IX Международная студенческая научная конференция Студенческий научный форум - 2017

Анализ проблематики

В современном мире большинство современных компаний старается автоматизировать свое производство. Крупные производители имеют дело с АСУ ТП, которая экономит их средства и время. В связи с этим компании используют в борьбе друг против друга хакерские атаки. А сегодня мы видим подобное противоборство и на международной арене. Вопросы первенства теперь решаются и на информационном поле боя.

Автоматизация различных процессов выступает, как добродетель, которая экономит ресурсы, улучшает качество продукции и увеличивает производительность. Так, например, в связи с тем, что электричество дорожает, глобальная экономика активно ищет альтернативные варианты электрификации. Помимо строительства солнечных и ветряных установок, во всем мире идет активное строительство «умных» сетей распределения электроснабжения. Такие сети называются «Smart Grid», и они позволяют использовать энергию рационально. Обычно, они автоматизированы и подключены к интернету, что само по себе является угрозой их безопасности. Поэтому возникает необходимость постоянно контролировать уровень защищенности таких сетей. [1]

На данный момент задача защиты электросетей нередко переходит в разряд вопросов национальной безопасности. Конечно, на базе «Smart Grid» можно внедрять современные системы безопасности. Но не все готовы к этим «новым» системам безопасности по различным причинам: дороговизна, найм и обучение новых сотрудников, лицензирование и т.д. Например, в 2003 году в США без электроэнергии осталось 50 млн человек из-за атаки вируса Slammer (Blaster). А в 2010 году компьютерный червь Stuxnet поразил серверы Иранской ядерной программы. Если бы он не был вовремя обнаружен специалистами, то мог бы отбросить развитие данной программы на десятилетия назад.

Тем временем прогресс шагает широкими шагами по миру. В 2013 году Китай инвестировал в «Smart Grid» 4,3 млрд долларов. Сегодня многие страны инвестируют в «Smart Grid» и «Smart meters» (система, предоставляющая возможность контролировать своё энергопотребление онлайн и выбирать более гибкие тарифы на носители). По итогу 2016 года Китай продолжает лидировать по объёму инвестиций в «Smart Grid» во всем мире. Хотя в энергетике Китая продолжает доминировать угольный сегмент, китайское правительство делает ставку на будущее, полагая что в ближайшие 5 лет возобновляемая энергия и атомные ресурсы позволят удовлетворить растущий внутренний спрос на энергоносители.

В 2017 году Казахстан станет местом проведения «World Expo». К этому времени в стране закончат строительство настоящего «города будущего», общей стоимостью $5 млрд. Вся инфраструктура будет объединена в единую умную электросеть (smart grid), в которой здания будут иметь коэффициент энергоэффективности от 30-40% до 75% за счёт использования возобновляемых ресурсов.

Современные архитекторы и инженеры представляют города в ближайшем будущем именно так: возобновляемые энергоресурсы, «умные» здания и, конечно, высокая степень оснащения современными технологиями учёта. Архитекторы считают, что город будущего не может обойтись без «Smart Grid». Особенно это отразится в энергетической отрасли, где развитие «Smart meters» способна увеличить эффективность национальных энергосистем в должной степени. «Smart meters» тесно связаны с понятием «Smart Grid» – современных, технически оснащённых сетей передачи ресурсов, где благодаря специальным ИТ-решениям достигается полный контроль за трафиком и могут быть реализованы функции продвинутого мониторинга и анализа. Для конечных потребителей развитие «Smart meters» – это большой прорыв, а для злоумышленников – большое поле для противозаконных действий.

Что касается более долгосрочной перспективы: Евросоюз принял решение, что к 2020 году 80% домохозяйств должны быть оснащены умными приборами учёта энергии и газа. В Азии и Тихоокеанском регионе, во многом благодаря Китаю, проникновение «Smart meters» ожидается на уровне 70% к 2022 году. [2]

По исследованиям ученых, картина роста количества уязвимостей компонентов АСУ ТП выглядит следующим образом: очевидный для специалистов в сфере информационной безопасности скачек уязвимостей произошел после выше упомянутого случая с вирусом «Stuxnet». Ежегодно компаниям производителям сообщается о сотнях уязвимостей в их компонентах АСУ ТП, и только некоторые из них закрываются.

Рисунок 1 ­– Количест­­­­­­­­­­­­­­­­­во уязвимостей АСУ ТП в динамике

Как видно из рисунка 1, кол-во уязвимостей растет. Это кривая демонстрирует судьбу автоматизации технологического процесса за десятилетие. По сравнению с 2006 годом количество уязвимостей выросло более чем в 71 раз.

1. Методика исследования

В качестве основы для исследования была использована информация из различных источников, таких как базы знаний уязвимостей, базы эксплойтов, публикации на форумах.

В базах знаний уязвимостей нет указания на специализацию тех или иных продуктов. Для определения принадлежности уязвимого продукта к АСУ ТП необходимо было сформировать список компаний, предоставляющих решения в сфере автоматизации. При подготовке списка использовался перечень продуктов и компаний, опубликованный на ICS-CERT, и ряд специализированных аналитических ресурсов (controlglobal.com, technavio.com).

Используемые базы знаний:

 CVE;

 exploit-db;

 NVD;

 Bugtraq;

 OSVDB.

База эксплойтов:

 SAINTexploit;

 Metasploit Framework.

Стоит заметить, что не для всех уязвимостей есть эксплойты. Только 15% уязвимостей можно проэксплуатировать. Ниже будут представлены названия тех, компаний, которые удалось идендифицировать с помощью сопоставления продуктов и компаний, опубликованный на ICS-CERT.

Компании, предоставляющие услуги автоматизации:

• Siemens;

• Schneider Electric;

• Advantech;

• Rockwell Automation.

Немного о ресурсах, которые помогли найти ценную информацию: Cyber Emergency Team Systems Industrial Control Response (ICS-CERT) – это система, главной задачей которой служит наладить связь между государственными органами и промышленностью в целях усиления безопасности систем управления ТП, как одной из приоритетных областей экономического развития страны. NCCIC/ICS-CERT помогает поставщикам систем управления ТП и руководителям на производстве. Их задача заключается в том, чтобы выявить уязвимости безопасности и разработать эффективных стратегию по ликвидации дыр в безопасности.

На основании исследования Control Global – классификации типов компонентов АСУ ТП можно было разбить их по группам.

TechNavio дало наиболее общую картину о современном рынке. Он учитывает нынешний рыночный сценарий и подробно излагает основные тенденции, влияющие на рост автоматизации промышленности.

По результатам предшествующего данной статье исследования с использованием методов Open Source Intelligence были выявлены наиболее уязвимые компоненты АСУ ТП. «Одной из главенствующих уязвимостей АСУ ТП после ЧМИ и SCADA является уязвимость сетевого оборудования. В большинстве случаев используются стандартные протоколы SNMP и HTTP/HTTPS. Наиболее уязвимые из промышленных протоколов – это Modbus TCP, S7, DNP3 over TCP/IP, BACnet IP. По стандартным протоколам можно получить доступ к ЧМИ (человеко-машинный интерфейс) и некоторым сетевым устройствам. Исходя из этого ЧМИ и сетевые устройства является наиболее уязвимыми компонентами АСУ ТП после SCADA.» [3]

В данной статье речь пойдет о сетевом оборудовании и угрозах его компрометации. По данным аналитических агентств производителем наиболее популярного сетевого оборудования для промышленного сегмента является Cisco Systems (около 65% мирового рынка). На втором месте HP Networking (около 10%). Далее следуют Alcatel-Lucent (3,4 %), Juniper Networks (2,4%) и Brocade (2,2%), и Huawei (2,1%). Прочие производители, которые менее заметны на фоне гигантов, суммарно занимают около 14,9% рынка. [4] Картина рынка в промышленном сегменте представлена на рисунке 2 в численном эквиваленте.

Рисунок 2 – Анализ рынка

Вопрос состоит в том, насколько безопасны те устройства, на которых строятся сети, и насколько серьезно относятся производители к безопасности своих продуктов. Мало довериться «классам защищенности», следует обратить внимание на оценку производителей по количеству известных уязвимостей (рисунок 3), который составлен при помощи cve.mitre.org.

Рисунок 3 – Количество найденных уязвимостей в сетевом оборудовании за 2016 год

Как можно трактовать данные этого рисунка. Существует несколько вариантов:

1. У крупнейших игроков на мировом рынке Cisco и HP Networking — самые небезопасные в мире устройства.

2. Данные две компании наиболее честолюбиво подходят к поиску, обработке и исправлению уязвимостей в своих продуктах.

Необходимо разобраться, как на самом деле должен поступать производитель столь важного оборудования. На первом этапе специалисты обнаруживают уязвимость. Уязвимость – свойство системы, позволяющее нарушить ее структурную/ функциональную целостность и вызвать неправильную работу системы. [5] Это не обязательно должны делать сотрудники внутри компании. Такую задачу может выполнить сторонняя организация, которая периодически проводит тестирования. На данном этапе компания-производитель получает полную информацию о найденной уязвимости.

На втором этапе компания-производитель принимает решение о подготовке пакета обновлений для оборудования с устраненными дырами в безопасности.

На третьем этапе и поднимается вопрос честолюбия. Многие производители принимают решение в сторону «сокрытия факта обнаружения проблемы» и просто выпускают обновления без привлечения лишнего внимания к своей компании. Другие же публикуют уязвимость и исправления к ней. Благодаря последним мы имеем более-менее реальное представление о существующих уязвимостях в сетевом оборудовании.

1. Цели проведения атак на сетевое оборудование

В данном разделе рассматриваются примеры атак на самое популярное сетевое оборудование, как выяснено в предыдущих разделах, – Cisco Systems.

Основными задачами и подзадачами злоумышленников при атаке на сетевое оборудование является:

1. Перенаправление трафика, подпадающего под определенные критерии, установленные злоумышленником.

2. Подмена образа ОС.

3. Модификация кода ОС непосредственно в памяти устройства.

4. Обфускация, например, за счет скрытия вредоносной активности в списке процессов.

5. Обеспечение NAT для доступа извне к сетевому оборудованию, установленному внутри.

6. Заражение обновления (срабатывает для наиболее старых платформ, где проверку обновления необходимо активировать вручную).

7. Инкапсуляция команд от злоумышленников и ответов на них в специально сформированные TCP-пакеты, отправляемые на интерфейс маршрутизатора.

Необходимо обратить внимание на сетевое оборудование, как потенциальную мишень для реализации против него различных несанкционированных действий: от атак «отказ в обслуживании» и перехвата трафика до повышения привилегий и несанкционированного доступа. [6] Ниже рассматриваются зафиксированные наиболее известные сценарии атак на сетевое оборудование Cisco.

1. Подмена образа ОС, загруженного на устройство.

В первом пункте сконцентрировано, как минимум, три случая официально зафиксированных атак по схожему сценарию. Задача достаточно тривиальна и ее легко обнаружить, ведь код ОС претерпел существенную модификацию. Целевым объектом для злоумышленника была ОС – IOS. Архитектура, на которую охотился злоумышленник – MIPS (данная архитектура используется во встраиваемой технике – смартфоны, маршрутизаторы, шлюзы и т.д.).

Решение: Верификация кода ОС, загруженного на сетевое оборудование. Также возможно с помощью криптоанализа осуществить дистанционную идентификацию вредоносного кода на сетевом устройстве.

1. Модификация кода ОС в памяти устройства.

Заражение происходит в процессе исполнения. Целевым объектом для злоумышленника является ОС – IOS. Архитектура, на которую охотится злоумышленник – MIPS. Случаев развития ситуации по подобному сценарию официально известно два. Злоумышленники пользуются скомпрометированной учетной записью администратора и исправляют часть кода ОС в памяти. Данная задача преследует следующие цели: во-первых, захват и перенаправление пакетов Ipv4 (взаимодействие с пакетами ICMP). Во-вторых, это реализация NAT для доступа злоумышленника из сети Интернет.

Решение тоже состоит из нескольких возможных вариантов:

а) придерживаться основных мер защиты административного доступ;

б) применение мониторинга аномального поведения в памяти.

1. Заражение обновления ROMMON.

Заражение происходит в процессе исполнения. Целевыми объектами в данном случае является IOS и ROMMON. Третья задача преследует несколько целей, которые наиболее широко раскрывают ее:

а) захват и перенаправление пакетов IPv4 (взаимодействие с пакетами ICMP);

б) подгрузка нового кода, содержащего функции, оказывающие вредоносное воздействие на систему. Обнаружить подобный вид атаки достаточно непросто.

В данном случае решение имеет самый широкий спектр вариантов:

а) нейтрализовать модификации в обновлении ROMMON (штатное расписание).

Варианты решения б) и в) дублируют варианты решения в пункте 2.

1. Взаимодействие с управляющим сервером с помощью TCP.

Данная задача объединяет в себе предыдущие 1 и 2 варианты. Этот метод заражения модифицирует образ IOS, сохраненный на устройстве. Этот пример был зафиксирован лишь на 14 устройствах. Но успел получить широкую огласку, возможно из-за того, что коснулся четырех разных стран. Mandiant обнаружили ранее неизвестные атаки на маршрутизаторы Cisco, позволяющие злоумышленникам собирать большие объёмы данных и при этом оставаться незаметными для популярных средств защиты. Этот случай получил название SYNful knock. Бэкдор SYNful knock загружался каждый раз при включении маршрутизатора. В ходе атаки злоумышленники не эксплуатируют какие-либо уязвимости программного обеспечения маршрутизатора, а используют похищенные легитимные учетные данные и стандартные пароли администратора. Бэкдор подменяет образ операционной системы Cisco IOS, на экземпляр, позволяющий осуществлять загрузку функциональных модулей из Интернета. Кроме того, бэкдор содержит специальный пароль, позволяющий получать удаленный доступ к устройству через консоль или telnet. [7]

Решение: постоянный мониторинг при помощи сканера безопасности.

Для детектирования атак на маршрутизаторы существует специализированные утилиты производства Cisco и не только. Существует специальный сканер SYNfulKnock Scanner, написанный исследовательским подразделением Cisco Talos в виде скрипта на Python и распространяемым абсолютно свободно. Еще один метод – анализ сигнатур. Сигнатура для системы обнаружения атак Snort с SID 36054. Как минимум третий спосб: аналогичной сигнатурой оснащена, и система обнаружения вторжений Cisco NGIPS в составе FirePOWER Services на Cisco ASA, Cisco ISR, Cisco FirePOWER Appliance, Cisco Firepower 9300 и в виртуальном исполнении.

Подводя итоги, необходимо отметить наиболее популярные способы получения доступа к сетевому оборудованию. Широкое распространение получили два способа. Первый из которых, это использование скомпрометированных учетной записи администратора. А второй – это физический доступ к сетевому оборудованию. Конечно, автоматизация различного рода процессов внедряется в нашу повседневную жизнь очень быстро. Другими словами, то, что касается промышленности и те уязвимости и слабые места, которые все-таки имеют место быть, требуют большой доработки и внимания со стороны специалистов и владельцев производств. Грань между производствами и бытом скоро сотрется. Обычным людям необходимо чувствовать себя в безопасности, а не «в центре ГЭС», которая в какой-то момент может «взлететь на воздух». Вредоносное ПО разрабатывается постоянно, и сфера его распространения затрагивает все сегменты мирового рынка.

Все помнят про шпионское ПО Regin, появившееся в 2014 году. Regin был разработан спецслужбами для атак на телекоммуникационную сферу, энергетический сектор и сферу здравоохранения России и Саудовской Аравии. [8] К моменту широкого распространения «Smart Grid», необходимо готовиться и быть готовыми отразить атаки злоумышленников.

Библиографический список

1. Чем опасны «умные» электросети [Электронный ресурс]. – URL: http://savepearlharbor.com/?p=228595 (дата обращения 20.01.2017).

2. Расчет электроэнергии в мире [Электронный ресурс]. – URL: https://iot.ru/energetika/smart-meters-kak-schitayut-elektroenergiyu-v-mirе (дата обращения 20.01.2017).

3. Чистоходова А.А. Исследование защищенности автоматизированных систем управления технологическим процессом. Материалы VII Всероссийской молодежной школы-семинар по проблемам информационной безопасности «Перспектива-2016». – Таганрог: Изд-во ЮФУ, 2016 г., c.43-51.

4. Популярное сетевое оборудование и статистика уязвимостей [Электронный ресурс]. – URL: https://habrahabr.ru/company/pt/blog/142479/ (дата обращения 20.01.2017). Популярное сетевое оборудование и статистика уязвимостей.

5. Определение уязвимости [Электронный ресурс]. – URL: http://bezopasnik.org/article/5.htm (дата обращения 20.01.2017).

6. Болевые точки корпаративной сети [Электронный ресурс]. – URL: http://www.slideshare.net/lukatsky/ss-62578776 (дата обращения 21.01.2017).

7. Бэкдор «Synful knock» [Электронный ресурс]. – URL: https://habrahabr.ru/company/it-grad/blog/267057/ (дата обращения 22.01.2017).

8. Вредоносное ПО [Электронный ресурс]. – URL: http://www.securitylab.ru/news/474473.php (дата обращения 22.01.2017).

Код для цитирования: Скопировать