęp do niezbędnych informacji, ale atak z zewnątrz jest znacznie utrudniony.

Na przykład Stuxnet, chociaż byłby w stanie rozpowszechnić się w tak chronionej sieci, jednak nie mógłby aktualizować się ani wysyłać danych na zewnętrzne serwery. Największą wadą tej metody jest dość duży koszt realizacji. W ramce przedstawiamy też inne zalecenia, których wdrożenie poprawia cyberbezpieczeństwo zakładów przemysłowych.

SKALA I TYPY ZAGROŻEŃ

W roku 2014 amerykańska organizacja Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) została poinformowana o 245 cyberincydentach, do których doszło w USA. Większość ataków dotknęła przemysł energetyczny i produkcyjny, w tym producentów komponentów systemów sterowania. W przypadku tych ostatnich celem hakerów było szpiegostwo.

Do ICS-CERT zgłaszano różne zdarzenia. Były to m.in. te, których celem było uzyskanie nieautoryzowanego dostępu do komponentów systemów automatyki i SCADA przez Internet, ataki, które wykorzystywały luki bezpieczeństwa typu 0-day w sprzęcie i w oprogramowaniu systemów sterowania oraz incydenty, które polegały na zainfekowaniu złośliwym oprogramowaniem systemów niepodłączonych do Internetu (air-gapped). Doniesiono oprócz tego o atakach typu SQL injection wykorzystujących luki w zabezpieczeniach aplikacji internetowych i ukierunkowanych, spersonalizowanych, poprzedzonych wywiadem, atakach typu spear phishing.

Na pewno w rzeczywistości wydarzyło się więcej cyberincydentów. Nie wszystkie są jednak zgłaszane. Przyczyny tego mogą być różne. Jedną z głównych jest obawa o negatywny publiczny odbiór takiego zdarzenia i posądzenie o niekompetencję ze strony klientów i firm współpracujących z zaatakowanym przedsiębiorstwem. Organizacje takie jak m.in. ICS-CERT zachęcają jednak do tego, żeby zgłaszać wszystkie cyberincydenty. Dzięki temu sposób działania hakerów można poddać analizie, co ułatwia ochronę przed ich przyszłymi atakami.

Badania poszczególnych przypadków są przydatne przy tworzeniu norm. Przykład takiego dokumentu to globalny standard cyberbezpieczeństwa zakładów przemysłowych ISA/IEC-62443, wcześniej znany pod nazwą ISA99.

Jak zapewnić cyberbezpieczeństwo w zakładzie?

Najlepiej nie dopuszczać do sytuacji, w której urządzenia w systemie sterowania i automatyki komunikują się z tymi podłączonymi do sieci korporacyjnej lub do Internetu. Uważać trzeba przy tym na połączenia pośrednie. Na przykład chociaż dane urządzenie nie jest podłączone do Internetu, ale wymienia się danymi z innymi, które łączą się z globalną siecią, staje się przez to podatne na atak. Hakerzy są zazwyczaj w stanie takie połączenie wyśledzić i wykorzystać.
Warto wykonać segmentację sieci. Polega ona na podzieleniu jej zasobów, a potem ograniczeniu dostępu do poszczególnych ich grup. Dzięki temu, nawet gdy hakerzy złamią zabezpieczenia jednego węzła lub całego sektora, nie zainfekują pozostałych. Jeżeli natomiast sieć nie będzie podzielona na segmenty, włamując się do jednego urządzenia o najniższym poziomie zabezpieczeń, za jego pośrednictwem uzyskają dostęp do innych. W związku z upowszechnieniem się idei Internetu Rzeczy wiele urządzeń, wcześniej do niego niepodłączanych, zacznie z niego korzystać. Dlatego segmentacja staje się obowiązkowa. Dostęp do sektorów sieci najlepiej zabezpieczyć firewallem.
Zdalny dostęp do wewnętrznych zasobów przedsiębiorstwa warto realizować w ramach sieci VPN (Virtual Private Network) z transmisją szyfrowaną.
Dostęp do określonych zasobów musi być ograniczany na podstawie funkcji pracowników. Na przykład personel działu księgowości nie może mieć tych samych uprawnień, co operatorzy systemu SCADA i odwrotnie. We współpracy z działem kadr należy też aktualizować listę pracowników, aby uniknąć sytuacji, w której osoby niepowołane, na przykład zwolnione albo z firm zewnętrznych, z którymi już zakończono współpracę, wciąż mają aktywne konta użytkowników w systemie. Ponadto dzięki temu, że dostęp do niego nie jest anonimowy, można sprawdzić kto, kiedy i jakie czynności podejmował. W tym celu trzeba także monitorować ruch w sieci. Należy oprócz tego pamiętać o zmianie domyślnych haseł po zainstalowaniu nowego oprogramowania lub sprzętu. Hasła do kont użytkowników i inne ważne powinno się regularnie zmieniać.
Trzeba pamiętać o regularnym pobieraniu i instalacji aktualizacji oprogramowania. Należy także śledzić informacje ogłaszane przez producentów komponentów automatyki o ostatnio wykrytych lukach bezpieczeństwa w ich produktach.
Powinno się korzystać wyłącznie z programów z pewnych źródeł.
Aby uniknąć zainstalowania nieautoryzowanego oprogramowania, uprawnienia do tej czynności powinna mieć tylko ograniczona liczba użytkowników. Nie ochroni to jednak przed plikami, które wystarczy skopiować do katalogu i uruchomić, bez wcześniejszej instalacji. By zabezpieczyć się przed wgraniem złośliwego oprogramowania tego rodzaju, zwykle dezaktywuje się interfejs USB i napędy CD/DVD.
Nieużywane porty należy zablokować, a usługi - wyłączyć.
Szkolenia personelu, które uświadomią mu zagrożenia wynikające z cyberataków i przedstawią najnowsze metody, jakie stosują hakerzy, by przeniknąć do atakowanego systemu, są koniecznością. Dotychczasowe cyberincydenty dowodzą bowiem, że w nawet najlepiej chronionym systemie najsłabszym ogniwem zawsze jest człowiek.