Удалённая деэлектрификация: как погасить огни большого города с ноутбука
Двое исследователей – Адам Крейн (Adam Crain) и Крис Систранк (Chris Sistrunk) –
Крис работает инженером-электриком в одной крупной американской компании. Он проводил аудит безопасности без санкций работодателя, поэтому в статье фигурирует под вымышленным именем.
Крейн действует официально. В прошлом году он
Мы обнаружили уязвимости практически во всех реализациях используемых программных продуктов и протоколов.
Среди найденных брешей в системе безопасности есть такие, которые дают возможность перевести управляющие серверы в режим бесконечного цикла, мешая операторам контролировать ключевые операции. Другие позволяют запустить на удалённом сервере произвольный код – вплоть до команд отключения подачи электроэнергии на отдельные узлы. Крис поясняет, что современные промышленные объекты слишком сложны, чтобы управляться вручную. Операторы только контролируют работу автоматики:
Каждая подстанция находится под контролем сервера, который управляется операторами. Если у вас есть контроль над сервером, то у вас есть контроль над всей системой. Вы можете включать и выключать питание любых узлов по своему желанию.
Уязвимости были найдены в программном обеспечении сетевых устройств, использующихся для связи между серверами и подстанциями. Эти продукты не подвергались серьёзным проверкам надёжности, потому что риски безопасности энергосистем всегда оценивались на более высоких уровнях IP-коммуникации. Они просто не считались возможной целью для реальной атаки.
До сих пор считалось, что злоумышленник может использовать уязвимости такого рода только в том случае, если получив физический доступ к оборудованию объекта. На них строгий пропускной режим и хорошая охрана – заборы с колючей проволокой, видеонаблюдение, датчики движения и служебные собаки. Вдобавок, осуществляется контроль целостности кабелей, по которым происходит связь с сервером.
Однако это касается только крупных объектов. На маломощных и удалённых от центра города подстанциях, которые тоже входят в состав общей энергосистемы, физическая защита гораздо слабее. К тому же, атакующему вовсе не обязательно проникать непосредственно на их территорию. Достаточно быть поблизости и вооружиться приёмопередатчиком помощнее.
На последней конференции по вопросам безопасности Black Hat в очередной раз обсуждались новые методы взлома беспроводных сетей, которые подходят и для вторжения в системы управления объектами городской инфраструктуры.
Крис поясняет, что если кто-то попытается нарушить работу центра управления извне через интернет, то ничего из этого не выйдет. Злоумышленнику придётся найти способ обойти многочисленные брандмауэры и системы обнаружения вторжения, что практически невозможно. Использование найденных уязвимостей в программных продуктах коммуникационного оборудования через взлом беспроводных сетей малых подстанций – это новый вектор атаки:
Есть довольно много реальных способов сделать это, и нам есть о чём беспокоиться.
Когда (а не «если») злоумышленник вскроет шифрование беспроводной сети, он сможет получить контроль над всей системой управления:
Если отправить модифицированный пакет данных, то в норме он будет отфильтрован сетевым оборудованием. Среди обнаруженных нами уязвимостей самые опасные в этом сценарии вызовут ошибку переполнение буфера, и на сервере будет запущен вредоносный программный код.
Почти во всей электроэнергетической промышленности США и Канады для передачи сообщений между серверами используется протокол последовательной связи DNP3. По нему также осуществляется соединение с программируемыми логическими контроллерами и дистанционными терминалами сбора данных о состоянии конкретных участков электросети. Существующая система позволяет операторам дистанционно отслеживать изменяющиеся режимы работы и следить за работой автоматики по балансировке нагрузки. При необходимости возможно принудительное увеличение или уменьшение напряжения, а также оперативное отключение отдельных узлов.
Если вмешаться в работу управляющего сервера, то пройдёт некоторое время, прежде чем операторы заметят сбой в системе. В зависимости от их квалификации и характера вмешательства это могут быть минуты или даже часы. Всё это время они будут руководствоваться в принятии решений неверными данными, которые отображает на мониторах сервер по воле злоумышленника. Чтобы отключить или вывести из строя отдельные объекты инфраструктуры, атакующей стороне потребуется меньше одной минуты.
Крейн поясняет, что найденные проблемы с безопасностью касаются не самого стандарта DNP3, а исключительно его некорректной реализации определёнными поставщиками конечных решений.
Хуже всего, когда проблемы с безопасностью обнаруживаются не в отдельной программе, а в популярном общем компоненте. Уязвимость в библиотеке компании Triangle Microworks
Свои выводы Крейн и Крис представили в Департамент промышленного управления Национальной Безопасности и в координационный центр CERT. Последний был создан двадцать пять лет назад после того, как сетевой червь Морриса был обнаружен на компьютерах DARPA.
В ответ на присланные материалы экспертная команда ICS-CERT
Крейн и Крис планируют вернуться к обсуждению найденных уязвимостей и представить результаты своих исследований на конференции по безопасности S4, которая будет проходить во Флориде в январе 2014 г.