Cały zbiór luk bezpieczeństwa w szeroko stosowanym stosie TCP / IP wzbudza niepokój w świecie IoT i przemyśle.
Niezidentyfikowane luki bezpieczeństwa w oprogramowaniu są często nazywane lukami „Zero-Day”. Typowo większość z nich szybko wyparowuje – w pewnym momencie pojawia się aktualizacja i luka w zabezpieczeniach zostaje naprawiona. Identyfikacja luk jest zadaniem, do którego nie tylko my w GDATA przywiązujemy szczególną uwagę, ale także niezliczone ilości innych ekspertów ds. bezpieczeństwa z całego świata. Ten problem dotyka nie tylko systemy operacyjne i zainstalowane programy, odnosi się również do niezliczonej ilości urządzeń sieciowych. Każdego dnia znajdowanych luk jest coraz więcej – ale aktualizacje, okazuje się, również mogą być problemem – ponieważ dość często nie ma ich wcale. Tak więc luka „Zero-Day” szybko zamienia się w „Forever-Day”, o której mało który użytkownik wie. Ale jak można nie wiedzieć, że w urządzeniu lub systemie istnieje luka, której nie da się wyeliminować?
Poniższe pytanie może wyjaśnić, jak trudne mogą być poszukiwania: Czy wiesz, z jakiej huty pochodzi materiał na karoserię Twojego samochodu? Albo kto zbudował stos TCP / IP w sterowaniu walcarką? Lub interfejs przeglądarki Twojej inteligentnej kamery internetowej? Prawdopodobnie nie. I to też jest w porządku. Inaczej wygląda to, jeśli jesteś operatorem dużego zakładu przemysłowego lub elektrowni. Wtedy zwykle wiesz, kto jest producentem urządzeń, które są używane zarówno w IT, jak i OT. Jednak ci producenci często sami kupują technologie. Ta procedura jest absolutnie powszechna, ponieważ nikt nie chce ciągle wynajdywać koła na nowo.
| Łańcuchy dostaw – ślepy punkt bezpieczeństwaWykrycie wady w dostarczonym produkcie jest istotnym zdarzeniem zarówno dla producentów, jak i klientów. Zwłaszcza jeśli chodzi o bezpieczeństwo. Ale co, jeśli dany komponent jest tak szeroko powszechny, że nie można dokładnie powiedzieć, gdzie się znajduje? A co, jeśli w ogóle nie ma możliwości jego naprawy?Wtedy dobra rada jest droga w najprawdziwszym tego słowa znaczeniu. Dokładnie tak się stało: 19 różnych luk w zabezpieczeniach, podsumowanych pod nazwą „Ripple20” (w j. angielskim: ripple = fala uderzeniowa) w szeroko powszechnym stosie TCP / IP, wydziera ogromne dziury w koncepcjach bezpieczeństwa firm na całym świecie. W niektórych przypadkach wykryte słabe punkty pozwalają na wprowadzenie złośliwego kodu, który następnie może zostać wykonany na zaatakowanym urządzeniu. W rezultacie szacunki JSOF (firmy, która ujawniła zbiór luk Ripple20) mogą mieć wpływ na ponad setki milionów urządzeń na całym świecie. Wszystkie informacje są zebrane na stronie internetowej JSOF. |
Jaka jest różnica między „IT” a „OT”?
Większość ludzi wie, co to jest IT. To są komputery, na których wszyscy codziennie pracujemy. Ale systemy produkcyjne są również sterowane komputerowo – przez tzw. OT, skrót od „technologii operacyjnej”. Nie ma tu osoby odpowiedzialnej za bezpośrednie koordynowanie i monitorowanie prac. Można powiedzieć to w trochę nonszalancki i bardzo uproszczony sposób: „Jeśli nie ma ekranu, klawiatury ani myszy i wszystko działa automatycznie, to jest OT”. W tym świecie poza biurem są komputery sterujące, np. w postaci programowalnych sterowników logicznych (PLC). Każdy z nas ma też do czynienia z tymi cichymi służącymi w życiu codziennym – na przykład w schodach ruchomych, windach czy sterowaniu roletami zależnymi od pogody. OT składa się z czujników oraz siłowników i wykonuje proste zadania: „Jeżeli ciśnienie w przewodzie X przekracza wartość Y, należy otworzyć zawór Z”. W przeciwieństwie do klasycznego IT, bezpieczeństwo dopiero niedawno stało się częścią OT. Niektóre urządzenia i programy są przeznaczone do działania przez dziesięciolecia. Dlatego OT nie można traktować dokładnie tak, jak IT.
Aktualizacje są wyzwaniem
Nieważne, czy jest to zakład przemysłowy, urządzenie medyczne czy inteligentna lampa: wiele urządzeń jest połączonych w sieć. Niektóre z nich znajdują się w obszarach niebezpiecznych, które nie są łatwo dostępne. Systemy odbierają dane z czujników oraz sterują silnikami i zaworami. Ktoś, kto ma dostęp do tych systemów, może wyrządzić wiele szkód, a nawet zagrozić życiu ludzkiemu.
Wiele z tych urządzeń i maszyn można aktualizować tylko w bardzo długich odstępach czasu – jeśli w ogóle. Systemy produkcyjne przeważnie działają w sposób ciągły i często są wyłączane tylko raz w roku ze względu na koszty i wydajność w celu przeprowadzenia prac konserwacyjnych i czyszczenia. Wszystkie zadania, dla których maszyny muszą być wyłączone z eksploatacji, są skoncentrowane na tych kilku dniach lub godzinach w roku. Podobnie jest z urządzeniami medycznymi, takimi jak tomograf czy rezonans magnetyczny, ale także z aparatami anestezjologicznymi i oddechowymi, które poprzez sieć przekazują w celach dokumentacyjnych informacje o podawanych dawkach leków.
Aktualizacje na komputerze w domu, w biurze czy na smartfonie tylko raz w roku? Prawie nie do pomyślenia, ale taka jest zasada w przemyśle i medycynie. I nie tylko tam: Internet rzeczy też działa na podobnych warunkach. Ponadto urządzenia w tych obszarach są używane znacznie dłużej. W przemyśle okres eksploatacji wynoszący 15 lat i więcej jest normą. A urządzenie IoT niekoniecznie jest regularnie aktualizowane lub wymieniane. Aktualizacje są często zaniedbywane, szczególnie w segmencie niskich cen. Tutaj prywatni użytkownicy i przemysł borykają się z tym samym podstawowym problemem. Właściciel domu raczej nie wymieni wszystkich systemów automatyki domowej w cyklu dwu- lub trzyletnim, a systemy przemysłowe nigdy nie są wymieniane w takim cyklu. Czasami producenci już nie istnieją, zostali wykupieni lub wsparcie dla poszczególnych urządzeń zostało już dawno zakończone. Zdarzają się takie przypadki, że nie wiadomo nawet, czy dane urządzenie jest w ogóle podatne na nowo odkryte luki z kolekcji Ripple20 – i czy istnieje jakakolwiek nadzieja na aktualizację, która naprawi te luki.
Izolacja jako środek zapobiegający
W przeszłości zdarzały się przypadki, w których aktualizacja luki w zabezpieczeniach nie była w ogóle możliwa. Niemiecki producent ABUS przekonał się na własnej skórze, że nie da się już naprawić luki bezpieczeństwa w systemie kamer sieciowych. Powód: wymagane narzędzie programistyczne pochodziło od dostawcy, który nie prowadził już działalności i dlatego nie był już dostępny. Jedyne, co pozostało, to zachęcić klientów do zakupu nowego produktu po znacznie obniżonej cenie.
Jednak w większości przypadków nowy zakup podatnego sprzętu przemysłowego nie wchodzi w grę – pozostaje tylko długie oczekiwanie i nadzieja, że producenci zapewnią odpowiednią aktualizację oprogramowania w odpowiednim czasie. I jedyne co firma może zrobić, to podjąć środki ostrożności, w celu odizolowania potencjalnie podatnych systemów od reszty sieci. Jeśli nie ma konieczności podłączenia urządzenia do sieci, zaleca się wyłączenie odpowiednich funkcji i właściwości. Dotyczy to zakładów przemysłowych, a także urządzeń IoT w prywatnych gospodarstwach domowych.
Ta izolacja jest jednym z nielicznych środków, które mogą ograniczyć szkody w przypadku ataku. Oprócz JSOF, to zalecenie zostało również powtórzone przez producenta sprzętu sieciowego Cisco w oświadczeniu na ich stronie internetowej. Ponieważ w wielu firmach maszyny produkcyjne są w tej samej sieci co infrastruktura IT, słaby punkt może sparaliżować całą fabrykę. Są też przykłady z przeszłości, takie jak incydent u producenta chipów TSMC w 2018 roku. Pamiętamy: kiedy doszło do tego incydentu, WannaCry był znany od roku, a środki zaradcze były również dobrze znane.
Wniosek
Środki zapobiegania incydentom również nie są nowe – ale w przypadku niewykrytych i niemożliwych do naprawienia luk w zabezpieczeniach „Forever-Day” jest tym ważniejsze, aby je faktycznie wdrożyć. To tylko kwestia czasu, zanim luki zostaną wykorzystane do poważnych i brzemiennych w skutkach ataków.
