Post Image

Ripple20: od “Zero-Day” do “Forever-Day”

2020-08-03 12:56:00

Cały zbiór luk bezpieczeństwa w szeroko stosowanym stosie TCP / IP wzbudza niepokój w świecie IoT i przemyśle.

Niezidentyfikowane luki bezpieczeństwa w oprogramowaniu są często nazywane lukami "Zero-Day". Typowo większość z nich szybko wyparowuje - w pewnym momencie pojawia się aktualizacja i luka w zabezpieczeniach zostaje naprawiona. Identyfikacja luk jest zadaniem, do którego nie tylko my w GDATA przywiązujemy szczególną uwagę, ale także niezliczone ilości innych ekspertów ds. bezpieczeństwa z całego świata. Ten problem dotyka nie tylko systemy operacyjne i zainstalowane programy, odnosi się również do niezliczonej ilości urządzeń sieciowych. Każdego dnia znajdowanych luk jest coraz więcej - ale aktualizacje, okazuje się, również mogą być problemem - ponieważ dość często nie ma ich wcale. Tak więc luka „Zero-Day” szybko zamienia się w "Forever-Day", o której mało który użytkownik wie. Ale jak można nie wiedzieć, że w urządzeniu lub systemie istnieje luka, której nie da się wyeliminować?

Poniższe pytanie może wyjaśnić, jak trudne mogą być poszukiwania: Czy wiesz, z jakiej huty pochodzi materiał na karoserię Twojego samochodu? Albo kto zbudował stos TCP / IP w sterowaniu walcarką? Lub interfejs przeglądarki Twojej inteligentnej kamery internetowej? Prawdopodobnie nie. I to też jest w porządku. Inaczej wygląda to, jeśli jesteś operatorem dużego zakładu przemysłowego lub elektrowni. Wtedy zwykle wiesz, kto jest producentem urządzeń, które są używane zarówno w IT, jak i OT. Jednak ci producenci często sami kupują technologie. Ta procedura jest absolutnie powszechna, ponieważ nikt nie chce ciągle wynajdywać koła na nowo.

Łańcuchy dostaw - ślepy punkt bezpieczeństwa

Wykrycie wady w dostarczonym produkcie jest istotnym zdarzeniem zarówno dla producentów, jak i klientów. Zwłaszcza jeśli chodzi o bezpieczeństwo. Ale co, jeśli dany komponent jest tak szeroko powszechny, że nie można dokładnie powiedzieć, gdzie się znajduje? A co, jeśli w ogóle nie ma możliwości jego naprawy?

Wtedy dobra rada jest droga w najprawdziwszym tego słowa znaczeniu. Dokładnie tak się stało: 19 różnych luk w zabezpieczeniach, podsumowanych pod nazwą „Ripple20” (w j. angielskim: ripple = fala uderzeniowa) w szeroko powszechnym stosie TCP / IP, wydziera ogromne dziury w koncepcjach bezpieczeństwa firm na całym świecie. W niektórych przypadkach wykryte słabe punkty pozwalają na wprowadzenie złośliwego kodu, który następnie może zostać wykonany na zaatakowanym urządzeniu. W rezultacie szacunki JSOF (firmy, która ujawniła zbiór luk Ripple20) mogą mieć wpływ na ponad setki milionów urządzeń na całym świecie. Wszystkie informacje są zebrane na stronie internetowej JSOF.

Jaka jest różnica między „IT” a „OT”?

Większość ludzi wie, co to jest IT. To są komputery, na których wszyscy codziennie pracujemy. Ale systemy produkcyjne są również sterowane komputerowo - przez tzw. OT, skrót od „technologii operacyjnej”. Nie ma tu osoby odpowiedzialnej za bezpośrednie koordynowanie i monitorowanie prac. Można powiedzieć to w trochę nonszalancki i bardzo uproszczony sposób: „Jeśli nie ma ekranu, klawiatury ani myszy i wszystko działa automatycznie, to jest OT”. W tym świecie poza biurem są komputery sterujące, np. w postaci programowalnych sterowników logicznych (PLC). Każdy z nas ma też do czynienia z tymi cichymi służącymi w życiu codziennym - na przykład w schodach ruchomych, windach czy sterowaniu roletami zależnymi od pogody. OT składa się z czujników oraz siłowników i wykonuje proste zadania: „Jeżeli ciśnienie w przewodzie X przekracza wartość Y, należy otworzyć zawór Z”. W przeciwieństwie do klasycznego IT, bezpieczeństwo dopiero niedawno stało się częścią OT. Niektóre urządzenia i programy są przeznaczone do działania przez dziesięciolecia. Dlatego OT nie można traktować dokładnie tak, jak IT.

Aktualizacje są wyzwaniem

Nieważne, czy jest to zakład przemysłowy, urządzenie medyczne czy inteligentna lampa: wiele urządzeń jest połączonych w sieć. Niektóre z nich znajdują się w obszarach niebezpiecznych, które nie są łatwo dostępne. Systemy odbierają dane z czujników oraz sterują silnikami i zaworami. Ktoś, kto ma dostęp do tych systemów, może wyrządzić wiele szkód, a nawet zagrozić życiu ludzkiemu.

Wiele z tych urządzeń i maszyn można aktualizować tylko w bardzo długich odstępach czasu - jeśli w ogóle. Systemy produkcyjne przeważnie działają w sposób ciągły i często są wyłączane tylko raz w roku ze względu na koszty i wydajność w celu przeprowadzenia prac konserwacyjnych i czyszczenia. Wszystkie zadania, dla których maszyny muszą być wyłączone z eksploatacji, są skoncentrowane na tych kilku dniach lub godzinach w roku. Podobnie jest z urządzeniami medycznymi, takimi jak tomograf czy rezonans magnetyczny, ale także z aparatami anestezjologicznymi i oddechowymi, które poprzez sieć przekazują w celach dokumentacyjnych informacje o podawanych dawkach leków.

Aktualizacje na komputerze w domu, w biurze czy na smartfonie tylko raz w roku? Prawie nie do pomyślenia, ale taka jest zasada w przemyśle i medycynie. I nie tylko tam: Internet rzeczy też działa na podobnych warunkach. Ponadto urządzenia w tych obszarach są używane znacznie dłużej. W przemyśle okres eksploatacji wynoszący 15 lat i więcej jest normą. A urządzenie IoT niekoniecznie jest regularnie aktualizowane lub wymieniane. Aktualizacje są często zaniedbywane, szczególnie w segmencie niskich cen. Tutaj prywatni użytkownicy i przemysł borykają się z tym samym podstawowym problemem. Właściciel domu raczej nie wymieni wszystkich systemów automatyki domowej w cyklu dwu- lub trzyletnim, a systemy przemysłowe nigdy nie są wymieniane w takim cyklu. Czasami producenci już nie istnieją, zostali wykupieni lub wsparcie dla poszczególnych urządzeń zostało już dawno zakończone. Zdarzają się takie przypadki, że nie wiadomo nawet, czy dane urządzenie jest w ogóle podatne na nowo odkryte luki z kolekcji Ripple20 - i czy istnieje jakakolwiek nadzieja na aktualizację, która naprawi te luki.

Jeśli luki w kolekcji Ripple20 zostaną wykorzystane, skutki powinny być niczym innym niż burzą w szklance wody.

Izolacja jako środek zapobiegający

W przeszłości zdarzały się przypadki, w których aktualizacja luki w zabezpieczeniach nie była w ogóle możliwa. Niemiecki producent ABUS przekonał się na własnej skórze, że nie da się już naprawić luki bezpieczeństwa w systemie kamer sieciowych. Powód: wymagane narzędzie programistyczne pochodziło od dostawcy, który nie prowadził już działalności i dlatego nie był już dostępny. Jedyne, co pozostało, to zachęcić klientów do zakupu nowego produktu po znacznie obniżonej cenie.

Jednak w większości przypadków nowy zakup podatnego sprzętu przemysłowego nie wchodzi w grę - pozostaje tylko długie oczekiwanie i nadzieja, że ​​producenci zapewnią odpowiednią aktualizację oprogramowania w odpowiednim czasie. I jedyne co firma może zrobić, to podjąć środki ostrożności, w celu odizolowania potencjalnie podatnych systemów od reszty sieci. Jeśli nie ma konieczności podłączenia urządzenia do sieci, zaleca się wyłączenie odpowiednich funkcji i właściwości. Dotyczy to zakładów przemysłowych, a także urządzeń IoT w prywatnych gospodarstwach domowych.

Ta izolacja jest jednym z nielicznych środków, które mogą ograniczyć szkody w przypadku ataku. Oprócz JSOF, to zalecenie zostało również powtórzone przez producenta sprzętu sieciowego Cisco w oświadczeniu na ich stronie internetowej. Ponieważ w wielu firmach maszyny produkcyjne są w tej samej sieci co infrastruktura IT, słaby punkt może sparaliżować całą fabrykę. Są też przykłady z przeszłości, takie jak incydent u producenta chipów TSMC w 2018 roku. Pamiętamy: kiedy doszło do tego incydentu, WannaCry był znany od roku, a środki zaradcze były również dobrze znane.

Wniosek

Środki zapobiegania incydentom również nie są nowe - ale w przypadku niewykrytych i niemożliwych do naprawienia luk w zabezpieczeniach „Forever-Day” jest tym ważniejsze, aby je faktycznie wdrożyć. To tylko kwestia czasu, zanim luki zostaną wykorzystane do poważnych i brzemiennych w skutkach ataków.

Media: