Специалисты по ИТ-безопасности говорят, что уязвимости в промышленных комплексах для управления оборудованием продолжают оставаться одним из самых слабых звеньев в промышленной безопасности. В компании Exodus Intelligence говорят, что в рамках последнего исследования их специалисты обнаружили более двух десятков новых уязвимостей в применяемых на сегодняшний день SCADA-системах разных производителей. На сегодня в Exodus говорят, что не будут предоставлять конкретных сведений, так как почти ни одну из проблем производители еще не устранили. Аарон Портной, вице-президент Exodus, говорит, что уязвимости были обнаружены в SCADA-системах таких производителей, как Rockwell Automation, Schneider Electric, Indusoft, Realflex и Eaton. Все выпускаемые этими компаниями продукты сейчас применяются для управления критически важными областями, производственными объектами и другими промышленными комплексами. Двумя неделями ранее компания ReVuln также сообщила, что обнаружила уязвимости в программных продуктах компаний General Electric, Schneider Electric, Kaskad, Rockwell Automation, Eaton и Siemens. Однако в ReVuln также не предоставили данных о выявленных уязвимостях, сказав, что сейчас проверяют эти данные. Сама компания ReVuln продает информацию о выявленных уязвимостях своим клиентам по подписке. "Я решил исследовать SCADA-системы после того, как прочел статьи и решил, что было бы слишком опасно продавать данные об уязвимостях подобного рода, так как они связаны с защитой критически важной инфраструктуры", - говорит Портной. В компании ReVuln говорят, что система продажи информации об уязвимостях - это общепринятая модель, которая не является новой для исследовательского сообщества и производителей программного обеспечения. В то же время, независимые специалисты не раз критиковали подобную практику. Например, недавно в адрес французской компании Vupen раздались обвинения в том, что она продает информацию об уязвимостях правительственным органам НАТО, вместо того, чтобы передавать данные производителям софта. В Exodus говорят, что выявили семь уязвимостей, допускающих удаленное выполнение кода с удаленных узлов, а также 14, приводящих к DoS-атакам на SCADA. Некоторые из уязвимостей допускают возможность загрузки, закачки и удаления целевых файлов из уязвимых систем. "Можно сказать, что самым удивительным при выявлении багов в системах, было то, что обнаружить их оказалось удивительно просто. Первая уязвимость нулевого дня была обнаружена через семь минут анализа. Для тех, кто проводит много времени за аудитом SCADA-систем, очевидно, что выявить здесь проблемы в разы проще, чем в обычном программном обеспечении корпоративного уровня", - говорит Портной. По его словам, сейчас в мире SCADA-продуктов сложилась странная ситуация: получить само программное обеспечение сложнее, чем найти баги в нем. "Чтобы получить программы я использовал самые разные методы. Некоторые программы имеют триальные версии, другие пришлось разыскивать по FTP-архивам, третьи доставать через другие каналы. Я постарался доставать самые последние версии продуктов", - рассказывает он. Портной говорит, что как и ReVuln, его компания продает данные об уязвимостях по подписке, но сам сервис Exodus ориентирован на компании, желающие защититься от потенциальных атак, так как одновременно с выявлением проблемы данные о ней передаются производителю. "Все наши клиенты также подписывают соглашения о неразглашении относительно получаемой информации, чтобы быть уверенным в том, что опасные сведения остаются у ограниченного круга получателей", - говорит Портной. Аналогичным бизнесом занимается и компания Secunia, причем ее требования по неразглашению еще жестче. Говоря об уязвимостях в SCADA все компании сходятся во мнении, что данный класс программного обеспечения использует устаревшие методики защиты и не обеспечивает должной безопасности в целом. Рубен Сантамарта, технический специалист компании IOActive, говорит, что его компания также занимается анализом систем ICS (industrial control systems) и здесь ситуация в целом не лучше. "Фактически, от краха промышленные системы спасает только одно - политика неразглашения независимых исследовательских компаний", - говорит он. "Думаю, что многим, а возможно и всем производителям подобных программ следует передавать код новых версий своих решений на независимый аудит перед тем, как предлагать его пользователям. Особенно это актуально тогда, когда речь идет о продуктах, которые интересуют хакеров все больше, таких как системы управления транспортом, водоснабжением, подачей электроэгнергии и другими", - говорит Портной. Независимые эксперты уверены, что в предстоящем 2013 году внимание к ISC- и SCADA-системам как со стороны специалистов, так и со стороны хакеров будет только расти. "Мы наблюдаем взрывной интерес к доступным в интернете системам промышленного контроля, здесь появляются многие новые методы атак и получения информации", - говорит Дейл Петерсон, генеральный директор компании Digital Bond, специализирующейся на безопасности ICS-систем. По его словам, сейчас интернет-подключенные ICS-системы пока не относятся к критически важным объектам, так как под их управлением находятся сравнительно небольшие объекты, но многие промышленные производители уже готовят новое поколение "больших" SCADA-систем, имеющих выходы в интернет. Если в них системы безопасности останутся на нынешнем уровне, то это может грозить серьезными проблемами.
CyberSecurity.ru