Zagrożenia internetowe I kw. 2011

Przeczytaj także: Zagrożenia internetowe III kw. 2010

SCADA – czy to dopiero początek?

21 marca 2011 roku na liście mailingowej seclists.org opublikowano informację o 24 lukach w systemach SCADA dostarczanych przez różnych producentów (takich jak Siemens, Iconics, 7-Technologies oraz DATAC itd.).

Po szeroko nagłośnionym incydencie ze Stuxnetem, systemy SCADA wzbudzają coraz większy niepokój wśród firm zajmujących się bezpieczeństwem. Systemy te kontrolują operacje przebiegające w obiektach przemysłowych, elektrowniach, systemach sygnalizacji świetlnej oraz innych obiektach mających krytyczne znaczenie dla naszego życia. Możliwość manipulowania takimi obiektami przez jakąś “siłę zewnętrzną” stanowi zagrożenie dla milionów ludzi.

Oprogramowanie SCADA zasadniczo nie różni się od typowych aplikacji. Jest napisane przy użyciu tych samych języków programistycznych, a do komunikacji wykorzystywane są dobrze znane protokoły, głównie sieciowe. Oprogramowanie SCADA - jak każde inne – jest tworzone przez człowieka, który siłą rzeczy może popełnić najwięcej błędów. Dlatego w oprogramowaniu tym często znajdowane są błędy podobne do tych wykrywanych w zwykłych programach. Na porządku dziennym znajdują się również exploity rozwijane dla takich systemów.

Należy pamiętać, że na świecie istnieje wiele systemów SCADA, które zostały skonfigurowane w czasie rozruchu kontrolowanych przez nie przedsiębiorstw i od tego czasu prawie wcale nie były aktualizowane. W praktyce aktualizacja takich systemów nie zawsze jest wykonalna, ponieważ niewiele przedsiębiorstw może pozwolić sobie na sklonowanie swoich obiektów przemysłowych w celu przetestowania łat.

Watro wspomnieć, że pakiet exploitów dla systemów SCADA jest już dostępny online, a niektóre z luk opublikowanych pod koniec marca nie zostały jeszcze załatane w czasie, gdy powstawał ten artykuł.

Cyfrowy brak zaufania?

Dzisiaj cała koncepcja “zaufania cyfrowego” – gwarancji, że źródła plików, bankowość internetowa, zakupy online, usługi poczty elektronicznej oraz telekomunikacyjne są dla nas bezpieczne – jest uwarunkowana tym, że możemy polegać na integralności mechanizmów weryfikacji podpisów cyfrowych oraz firm wydających takie certyfikaty cyfrowe.

Niestety nasza prognoza, w której przewidywaliśmy, że w 2011 roku certyfikaty cyfrowe staną się głównym problemem bezpieczeństwa IT, zaczyna się sprawdzać. Pod koniec marca Microsoft opublikował biuletyn, w którym informował, że w imieniu Comodo opublikowano dziewięć fałszywych certyfikatów, które domyślnie stanowią zaufane certyfikaty we wszystkich wersjach systemu Windows oraz Mac OS X. Fałszywe certyfikaty pozwalają cyberprzestępcom przeprowadzać ataki phishingowe, podrabiać zawartość stron internetowych oraz dokonywać ataków MITM (man-in-the-middle).

Według Comodo, wydanie fałszywych certyfikatów było możliwe na skutek uzyskania dostępu do kont dwóch zaufanych partnerów firmy. Incydent ten zwrócił uwagę na inną kwestię: ponieważ prawo do wydawania certyfikatów w imieniu zaufanej firmy można przenieść na osoby trzecie, bezpieczeństwo użytkowników zależy nie tylko od zaufanej firmy, ale również jej partnerów.

Certyfikaty te nie zostały wydane dla organizacji finansowych, ale dla stron internetowych, które są odwiedzane przez miliony użytkowników i należą do dużych korporacji (łącznie z takimi usługami jak Google, Gmail, Microsoft Live Mail, Yahoo!, Skype oraz dodatki do Mozilli). Nie jest to działanie typowe dla hakerów ze starej szkoły, których interesują przede wszystkim pieniądze i dlatego atakują organizacje finansowe. Ataki wykorzystujące fałszywe certyfikaty nie są przeprowadzane dla zysków finansowych, jednak w ich wyniku mogą zostać skradzione tożsamości ogromnej liczby użytkowników internetowych. Pasuje to do koncepcji nowej klasy cyberprzestępców, o której wspominaliśmy w naszym rocznym Biuletynie Bezpieczeństwa

Co ciekawe, według Comodo, ataki hakerskie na partnerów zostały przeprowadzone z Iranu. Również w tym państwie hostowano stronę internetową, na której został po raz pierwszy użyty fałszywy certyfikat. Następnie do ataku na system przyznała się osoba, która przedstawiła się jako irański haker samouk, i na dowód tego opublikowała nawet część prywatnego klucza. Wiadomo jednak, że atak został bardzo dokładnie zaplanowany i profesjonalnie przeprowadzony – co całkowicie wyklucza takiego sprawcę. Jak dotąd wysiłki znalezienia hakera, który tak otwarcie przyznał się do przeprowadzenia ataków, spełzły na niczym. Irański trop równie dobrze mógł być fałszywy i służyć jedynie odwróceniu uwagi od rzeczywistych sprawców.