Сканирование IP-адресов в зоне IPv4 показало, что более сотни объектов критической инфраструктуры открыты для внешнего доступа в Интернете, в том числе системы водоснабжения в Германии и Италии, а также «умный» элитный многоквартирный дом в Израиле.

Расследование, которое провели эксперты газеты Internet Wache в Берлине, началось осенью 2015 года; журналисты искали определенные маршрутизаторы, используемые системами управления промышленными процессами. Исследователь Тим Филипп Шаферс (Tim Philipp Schafers) нашел в ходе исследования больше, чем рассчитывал: в поисковых выдачах начали появляться веб-интерфейсы для систем промышленной автоматизации, не предполагающие аутентификации. Эксперты заметили общие черты в HTTP-заголовках пакетов, а затем написали скрипт на Python, который был загружен в инструменты сканирования ZMap и scans.io, чтобы исследователи могли отследить тот же тренд в публичном адресном пространстве IPv4.

В поисковой выдаче обнаружилось более 100 систем, в том числе системы водоснабжения. Об этом открытии авторы исследования доложили операторам объектов, которые затем убрали системы из публичного доступа. Однако не все операторы шли на контакт: некоторые отрицали возможность риска, многие перекладывали ответственность на вендоров или клиентов.

«Получается, что любой может получить доступ к веб-приложениям, связанным с управлением процессами на этих объектах критической инфраструктуры; для этого не нужно знать никакую определенную конфигурацию, — сказал Шаферс. — В некоторых случаях, правда, необходима аутентификация. Из 100 обнаруженных нами в публичном доступе объектов только половина требовала аутентификации; остальные же не требовали и были доступны пользователям с правами администратора».

Это проблема не нова. Эксперты много лет публиковали предупреждения о наличии серьезных уязвимостей в системах управления процессами в энергетике, водопользовании и производстве. Простой поиск в Shodan позволяет выявить потенциально уязвимые для атак извне системы, и этот довод нередко используется для привлечения внимания к проблеме недостаточного обеспечения безопасности систем АСУ ТП. Шаферс сказал, что системы АСУ ТП — это вотчина в первую очередь инженеров, а не ИТ-специалистов, которые намного более осведомлены в вопросах информационной безопасности.

«В общем, этим двум группам специалистов нужно налаживать более тесное сотрудничество, — отметил он. — ИТ-безопасность очень многопланова, в этой сфере существует очень много руководств и рекомендаций. Многие политики и процедуры непонятны инженерам и, по их мнению, неактуальны для работы систем критической инфраструктуры. Но назревает правомерный вопрос: почему бы тогда ИТ-специалистам не заняться вопросами информационной безопасности в этой сфере? Мы хотим, чтобы все работало, но при этом необходимо обеспечивать надлежащую степень безопасности, особенно на объектах, подключенных к Cети».

Одним из самых важных выводов исследования Internet Wache стало положение дел на объектах, отвечающих за водопользование. Поисковая выдача показала четыре системы HMI (Human Machine Interface), которые отвечают за мониторинг контроллеров и производственных процессов, в частности процесса работы насоса. Три из HMI-систем, как выяснилось, находятся в Германии; одна из них, расположенная возле Мюнхена, обеспечивает питьевой водой 80 тыс. человек.

Отчет Internet Wache доказал, что исследователи смогли получить доступ к данным датчиков потребления воды и другим сведениям о работе завода. Этими данными можно манипулировать — например, сделать так, чтобы оператор объекта думал, что показатели в норме, тогда как на самом деле это не так. В одном случае также был открыт доступ к системе насосов, и атака на инфраструктуру могла бы привести к нарушению водоснабжения целого города.

Все четыре системы уже недоступны в Интернете, сказал Шаферс. Данные отчета также были отправлены германским регуляторам BSI и CERT_Bund.

Также тестовое сканирование обнаружило открытую для доступа систему автоматизации здания The Tower — израильского объекта жилищного строительства класса люкс в Израиле. Система содержала ошибки конфигурации межсетевого экрана и логические ошибки в API-интерфейсах веб-приложения. Злоумышленник потенциально мог эксплуатировать эти уязвимости и перехватить управление над системами освещения, климат-контроля и отопления.

Internet Wache также сообщила о большом количестве ошибок в программном коде, в том числе о наличии XSS-багов, открывающих возможность для удаленной атаки на HMI и внедрения вредоносного кода в HTTP, что, в свою очередь, могло привести к загрузке вредоносного ПО и эксплойтов.

По словам Шаферса, уровень осведомленности об информационной безопасности в сфере АСУ ТП очень низок. «Многие люди заходят в Facebook, поэтому можно с большой степенью уверенности сказать, что Facebook безопасен, — сказал Шаферс. — Но мы даже не думаем о системах критической инфраструктуры, которые во многих случаях обеспечивают нашу повседневную жизнь. Связь между реальным миром и Интернетом становится прочнее, но мы так и не задумываемся о безопасности».

Категории: Аналитика, Кибероборона, Уязвимости