06.06.2012

»нформационна€ безопасность промышленных контроллеров

image

ѕрограммируемый логический контроллер (ѕЋ ) (или PLC Ц Programmable Logic Controller) - устройство используемое дл€ автоматизации технологических процессов.

јвтор: ‘ред ќроско ƒиас

ѕрограммируемый логический контроллер (ѕЋ ) (или PLC – Programmable Logic Controller) - устройство используемое дл€ автоматизации технологических процессов. ¬ отличии от встраиваемых систем и микроконтроллеров, ѕЋ  изготавливаетс€ как самосто€тельное изделие, отдельно от управл€емого при его помощи оборудовани€. ¬ системах управлени€ технологическими процессами ѕЋ  взаимодействуют с различными компонентами систем человекомашинного интерфейса (например операторскими панел€ми) или рабочими местами операторов на базе ѕ . ƒатчики и исполнительные устройства подключаютс€ непосредственно к самой ѕЋ  или к дополнительным модул€м входов/выходов.

ƒанна€ стать€ посв€щена информационной безопасности промышленных контроллеров. »нтерес исследователей к всевозможным у€звимост€м в данных устройствах растет с каждым днем. » есть отчего: именно эта категори€ информационно-управл€ющих систем максимально приближена к «грубому железу» — станкам, технологическому оборудованию, исполнительным механизмам электростанций, системам транспортировки нефти и газа, словом, к тем устройствам, нештатна€ работа (или просто блокировка) которых может привести к последстви€м, сравнимыми с результатами диверсий.

Ќа сегодн€шний момент существующие подходы к обеспечению информационной безопасности элементов ј—” “ѕ €вл€ютс€ недостаточными в виду особенностей архитектуры и свойств программно-аппаратного обеспечени€ еЄ элементов, что предоставл€ет злоумышленнику несколько векторов воздействи€ на технологические автоматизированные системы.

«а период с 2008 по 2010 год в элементах ј—” “ѕ, составл€ющих еЄ программно-аппаратную базу, были обнаружены множественные у€звимости, которые могут привести к нарушению корректной работы технологического процесса и реализации угроз несанкционированного доступа к информации, обрабатываемой в:

  • системах диспетчерского управлени€ и сбора данных (SCADA)
  • элементах телеметрической подсистемы и телемеханики
  • прикладных приложени€х дл€ анализа производственных и технологических данных
  • системах управлени€ производством

—уществует несколько мифов об ј—” “ѕ.

ћиф 1. ѕќ ј—” “ѕ обладает большей надежностью и меньшим количеством ошибок

Ќа самом деле количество ошибок в ѕќ напр€мую зависит лишь от его сложности. ѕо некоторым данным, в 2008-2010 годах было обнаружено не менее 17 у€звимостей в ѕќ компонентов ј—” “ѕ. ÷ифра не очень больша€, но сюда надо добавить сотни и тыс€чи у€звимостей, унаследованных от »“-технологий вместе с теми техническими решени€ми, которые используютс€ на предпри€ти€х. ’от€ они и не €вл€ютс€ направленными, тем не менее, представл€ют конкретную угрозу.

ћиф 2. —еть ј—” “ѕ полностью изолирована и состоит всего из нескольких компьютеров

ѕромышленный вирус Stuxnet, помимо распространени€ через Ћ¬—, также способен записывать свою копию на USB-накопители. ¬ результате оператор ј—” “ѕ, заразив USB-накопитель, записывает на него какой-то безобидный файл, например обновление дл€ сервера или текстовый файл, и переносит его на компьютер, установленный в сегменте ј—” “ѕ. “ам при открытии диска происходит заражение, причем дл€ этого пользователю ничего не нужно запускать. ѕосле успешной установки Stuxnet будет скрывать собственные файлы на USB-накопителе, а остальные компьютеры попробует заразить через сеть.

ћиф 3. »спользование средств безопасности на периметре сегмента ј—” “ѕ достаточно

Ётот миф частично перекликаетс€ с мифом No 2 (в том, что любую периметральную защиту можно легко обойти, использу€ зараженный USB-накопитель). ѕоэтому сегмент ј—” “ѕ должен быть последним рубежом обороны, обеспечива€ защиту на уровне хостов, и должен использовать возможности телекоммуникационной инфраструктуры дл€ разделени€ трафика в цел€х ограничени€ дальнейшего распространени€ черв€ или вируса.

ћиф 4. »справлени€ ѕќ, сделанные его производителем, помогут исправить у€звимость и остановить угрозу

Ёто утверждение верно лишь частично, так как практически всегда существует задержка между публичным анонсом об обнаружении у€звимости и по€влением исправлений от производител€. «адержка может составл€ть от нескольких недель до года, как в случае с ѕќ дл€ ј—” “ѕ, так и в отношении »“-продуктов. Ёто означает, что в течение всего этого времени ј—” “ѕ будет у€звимой! ѕримером может быть одна из у€звимостей в ќ— Windows, используема€ червем Stuxnet дл€ эскалации привилегий, котора€ по прошествии нескольких мес€цев по-прежнему остаетс€ неустраненной.

ѕромышленный вирус Stuxnet

–ечь идет о чрезвычайно высокотехнологичном вредоносном ѕќ во всех его про€влени€х. ƒанный червь использует четыре ранее неизвестные у€звимости системы Microsoft Windows, одна из которых направлена на распространение при помощи USB-flash накопителей. ѕричем данна€ у€звимость вы€влена во всех верси€х Windows, включа€ XP, CE, Vista, 7, Windows Server 2003, 2008 и 2008R2, как в 32 разр€дных, так и в 64 разр€дных. ”€звимость заключаетс€ в выполнении кода при попытке системы отобразить иконку c накопител€, например, при просмотре в проводнике. »сполнение кода происходит даже при полностью отключенном автозапуске дл€ всех носителей.  роме этого в коде зловреда реализована и возможность заражени€ по сети. Ќо, тем не менее, на большинство промышленных объектов червь попал именно через внешние носители.

 роме распространени€ посредством внешних носителей червь также успешно заражает компьютеры посредством соединени€ через локальную сеть. “о есть оказавшись на компьютере вне промышленной сети, он анализирует все активные сетевые соединени€ и Ђпробиваетс€ї к промышленной сети всеми возможными способами. ѕосле внедрени€ в систему вредоносное ѕќ ищет в ней присутствие SCADA-системы фирмы Siemens. ѕричем им атакуютс€ только системы SCADA WinCC/PCS7. ƒанных о заражении другой SCADA-системы от Siemens Ц Desigo Insight, котора€ широко используетс€ дл€ автоматизации зданий и жилых комплексов, аэропортов и т.д., у нас нет. Ёто говорит о Ђзаточенностиї черв€ на крупные промышленные и стратегические объекты.

 огда червь Ђпонимаетї, что оказалс€ на машине с WinCC, он заходит в систему, использу€ стандартные учЄтные записи. —тоит заметить, что официальный Siemens не рекомендует мен€ть стандартные пароли на своих системах, так как Ђэто может повли€ть на работоспособность системыї, и использование червем стандартных паролей гарантирует почти 100% успешной авторизации. »так, вирус соедин€етс€ с WinCC и таким образом получает доступ к технологическому процессу. Ќо и это еще не все… ќн Ђосматриваетс€ї в локальной сети ј–ћа. Ќайд€ в ней другие ј–ћы, червь заражает и их, использу€ 0day у€звимости в службе печати Windows. “акже червь видит в сети и контроллеры. “ут мы дошли, пожалуй, до самого главного и опасного его функционала: да, Stuxnet умеет перепрограммировать PLC, естественно не все, а только Simatic фирмы Siemens. » это не так мало, если учесть, что на этих контроллерах построен технологический процесс на огромном количестве объектов, в том числе стратегических и военных.

Ќапример, атомна€ станци€ в »ране (Ѕушер), которую многие эксперты считают Ђцельюї этого кибероружи€, конечно, не использует контроллеры Siemens дл€ управлени€ самим реактором, но использует их в большом количестве дл€ управлени€ вспомогательным оборудованием. ј этого вполне достаточно чтобы червь мог парализовать работу атомной станции. ѕричем сам процесс Ђпарализацииї проходит очень интересно. “ро€н не записывает в контроллеры мусор и не выводит их из стро€. Ђ∆ив€ї в системе достаточно долгое врем€, он накапливает информацию о технологическом процессе, о режимах работы оборудовани€. ѕример: допустим, аварийна€ уставка по температуре охлаждающей жидкости в установке равна 75°—. Ќормальна€ температура работы Ц 40-45∞—. »зменение значени€ аварийной остановки в контроллере с 75 до 40’ приведЄт к тому, что контроллер будет инициировать остановку агрегата по аварии в тот момент, когда он достигает своей нормальной рабочей температуры. »ли ещЄ хуже Ц уставка мен€етс€ в другую сторону, и агрегат продолжает работать после перегрева до полного самоуничтожени€. ѕри этом на экране SCADA-системы оператор продолжает видеть нормальные значени€ и уставки, которые тро€н подмен€ет в реальном времени. » если это, например, установка, перекачивающа€ газ, управл€ема€ —ј” турбоагрегатами Ђпоследнегої поколени€, то изменение уставок может привести к исчезновению с карты всей компрессорной станции вместе с прилегающими к ней районами.

“ипичные угрозы

–ассмотрим, какие угрозы влечет за собой типова€ топологи€ технологической сети. ¬ ней отдельно выдел€ют (в зависимости от природы технологических процессов) три зоны Ц корпоративную (не имеет никакого отношени€ к управлению, занимаетс€ исключительно бизнес-процессами), исполнительную (непосредственное звено, где выполн€ютс€ технологические процессы, например, перерабатываетс€ химическое вещество или осуществл€етс€ управление движением жидкостей) и зону диспетчеризации (там наход€тс€ операторы ј—” “ѕ, которые могут повли€ть на ход выполнени€ технологического процесса).

1) »сполнительные устройства и подсистема телеметрировани€

ќчень часто электронна€ компонентна€ база используемых устройств не позвол€ет внедрить туда столь попул€рные технологии как IPSec, SSL, организовать VPN. “ем не менее, доступ к этим устройствам нужен всегда. Ѕолее того, некоторые из этих устройств выступают в качестве устройств сбора информации (телеметрии) о показател€х выполнени€ технологического процесса с датчиков и так далее. ¬ них же могут накапливатьс€ сообщени€ о тревогах и авари€х, что весьма критично. ¬ этой св€зи очень важно назначать им публично доступный IP-адрес, что, к сожалению, встречаетс€ сплошь и р€дом. ¬ некоторых ситуаци€х избежать этого невозможно при допущени€х ошибок проектировки сети.

Ќапример, современные промышленные контроллеры могут быть соединены напр€мую или через модем. ѕри подключении через модем их часто объедин€ют с GPRS/GSM-модемами, что по умолчанию надел€ет устройство IP-адресом мобильного оператора. ѕри такой конфигурации они очень у€звимы дл€ атак извне. —пециализированными утилитами и методами злоумышленник может вы€вить подобные устройства. —ами исполнительные устройства, как правило, подключаютс€ по последовательному интерфейсу (RS-232 / RS-485) к MODBUS-серверу, а непосредственно MODBUS-сервер имеет управление по TCP/IP через канал Ethernet / Industrial Ethernet с операторами.

2) ѕарк операторов

ѕерва€ проблема Ц операторы наход€тс€ в самом сложном положении, потому что вопросы режима среди них зачастую не соблюдаютс€. ¬тора€ проблема Ц к ним часто допускают иностранных специалистов, которые могут иметь не совсем благие намерени€.  ак показала практика внедрени€ черв€ Stuxnet на атомной станции в Ѕушере (»ран), инженером инсайдером обслуживающего подразделени€ была внедрена вредоносна€ программа с USB-носител€.

ќператоры имеют возможность подключатьс€ к системе SCADA, как правило, с разным уровнем привилегий, планировать и внедр€ть новые проекты, измен€ть существующие. Ќесмотр€ на множество у€звимостей в ѕќ систем диспетчеризации, основной угрозой по-прежнему остаетс€ инсайд.

3)  орпоративна€ зона (зона BAN Ц Business Area Network)

¬ корпоративной зоне наход€тс€ люди, которые, как правило, €вл€ютс€ организацией-владельцем всего того, о чем мы говорили. ¬ секторе энергетических или нефтетранспортирующих организаций это особенно очевидно Ц все их хоз€йство может находитс€ на самых различных континентах. BAN непосредственно озабочена извлечением прибыли, почему большую часть времени они посв€щают изучению финансово-экономических вопросов своего бизнеса.

ќтдельной угрозой, частично использующей штатные методы дл€ исполнени€, €вл€етс€ распространение злонамеренного кода дл€ кражи критически важных данных о проектах технологических процессов и нарушени€ их корректной работы, подтверждение чему €вл€етс€ факт распространени€ вредоносного кода ЂRootkit.TmpHiderї и ЂScope.Rookit.TmpHider.2ї. ћногие попул€рные системы диспетчеризации (SCADA) базируютс€ на платформе ќ— Microsoft Windows, поэтому данный факт указывает на необходимость обеспечени€ информационной безопасности операционной системы, на которую устанавливаетс€ прикладное программное обеспечение.

—уществующие у€звимости

1) ѕереполнение буфера в RealWin

RealWin - SCADA-сервер приложение специально разработанное компанией RealFlex Tecnologies Ltd дл€ средних и малых проектов, предназначенных дл€ контрол€ и мониторинга объектов в реальном времени. RealWin приложение работает как служба HMI (Human Machine Interface Ц человекомашинный интерфейс) на порту 912 TCP протокола. Ёта служба у€звима к двум видам переполнени€ буфера.

¬оздействие:
«лоумышленник может вызвать отказ в обслуживании или теоретически выполнить произвольный код с привилеги€ми сервисной учетной записи на целевой машине. ≈сли сервисна€ учетна€ запись имеет административные привилегии, злоумышленник может захватить полный контроль над у€звимой системой.

2) ѕереполнение буфера в InduSoft NTWebServer

InduSoft Web Studio это мощный пакет программного обеспечени€ дл€ разработки HMI, SCADA-систем, основанна€ на WEB-технологии и имеюща€ встроенную поддержку многих попул€рных контроллеров от разных производителей. InduSoft NTWebServer использует тестовую веб службу на порту 80 TCP протокола. ƒанна€ служба NTWebServer-а подвержена у€звимости переполнени€ буфера, что вызывает повреждение пам€ти.

¬оздействие:
«лоумышленник может привести службу к сбою и получить возможность выполнить произвольный код.

3) ”€звимость в Invensys Wonderware InBatch

Wonderware InBatch - программный пакет, предназначенный дл€ автоматизации процессов дозировани€ и смешивани€. InBatch использует службу Ђменеджер блокировок базы данныхї (lm_tcp), котора€ прослушивает порт 9001 (вручную или автоматически во врем€ запуска среды). Foxboro I/A Series так же включает в себ€ приложение, использующее данную службу. —лужба lm_tcp обоих продуктов у€звима к переполнению буфера.

¬оздействие:
«лоумышленник может привести к сбою устройства и получить возможность выполнить произвольный код.

4) ѕереполнение буфера в элементе ActiveX в Open Automation Software.

Open Automation Software Ц пакет различных продуктов начина€ от управлени€ SCADA и HMI, заканчива€ решени€ми дл€ бизнеса. ”€звимость позвол€ет привести систему к сбою и выполнить произвольный код. Ёксплоит находитс€ в свободном доступе.

5) ”€звимости в WAGO 750-841 and 758-874

WAGO IO SYSTEM Ц одна из важнейших модульных систем дл€ промышленности, производства и автоматизации. »меют множество у€звимостей.

  • ћожно сменить пароль, заставив администратора перейти по вредоносной ссылке. —сылка дл€ смены парол€ включает в себ€ три параметра, которые позвол€ют при переходе изменить пароль администратора.
  • Ќекоторую информацию можно просмотреть через веб-интерфейс программируемого контроллера без авторизации.
  • „ерез веб-интерфейс программируемого контроллера можно скачать прошивку без авторизации. ¬озможно скачать прошивку использу€ HTTP запрос.
  • »спользуютс€ пароли по умолчанию.

ќбеспечение безопасности

 акой инструментарий потребуетс€ дл€ анализа безопасности ј—” “ѕ, учитыва€, что дело придетс€ иметь с системами управлени€ и диспетчеризации технологическими процессами? «десь придетс€ работать на стыке известных технологий и отдельных специальных решений, потому что больша€ часть известных ј—” “ѕ и систем SCADA развертываетс€ на традиционных платформах (Windows, Linux).

Ќа сегодн€шний день известно не так много узкоспециализированных программных средств анализа защищенности ј—” “ѕ / SCADA:

  • ѕ  ЂSCADA-јудиторї (отечественный сканер анализа защищенности технологических сетей, ј—” “ѕ / SCADA);
  • Teenable Nessus (содержит несколько модулей проверок систем SCADA и р€да программируемых логических контроллеров в коммерческой версии);
  • Rapid7 Metasploit Project (фреймворк дл€ общей оценки безопасности системы). ≈стественно, помимо специализированного софта, в ход идет и традиционный инструментарий, Ч например, сетевые сканеры.

–ассмотрим несколько способов дл€ обеспечени€ безопасности промышленной сети:

1) јнализ рисков

Ќужно знать от кого/чего мы защищаемс€, и что конкретно мы защищаем. Ќеобходимо определить все активы, вход€щие в ј—” “ѕ, составить сетевую диаграмму и вы€вить все подключени€ к промышленной сети, вы€вить критичные активы дл€ функционировани€ ј—” “ѕ.

¬ процессе анализа рисков, специалистом вы€вл€ютс€ Ђузкиеї места в архитектуре ј—” “ѕ, определ€ютс€ угрозы и у€звимости ј—” “ѕ и оцениваетс€ текущий уровень защищенности активов.

—тепень сложности анализа рисков определ€етс€ организацией. Ёто может быть как экспертный, так и качественный или количественный анализ.

2) ”брать все лишнее

Ќенужные сервисы Ч это возможные у€звимости. Ќа данном шаге мы, по возможности, убираем следующее:

  • лишние подключени€ к промышленной сети;
  • неиспользуемые сервисы (сетевые протоколы, неиспользуемые возможности программных продуктов и т.д.)
  • излишние права пользователей, например права администратора. ≈сли есть возможность, то желательно использовать бездисковые рабочие станции и удаленный доступ.

Ќеобходимо оставить только то, что необходимо дл€ функционировани€ ј—” “ѕ.

3) Ќастроить средства защиты

¬недрить технические и физические меры защиты. Ќа данном шаге мы защищаем все что осталось, а именно:

  • ќпредел€ем политику безопасности ј—” “ѕ;
  • Ќастраиваем имеющиес€ средства защиты, согласно требовани€м по безопасности;

ѕри необходимости, внедр€ем новые защитные меры (—истема контрол€ и управлени€ доступом, видеонаблюдение, антивирусные средства, межсетевой экран и т.д.).

4) ¬недрить процессы обеспечени€ информационной безопасностью

¬недрить следующие процессы обеспечени€ информационной безопасности:

- ”правление правами доступа
ѕользователи ј—” “ѕ должны иметь только те права, которые им необходимы дл€ выполнени€ их должностных об€занностей. ѕроцесс предоставлени€ и изменени€ прав должен быть контролируемым.

- ”правлени€ конфигураци€ми и изменени€ми
ƒанный процесс должен охватывать как изменени€ в программном обеспечении ј—” “ѕ, так и в аппаратной ее части. ¬се изменени€ конфигурации ј—” “ѕ должны планироватьс€ и проходить тестирование в тестовой среде перед непосредственной реализацией в промышленной сети.

- ќбслуживание технических средств
¬се оборудование ј—” “ѕ должно проходить техническое обслуживание. ƒолжны быть установлены нормативы замены устаревшего оборудовани€. Ќапример, согласно паспорту устройства, после 5 лет эксплуатации датчика веро€тность его выхода из стро€, может составл€ть 35%. ƒовольно часто така€ веро€тность считаетс€ недопустимой дл€ определенный процессов.

- ”правление инцидентами информационной безопасности
ƒанна€ процедура должны быть установлена дл€ эффективного реагировани€ на любые атаки, а также дл€ последующего анализа причин их возникновени€ и последующего анализа динамики инцидентов.

- јудит информационной безопасности
ѕризнак зрелой организации Ч это идентификаци€ своих слабых мест, проведение анализа причин и применение корректирующих действий. ѕроцесс аудита обычно часть такой организации, который включает сканирование на у€звимости и проверку выполнени€ установленных требований по безопасности.

5) ќбучить пользователей

¬се предыдущее тер€ет смысл без участи€ пользователей. Ћюди могут быть слабой точкой в хорошо защищенной сети. Ќеобходимо проведение тренингов и курсов повышени€ осведомленности, дл€ того чтобы персонал оставалс€ бдительным в ситуаци€х касающихс€ информационной безопасности.

Ќаиболее интересные инциденты

–усска€ компани€ Ќ“÷ Ђ—танкоинформзащитаї, занимающа€с€ безопасностью ј—” “ѕ, опубликовала аналитический отчет с анализом инцидентов информационной безопасности ј—” “ѕ зарубежных государств за 2008-2010 годы. Ќаиболее интересные из них:

7 марта 2008 года, Ѕлок 2 €дерной станции ЂHatchї (штат ƒжорджиа, —Ўј), внештатное аварийное выключение на 48 часов после установки обновлени€ программного обеспечени€ (похожий инцидент случилс€ в 2006 году на €дерной станции ЂBrowns Ferryї из-за нештатного сбо€ программируемого логического контроллера при получении аномального выходного сетевого трафика из производственной сети);

ћай 2008 года,  орпораци€ Tennessee Valley Authority (TVA) (в ведомости данной энергетической корпорации наход€тс€ 11 угольных станций, 8 “Ё—, 3 €дерных станции, 29 √Ё— —Ўј), проверка регул€торов (GAO, HHS) вы€вила пор€дка 2000 у€звимостей разной степени критичности. —реди брешей в безопасности были вы€влены сегменты производственной сети, подключенные к интернету, множественные у€звимости прикладного ѕќ, отсутствие обновлений безопасности, ошибки в проектировании архитектуры сети и каналов обмена данными.

¬ывод

„тобы убедить руководство всерьез зан€тьс€ защитой ј—”“ѕ, нужны очень квалифицированные специалисты, понимающие архитектуру именно этих систем и особенности их функционировани€, умеющие анализировать специфическое ѕќ, строить сценарии развити€ событий в случае нарушений и информировать владельцев технологических процессов об информационной безопасности в пон€тных им терминах. Ќужен тщательный анализ лучших практик по западным стандартам безопасности дл€ ј—”“ѕ, грамотный перевод и адаптаци€ уже существующих в них стандартов обеспечени€ безопасности.

»нформационна€ безопасность Ч это непрерывный процесс. Ѕизнес процессы мен€ютс€, по€вл€ютс€ новые угрозы и открываютс€ новые у€звимости, поэтому как минимум раз в год необходимо проводить анализ рисков, аудит и пересмотр существующей системы безопасности с целью ее дальнейшего улучшени€.

—писок использованной литературы

  1. “Ѕезопасность SCADA: Stuxnet Ц что это такое и как с ним боротьс€?” (ѕавел ¬олобуев, 2010 год, Digital Security)
  2. Уќсобенности обеспечени€ информационной безопасности систем SCADAФ (√арбук —.¬.,  омаров ј.ј., –ус рипто'2010).
  3. УЌасколько Ђдыраї широка?Ф (—.√ордейчик, Positive Technologies, Ђќткрытые системыї, 2006 год);
  4. ћатериалы SANS Process Control; SCADA Security Summit 2010;
  5. УSCADA под прицелом: јнализ защищенности ј—” “ѕФ (ёрий  аминков, Ќ“÷ Ђ—танкоинформзащитаї)
  6. ћеждународный стандарт ћЁ  61131 о €зыках программировани€ дл€ ѕЋ  ”€звимости SCADA и PLC в исправительных учреждени€х (Teague Newman, Tiffany Rad, John Strauchs)
или введите им€

CAPTCHA