Postřehy z bezpečnosti: zranitelnosti SCADA/ICS zkoumány experty z EU, NATO i USA

Jaroslav Kodet 11. 4. 2016

Dnes se podíváme na vývoj stavu zabezpečení software pro řízení technologických systémů (SCADA/ICS), seznámíme se s aktuálně aktivními kampaněmi ransomware a s několika možnostmi odpovídajících protiopatření.

Nedostatkům v zabezpečení průmyslových řídících systémů SCADA/ICS jsme se v rámci Postřehů z bezpečnosti již věnovali několikrát, zejména v souvislosti s útoky na ukrajinskou elektrorozvodnou síť prostřednictvím součinnosti několika malwarů a koordinované ruční práce. V reakci na tyto útoky se některé státy rozhodly uspořádat kybernetická bezpečnostní cvičení, která měla za cíl ověřit připravenost bezpečnostních týmů čelit podobným útokům. Jen v ČR proběhlo letos již několik cvičení zaměřených na řešení incidentů tohoto typu, ať už na národní úrovni či ve spolupráci s dalšími státy nebo NATO.

Podle zprávy serveru securityweek.com toto nebezpečí bere velmi vážně i Ministerstvo vnitřní bezpečnosti USA (DHS), jehož CERT/ICS tým vydal v tomto týdnu tři důležitá upozornění na zranitelnosti SCADA/ICS systémů.

Jedním z důvodů proč jsou tyto systémy zranitelné, je fakt, že většina SCADA/ICS řešení je postavena na velmi rozdílných platformách včetně specializovaných operačních systémů a interně vyvinutých aplikací využívajících vlastní komunikační protokoly. Logickým důsledkem je praktická nemožnost nasazení host-based security opatření vyvinutých pro prostředí „běžného IT“, jenž je ale obtížně aplikovatelné pro prostředí ICS.

Za to, že útoky na tyto systémy nejsou (zatím) příliš časté, vděčíme nejspíš tomu, že není mnoho odborníků s odpovídajícími znalostmi jak ICS, tak systémů, nad nimiž tyto systémy pracují, a zároveň i jejich komunikačních protokolů. Pokud by nebylo této „security by complexity“, byla by situace nesporně mnohem horší, a to vzhledem k faktu, že SCADA/ICS systémy obsahují takové množství chyb, že úspěšně proniknout do řídícího systému je schopen v podstatě téměř kdokoli, včetně „script kiddies“, jejichž schopnost škodit je limitována právě jen absencí znalosti širších souvislostí produkčního prostředí. Podle odkazovaného článku se však zdá, že alespoň „velcí hráči“ na tomto poli již začali brát bezpečnost vážně a vydávají doporučení pro zlepšení bezpečnosti svých systémů.

Naše postřehy

Ransomware Rokku se snaží maximálně usnadnit platbu výkupného za data oběti pomocí QR kódu.Tento ransomware se šíří jako většina jeho „příbuzných“ prostřednictvím chytře napsaných phishingových e-mailů. Po spuštění škodlivého softwaru se Rokku nejprve pokusí smazat z pevného disku tzv. „shadow kopie“, aby uživateli znemožnil obnovu souborů „vlastní silou“, a pak začne šifrovat všechny obrázky a dokumenty šifrovacím algoritmem RSA-512.

Jakmile je se šifrováním hotov, Rokku po sobě „zamete stopy“, přičemž po sobě zanechá zašifrované soubory spolu s informací, jak může uživatel získat soubory zpět. Postup je podobný jako u ostatních ransomwarů. Instrukce jsou uloženy na „darknetu“ a jako bonus je přiložen QR kód pro rychlou platbu, pokud je na zařízení k dispozici bitcoinová peněženka s odpovídajícím zůstatkem. Podle všeho se zdá, že na rozdíl od Lockyho Rokku ponechává peněženku nezašifrovanou.

„Nemocniční“ ransomware Samas se od jiných „produktů“ svého druhu liší vektorem svého šíření. Na rozdíl od nich se totiž nešíří prostřednictvím phisingových e-mailů, ale má zcela jiný „modus operandi“. Jeho způsob šíření je takový, že zneužije zranitelností doménových serverů s využitím získaných přístupových údajů, a z nich se pak šíří na klientské pracovní stanice.

Další novinkou je TeslaCrypt 3.0.1, který se od předchozích verzí liší v několika „vylepšeních“, z nichž nejviditelnější je ta, že na rozdíl od předešlých verzí nepřidává dodatečnou příponu, podle níž lze identifikovat zašifrované soubory. Analytik Peter Stephenson pro server scmagazine.com popsal, jakým způsobem se zachovat v případě napadení tímto ransomwarem.

widgety

Server The Hacker News zveřejnil postup, jak ochránit uživatele MS Windows a MS Office před malwary využívajícími ke svému šíření makra MS Office. Princip spočívá v nastavení možnosti spouštění maker pouze z důvěryhodných umístění. Soubory stažené z Internetu či e-mailové přílohy samozřejmě takovýto status nemají. Uživatelé by takto měli být ochráněni mimo jiné před malwarem jako je Dridex či Locky.

Ve zkratce:

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?
DigiZone.cz: Sony MP-CL1A: miniaturní projektor

Sony MP-CL1A: miniaturní projektor

Vitalia.cz: dTest odhalil ten nejlepší kečup

dTest odhalil ten nejlepší kečup

Lupa.cz: Jak se prodává firma za miliardu?

Jak se prodává firma za miliardu?

Vitalia.cz: Tohle jsou nejlepší česká piva podle odborníků

Tohle jsou nejlepší česká piva podle odborníků

Vitalia.cz: Test dětských svačinek: Tyhle ne!

Test dětských svačinek: Tyhle ne!

Lupa.cz: Hackeři mají data z půlmiliardy účtů Yahoo

Hackeři mají data z půlmiliardy účtů Yahoo

Vitalia.cz: Jsou vegani a vyrábějí nemléko

Jsou vegani a vyrábějí nemléko

DigiZone.cz: Ginx TV: pořad o počítačových hráčích

Ginx TV: pořad o počítačových hráčích

Podnikatel.cz: Babišovi se nedá věřit, stěžovali si hospodští

Babišovi se nedá věřit, stěžovali si hospodští

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

DigiZone.cz: Parlamentní listy: kde končí PR...

Parlamentní listy: kde končí PR...

DigiZone.cz: Rapl: seriál, který vás smíří s ČT

Rapl: seriál, který vás smíří s ČT

Vitalia.cz: 5 chyb, které děláme při skladování potravin

5 chyb, které děláme při skladování potravin

Podnikatel.cz: Znáte už 5 novinek k #EET

Znáte už 5 novinek k #EET

DigiZone.cz: DVB-T2 ověřeno: seznam TV zveřejněn

DVB-T2 ověřeno: seznam TV zveřejněn

Lupa.cz: Cimrman má hry na YouTube i vlastní doodle

Cimrman má hry na YouTube i vlastní doodle

Podnikatel.cz: Takhle se prodávají mražené potraviny

Takhle se prodávají mražené potraviny

Lupa.cz: Další Češi si nechali vložit do těla čip

Další Češi si nechali vložit do těla čip

Vitalia.cz: Fyzioterapeutka: Chůze naboso? Rozhodně ano!

Fyzioterapeutka: Chůze naboso? Rozhodně ano!

DigiZone.cz: Samsung EVO-S: novinka pro Skylink

Samsung EVO-S: novinka pro Skylink