Как не обесточить город: мифы о безопасности АСУ ТП

Алексей Тюрин
к.т.н., старший аудитор Digital Security

Представьте себе промышленную установку, агрегатами которой нужно управлять по заданному алгоритму. Мы обвешиваем эту установку различными датчиками и исполнительными механизмами и подключаем к PLC-контроллеру, который и выполняет этот алгоритм. При этом контроллер проверяет уровни температуры, напряжения, давления, следит за оборотами двигателей, включает и выключает различные механизмы. И если какие-то параметры заходят за пределы дозволенного, он останавливает установку или технологический процесс.

Кроме контроллеров, за работой процесса следит еще и человек – оператор. И следить за информацией с десятков, а зачастую и сотен контроллеров ему, конечно, неудобно. Для оператора в промышленную сеть устанавливается автоматизированное рабочее место (АРМ). Это компьютер с операционной системой Windows, на который устанавливается программа для отображения технологического процесса (SCADA). SCADA выводит на экран показания с контроллеров, обеспечивает возможность управления механизмами в ручном режиме и позволяет изменять некоторые параметры технологического процесса, а также ведет запись архивов. На АРМ часто устанавливают базу данных для записи статистики и генерации отчетов. АРМ в сети может быть несколько – их количество зависит от масштаба производства и количества операторов. АРМ всегда находятся в одной сети с контроллерами.

Говоря о безопасности АСУ ТП, часто подразумевают только эти элементы системы. Тогда получается, что основной угрозой являются всевозможные вирусы и инсайдерские атаки. Считается, что от них есть защита и что ею ограничивается информационная безопасность АСУ ТП.

Защита

На многих предприятиях уже внедрены соответствующие меры предосторожности против инсайдерских атак. Во-первых, это строгие системы контроля на входе на предприятие и между его отделами. Во-вторых, это всевозможные регламенты. В-третьих, на большинстве контроллеров есть возможность установить пароль для предотвращения их несанкционированного перепрограммирования. В-четвертых, в большинстве SCADA-систем внедрены ролевые модели, то есть инсайдер, не зная пароля администратора, может сделать только то, на что у него есть права. В-пятых, в мониторинге системы часто задействованы несколько человек – таким образом, у персонала есть возможность заранее отследить негативные изменения в системе, внесенные инсайдером.

В таких условиях, для того чтобы сильно повлиять на технологический процесс, инсайдеру придется очень постараться, и при этом он будет осознавать, что его непременно найдут.

Вирусная угроза

Вирусы – вещь опасная и очень распространенная, особенно если ОС из семейства Windows. Опасность вирусов усугубляется еще и тем, что зачастую антивирусное ПО на АРМ не устанавливается, а если и устанавливается, то уж точно не обновляется. Впрочем, считается, что так как технологическая сеть ни с чем не соединена, то и вирусы в этой изолированной среде появиться никак не могут.

Правда, есть всевозможные носители, например флешки. Часто бывает, что какой-нибудь нерадивый работник (или тот же инсайдер) в нарушение регламентов принесет флешку, вставит ее в свой АРМ и заразит его каким-нибудь зловредом. Распространена практика, когда интеграторы АСУ ТП систематически приезжают на предприятие и занимаются тем, что очищают АРМ от множества вирусов.

Но считается, что вирусы в данном случае не так уж страшны. Да, вирус может внедриться в ОС и сидеть там. Возможно, АРМ будет "тормозить". Но если это шпионаж, попытка кражи информации или троян, то вирус не сможет отправить информацию в Интернет: сеть изолирована. Если это автономный вирус, то, чтобы на что-то повлиять, ему придется, во-первых, найти возможность использовать малоизвестные нестандартные протоколы, которые во многом привязаны еще и к производителю. Во-вторых, большинство технологических систем уникальны. Повлиять на них автоматическими методами, без участия человека, почти нереально. Соответственно вирус должен быть чрезвычайно высокой сложности и быть тонко заточен под конкретную систему, поэтому вероятность такой атаки близка к нулю.

Итак, казалось бы, ИБ на данный момент находится на вполне приемлемом уровне. Но данное впечатление глубоко ошибочно. И сейчас мы посмотрим почему.

Реальные основные компоненты АСУ ТП

АСУ ТП уже давно перестала быть некой отдельной сверхспецифичной ИС, которая живет в изоляции и по своим законам. Сейчас она использует в основном стандартные общедоступные технологии и ПО. Построена она, как правило, по классической иерархии. Все ее элементы сильно взаимосвязаны, а сама она взаимодействует с другими ИС. Очевидно, что взлом одного из элементов лавинообразно ведет к компрометации всей системы.

Это, в свою очередь, означает, что безопасность всей системы определяется ее слабейшим элементом. Адекватную информационную безопасность АСУ ТП можно организовать, только обезопасив каждый из уровней иерархии (см. рис.):

1. безопасность периметра;
2. проработка политик, регламентов;
3. сетевое оборудование, инфраструктура;
4. сетевое взаимодействие между хостами;
5. безопасность отдельных хостов;
6. приложения (SCADA, базы данных, Web-приложения и т.д.);
7. технологические элементы (контроллеры и т.д.).

Если мы сравним с этой схемой то, что проводится сейчас, то увидим печальную картину. Безопасность систем поддерживается только на первом (физический контроль на предприятии), втором (политики и регламенты) и частично третьем (сетевая инфраструктура) уровнях.

Остальным четырем пунктам уделяется мало внимания – основная причина в том, что решения людей, работающих с АСУ ТП, основаны на нижеследующих мифах, а о том, сколько вреда сейчас могут причинить хакеры и с какой легкостью, они не знают.

Миф 1. Промышленные системы не подвержены угрозам, потому что используют специфические технологии
Возможно, в какой-то переходный момент это и было так. Использовались специальные промышленные протоколы, форматы. Производители использовали специфические конфиденциальные разработки на АРМ и для взаимодействия с оборудованием.

Теперь же все производители переходят на общедоступные стандартные технологии:

• сетевые – Ethernet, TCP/IP;
• ОС – Windows, Unix-клоны (Linux, QNX);
• MS ActiveDirectory, Novell;
• прикладное ПО – Web-серверы (IIS, Apache), СУБД (Access, MS SQL server, Oracle);
• технологии Java, NET, XML, HTTP, SOAP, SQL и т.д.

А вот какие последствия влечет за собой применение этих технологий:

• промышленные системы вместе со всеми положительными аспектами использования технологий получили "в подарок" и все их проблемы;
• уязвимости этих технологий широко известны;
• эксплуатация уязвимостей в промышленной среде хоть и имеет свою специфику, но возможна и почти не отличается от эксплуатации в корпоративной сети.

Еще раз подчеркну, что уязвимости широко известны. В Интернете есть большое количество информации по многим из них, вплоть до видеоуроков по взлому. Существуют всевозможные автоматизированные программы, позволяющие эксплуатировать уязвимости системы "в один клик" и захватывать над ней контроль. Причем в их функционал уже входят всевозможные атаки на распространенные промышленные контроллеры и SCADA.

Таким образом, даже начинающий хакер может подключиться к сети АСУ ТП и получить над ней контроль.

Миф 2. Промышленные системы не подвержены угрозам, потому что они изолированы
Нынешние реалии таковы, что данное утверждение чаще всего попросту ложно. Очень часто промышленные сети раскинуты по большим территориям, и полностью ограничить физические подключения иногда невозможно. Также в промышленных сетях все чаще используются всевозможные беспроводные технологии (GSM, Wi-Fi). У злоумышленника, как правило, более чем достаточно способов проникнуть в такую сеть.

Мало того, есть и подключения к другим сетям. Очень часто есть необходимость, чтобы АСУ ТП общалась с каким-то сервером в корпоративной сети – для дистанционного обслуживания или чтобы у менеджеров была актуальная информация о происходящем на производстве. А так как корпоративные и технологические сети часто находятся на расстоянии, то используются хотя и защищенные, но проходящие через интернет-каналы, такие как VPN.

Основным разделителем, делающим данную среду "изолированной", остается межсетевой экран. Казалось бы, он предназначен, чтобы сдержать атаки хакеров, но, увы, у них уже накопился большой опыт и разнообразные техники, позволяющие либо обходить межсетевые экраны, либо взламывать конкретно их. Злоумышленники могут подменять IP-адреса в корпоративных сетях, могут внедряться в соединения по сети, прослушивать и модифицировать данные, передающиеся по сети, научились инкапсулировать разные виды трафика друг в друга.

Реальные инциденты

Многим интересно, а как часто в реальности происходят проникновения в промышленные сети? Достоверной информации, вероятно, никто точно не знает, ведь раскрытие информации о том, что компания была взломана, может сильно подорвать ее репутацию. Кроме того, обычно нет возможности проводить расследование и разбираться в причинах: для этого нужно изымать технику и анализировать ее, а простой производства стоит больших денег.

Исследования

Digital Security провела ряд исследований безопасности АСУ ТП: проанализирована возможность проникновения из сети Интернет и нескольких специфичных элементов АСУ ТП (SCADA, контроллеры) в контексте проекта Project Basecamp.

В результате анализа нашлось множество АСУ ТП, доступных напрямую из Интернета. Кроме того, на многие из них был открыт доступ через HTTP, а пароли были установлены по умолчанию. Это значит, что злоумышленник может проникнуть в систему и полностью поменять настройки контроллера.

На конференции S4ICS в Майами в январе 2012 г. были представлены результаты грандиозного проекта, посвященного исследованиям уязвимостей в промышленных контроллерах, – Project Basecamp.

Исследованию подверглись следующие    промышленные контроллеры:

• General Electric D20ME;
• Koyo/Direct LOGIC H4-ES;
• Rockwell Automation/Allen-Bradley ControlLogix;
• Rockwell Automation/Allen-Bradley MicroLogix;
• Schneider Electric Modicon Quantum;
• Schweitzer SEL-2032 (a communication module for relays).

По итогам исследования было выявлено, что все контроллеры имеют множественные уязвимости, в том числе высокой критичности, что позволяет менять настройки или вызывать отказ в обслуживании контроллера.

Эксперты исследовательского центра компании Digital Security (DSecRG) решили поддержать данный проект своими независимыми исследованиями, добавив к списку контроллер WAGO серии 750, и опубликовали ряд уязвимостей нулевого дня под данный контроллер, а также под SCADA-системы WellinTech KingSCADA и OPC Systems.NET.

Итог: в OPC Systems и WellinTech KingSCADA – 5 уязвимостей средней и высокой критичности, в контроллерах WAGO – 5 уязвимостей средней и высокой критичности.

Важно уточнить, что эксплуатация данных уязвимостей не составляет особого труда. Как, в общем-то, и выявление. Поэтому присутствие этих уязвимостей еще раз подтверждает, что производители пока еще не занимаются информационной безопасностью в должной мере.