Első ízben a Stuxnet számítógépes féreg keltett nagy aggodalmat 2010-ben, mert ez volt az első olyan ismert kiberfegyver, amelyet egy adott ipari célpont támadására fejlesztettek ki, és kifejezetten az ipari folyamatok felügyeleti vezérlésére használt SCADA (Supervisory Control and Data Aquisition) rendszereket vette célba. A kártevőt úgy alakították ki, hogy az ipari rendszerekről való kémkedés, és különösen a rendszerek újraprogramozása során elrejtse az általa végrehajtott módosításokat. Az érintett ipari rendszerek (víz- és atomerőművek, ivóvízellátó rendszerek, olajvezetékek) kritikus jellege miatt a támadás érthető módon az egész világon nagy riadalmat keltett az informatikai vezetők körében.
Rendkívül kifinomult támadási stratégiát alkalmaz a Stuxnet. Először replikálja magát egy cserélhető adathordozón keresztül, majd a férgek elterjednek a hálózatban a Windows nyomtatási szolgáltatásának (Print Spooler) és távoli végrehajtási szolgáltatásának (távoli eljáráshívás, RPC) nulladik napi biztonsági hibáin keresztül. A kártevő egy betörést álcázó programcsomagot telepít a Windows rendszerhez, majd a kód automatikusan végrehajtja magát a SCADA WinCC/PCS 7 (Step7) szoftver projektfájljaiban, valamint a parancs- és párbeszédablakokban. A különböző hibák kihasználása lehetővé teszi a rosszindulatú kód beillesztését a lefordított mikroprogramba, amelyet a SCADA felügyeleti rendszer továbbít a programozható logikai vezérlőnek (PLC). Valójában ez volt az első olyan betörést álcázó programcsomag, amelyet PLC-k esetén azonosítottak.
A Stuxnet 2010 júniusi felfedezése után két másik kártevőprogramot (Duqu és Flame) is észleltek. Érdemes megemlíteni azt is, hogy a POS-terminálok elleni, közelmúltban napvilágra került támadásokról kiderült, hogy azok ugyanazt a logikát alkalmazzák, mint a Stuxnet, vagyis a célzott rendszerhez csatlakozó, Windows rendszert futtató számítógépet veszélyeztetik.
Nemrégiben ismét reflektorfénybe került a "Dragonfly" elnevezésű kampány a SCADA-hálózatokkal összefüggő biztonsági kockázatok miatt. A Dragonfly illetéktelenül fért hozzá három vezérlőrendszer-gyártó webhelyéhez, és kártevőket helyezett el a webhelyekre feltöltött szoftverfrissítésekben, amelyeket az ügyfelek letölthettek. Jóllehet a kártevőket adatlopás céljából fejlesztették, úgy tűnik, hogy azok a vezérlőrendszerek szabotálására is alkalmasak voltak.
Okkal feltételezhetjük, hogy a vezérlő és felügyeleti rendszereken már telepítve vannak bizonyos kártevők, és előbb vagy utóbb újabb olyan esetekről hallhatunk, amikor SCADA felügyeleti rendszerek váltak fertőzötté.
Az ipari vezérlőrendszerek sebezhetőek, mert többnyire hagyományos hardvereket és szoftvereket használnak. Többségüket a számítógépes hálózatok korát megelőzően tervezték, amikor a biztonság még csupán a fizikai hozzáférés szabályozását - vagyis a helyszín biztosítását - jelentette. Ezért nincsenek kiépített mechanizmusaik a hitelesítéshez, az engedélyek ellenőrzéséhez, valamint az adatok integritásának és bizalmasságának biztosításához. A legnagyobb gyengeségük a Modbus protokoll (Modbus Plus, Modbus/TCP) és a felügyeleti terminálok (általában Windows rendszerű számítógépek) alkalmazása.
Sebezhető a hálózati támadásokkal szemben a legtöbb SCADA rendszer, amelyek a protokoll szintjén használják ki a gyengeségeket. A SCADA rendszerek hálózathoz - különösen külső hálózathoz - csatlakozó felügyeleti termináljai azoknak az általános veszélyeknek vannak kitéve, hogy a felhasználó egy hivatkozásra kattintva, illetve egy e-mail mellékletének vagy egy cserélhető adathordozón található fertőzött fájlnak a megnyitásával letölti a kártékony szoftvert.
Egyes hackerek képesek a SCADA rendszerek vezérlésének átvételére a PLC mikroprogramjának módosításával, miután egy kártékony szoftverrel megfertőzik a gépet, vagy kihasználják a Modbus protokoll sebezhetőségét, hogy így hajtsanak végre illegális műveleteket.
A SCADA rendszerek felügyeleti termináljai elleni támadásokhoz azonban ugyanazokat a módszereket használják, mint bármely más rendszer esetén, mivel az eszközök többségén Windows operációs rendszer fut. A hackerek olyan kártevőket telepítenek, amelyek hozzáférést biztosítanak számukra egy konkrét, hálózaton futó célponthoz, és lehetővé teszik az eszköz biztonsági rendszerén történő áthatolást, valamint a hálózaton lévő adatok elérését. Ebben az összefüggésben a már nem támogatott - de még széles körben alkalmazott - operációs rendszerek az idő múlásával egyre sebezhetőbbé válnak, és növelik a támadás kockázatát.
Fontos, hogy ne becsüljük alá a kockázat mértékét, hiszen a támadások további "fertőzésekhez" vezethetnek. Az egyesült királyságbeli CNPI (Center for the Protection of National Infrastructure - Nemzeti Infrastruktúra Védelmi Központ, http://www.cpni.gov.uk/Documents/Publications/2008/2008031-GPG_SCADA_Security_Good_Practice.pdf) a következő ajánlást fogalmazza meg: "Előfordulhat, hogy a folyamatvezérlő rendszer elektronikus támadások (például hackerek, férgek és vírusok) elleni védelméhez nem elég egyetlen, a vállalati informatikai hálózat védelméhez kialakított tűzfalra támaszkodni. Sokkal hatékonyabb az a biztonsági modell, amely a vállalati tűzfal előnyeire építve egy további dedikált folyamatvezérlési tűzfalat használ, és egyéb védelmi intézkedéseket, például víruskereső szoftvert és behatolás-érzékelést alkalmaz. Az ilyen többrétegű védelmi modellt mélységi védelemnek nevezzük."
A szokásos óvintézkedések, például a hozzáférés-vezérlés további alkalmazása mellett az informatikai vezetőknek meg kell őrizniük az éberségüket a jövőbeli támadások elleni védelem érdekében.
A támadások befolyásolják a rendszer rendelkezésre állását, a teljes rendszerre kiterjedő integritást, az érzékeny adatok (gyártási folyamatok, felhasznált termékmennyiségek, létesítménytervek, karbantartási tervek, PLC-programok vagy akár a berendezések címlistái) bizalmasságát és az informatikai események nyomon követhetőségét.
Nem elég a rendszerek elszigetelése az internetről történő leválasztásukkal. Az informatikai vezetőknek ennél is tovább kell menniük, és azt is ellenőrizniük kell, hogy a rendszerek nem csatlakoznak-e más olyan környezetekhez, amelyek viszont csatlakoznak az internethez, ezáltal kockázatot jelentenek a kártevők fertőzése szempontjából.
Az informatikai biztonság tekintetében két fő védelmi vonalról beszélhetünk:
A felhasználók tudatossága
Sok váratlan esemény azért következik be, mert a felhasználók szabadon telepíthetnek szoftvereket, és nincsenek tisztában a kártevők jelentette kockázatokkal. Ennek oka a gondatlanság és a rossz gyakorlat, nem a szándékos vagy rosszindulatú tevékenységek. Ha azonban, ahogy azt a CNPI is hangsúlyozta, megismerjük a kockázatokat, a fenyegetéseket és a hatásokat, képesek leszünk megfelelő terveket készíteni annak érdekében, hogy bármely fenyegetést meg lehessen fékezni és karanténba lehessen helyezni, amint az megtámadja az eszközt vagy a hálózatot.
Ha például a különálló ipari rendszerek között akár a saját, akár a vállalat által biztosított USB-meghajtó használatával viszik át az adatokat, az a rendszerek vírusfertőzését okozhatja.
Mivel a rendszer el van szigetelve a hálózattól, nem áll fenn annak a kockázata, hogy ellopják az adatokat, vagy hogy egy hacker átveszi a vezérlést a rendszer felett. A vírus viszont problémát okozhat az eszköz működési sebességében, és annak a veszélye is fennáll, hogy fizikailag károsodnak a rendszer által vezérelt berendezések. Ezért elengedhetetlen, hogy folyamatos képzést biztosítsunk a munkavállalóknak a munkahelyük ipari rendszereit érintő lehetséges kockázatokról.
Megelőző intézkedések
Különböző védelmi technikákat kell bevezetni. A fő hangsúlyt a következő lépésekre kell fektetni:
A rendszerek védelme a jogosulatlan hozzáférésektől egy szigorú felhasználóifiók-kezelési házirend alkalmazásával
o Ez a javaslat nyilvánvalónak tűnhet, de lényeges az alapértelmezett jelszavak azonnali módosítása egy támadást követően.
o Figyelni kell az adatok mozgását, és hogy a kérelem jogosult hozzáférési ponttól érkezik-e.
o Az alkalmazások, a működési eljárások és a tárolt adatok titkosításához soha nem szabad egyszerű szövegű jelszavakat engedélyezni.
o A profilok (a felhasználói fiókok életciklusa, a különleges jogosultságokkal rendelkező fiókok és felhasználók felügyelete) és a fájlhozzáférési engedélyek alapos felügyelete szükséges.
A rendszereket kockázatnak kitevő viselkedések azonosítása
o A nem biztonságos protokollok, például a TFTP, a HTTP, a Telnet és az SNMP v1 vagy v2 inaktiválása szükséges.
o Az ellenőrzés nélkül engedélyezett vezérlőprogramok online módosítása.
o Az indító konfiguráció újbóli betöltése USB-tárolóról vagy MMC17 kártyáról.
o Felügyelet, váratlan események észlelése.
o Az operációs rendszerek, az alkalmazások és a belső vezérlőprogramok hibáit javító frissítések azonnali telepítése.
o Megoldások megvalósítása a vírusok és a biztonsági incidensek ipari környezetekben történő észlelése érdekében.
o A fő hálózati fenyegetések, például a csomaghamisítási és túlterheléses (DoS) támadások, illetve a halomtúlcsordulás és a veremtúlcsordulás leküzdésére alkalmas technológiák.
Ezek nagyon célzott támadások, amelyek viszonylag szűk iparágat érintenek. Ugyanakkor sok szoftverszállítónál hosszú idő telik el a javító frissítések megjelenése között, ezért a belső informatikai csapatoknak mindent meg kell tenniük ahhoz, hogy jelentős költségek nélkül biztosítsák a hálózat és az adatok védelmét.
Fontos továbbá a jogosult és a jogosulatlan kérelmek közötti különbség megértése, mert azzal felismerhető az adatok megsértése. Ezért lényeges az összes módosítás és kérelem valós idejű felülvizsgálata. A fenti lépések követése lehetővé teszi a végpontok védelmét a hasonló támadásoktól.
