ПУНТА КАНА — Немного о том, насколько безумен мир безопасности ICS (Industrial Control System, автоматических систем управления): Джонатан Полле, консультант по безопасности, который специализируется на ICS, был в Техасе в парке развлечений, а аттракцион, на который он нацелился, был неисправен. Оператор сказал ему, что аттракцион использует PLC (англ. Programmable Logic Controller, программируемый логический контроллер) производства Siemens, после чего Полле пошел домой, забрал свой ноутбук, вернулся и смог отладить программу, найти проблему, исправить ее и наконец-то покататься.

А вот о том, насколько безумна безопасность автоматизации зданий: Терри МакКоркл, специалист по безопасности ICS и автоматизации, проводил экспертизу безопасности здания и смог получить доступ к его автоматической системе через Интернет. Он подключился к системе управления климатом и оттуда перешел к освещению и системе видеонаблюдения. Затем он обнаружил контроль доступа и систему управления энергоснабжением и в конечном итоге получил возможность отпирать двери, выключать IP-камеры, открывать дверь гаража и изменять базу контроля доступа.

«Это как хакерство в 1980-х и 1990-х», — сказал Полле, основатель компании Red Tiger Security, в обсуждении на саммите вирусных аналитиков «Лаборатории Касперского».

Исследователи-безопасники, такие как МакКоркл, Билли Риос и другие, на протяжении ряда лет обрушивались на производителей ICS, SCADA и PLC с обвинениями в недостаточной безопасности их продуктов и систем. Некоторые производители реагировали на это, но во многих случаях такие проблемы, как полное отсутствие аутентификации, невозможность использования шифрования, нехватка возможностей мониторинга, оставались без внимания даже после того, как о них докладывали исследователи. В данном случае прослеживается аналогия с тем, как поставщики программного и аппаратного обеспечения заботились о безопасности в 1990-е годы. Многие просто игнорировали обращения, надеясь, что исследователи в конце концов просто отстанут.

Это не привело ни к чему хорошему для крупных поставщиков ПО, и это не приведет ни к чему хорошему для их коллег из мира ICS и автоматизации. Полле заявил, что доводы, которые он слышит от производителей в оправдание недостаточной безопасности аппаратуры и приложений, его не убеждают. Заявления о неготовности протоколов или сложности обеспечения безопасности не могут считаться оправданиями.

«Все эти оправдания ничего не оправдывают, — сказал он. — С теми программами и аппаратурой, что у нас есть, нет ни единой причины, чтобы они были незащищенными».

Полле заявил, что в мире PLC и ICS сдвинуть безопасность с мертвой точки могут только требования заказчиков. Это то, что в свое время ускорило схожий процесс в мире десктопного ПО для таких производителей, как Microsoft, и, по словам Полле, пользователям нужно говорить об этом для того, чтобы мотивировать производителей улучшать безопасность продуктов.

«Все подвижки, произошедшие за эти годы, были стимулированы пользователями. И сейчас пользователи должны требовать безопасность, — сказал он. — Первый производитель, который начнет предлагать какие-либо из функций безопасности, начнет эффект домино. И это зависит от нас, мы должны попросить об этом. Рынок будет реагировать».

МакКоркл, который выступал на саммите после Полле, заявил, что есть необходимость введения каких-либо стандартных правил безопасности в этой отрасли. Говоря о реакции на взлом Target, который начался с компрометации автоматической системы управления климатом, МакКоркл сказал, что ответ производителя, что система соответствовала стандартным отраслевым практикам, не является правдой.

«Я никогда не видел стандартов безопасности от какого-либо интегратора, — заявил он. — Не существует ни стандартов, ни практики».

Категории: Уязвимости, Хакеры