Názory k článku Postřehy z bezpečnosti: úpravny vod nejsou chráněny proti útokům

Společnost FingerprintJS definovala nový vektor útoku tzv. scheme flood, to jest zahlcení schématu, té části URL, kde je napsán protokol
Nevím jak to funguje, ale mi to tvrdilo, že mám nainstalované téměř všechny aplikace ze seznamu, přitom některé IMHO ani pro Linux neexistují. Zkoušel jsem Firefox vs Firefox ve firejailu a výsledek se lišil (ovšem v obou případech byla unikátnost nad 90%)

Nejde o konkrétní aplikace, ale o to, zda je v systému (nebo prohlížeči) zaregistrována obsluha pro daný protokol.

Tak jsem to zkoušel ještě v Chrome, a ten mi vrací pro změnu, že nemám žádné aplikace, takže to buď už patchnuli, nebo tahle technika úplně nefunguje:)

Ilustrační foto článku nezobrazuje úpravnu pitné vody, ale čističku odpadních vod.

Čekal jsem, jestli se někdo ozve. Je to samozřejmě tak, je to vědomá volba ilustračního obrázku. Už v názvu obrázku je napsáno, že se jedná o ČOV. Na úpravnách ovšem obvykle není co fotit a hlavně nejsou pro běžného čtenáře příliš typické, na rozdíl od čističek.

Fotka ČOV ovšem také souvisí s celým problémem, pokud je možné napadnout začátek řetězce, bude pravděpodobně stejně možné napadnout jeho konec.

Tak fotky z Podolske vodarny jsou hezke, vcetne rybicek jako biodetektoru znecisteni/pi­telnosti :) Ale pak by to napadnul zas nekdo kvuli tomu, ze to prece neni foto z USA... si clovek nevybere.

Spíš je problém v tom, že nemáme k dispozici fotky libovolného místa na světě. Můžeme poslat redakčního fotografa nějaké fotky udělat, pokud to dává smysl, ale ve většině případů je rychlejší a levnější prostě si je stáhnout z fotobanky.

Zrovna ta podolska je ale fakt hezká i z venci:-) kdyz odhlednu od toho že nevypada typicky prumyslove / steampunkove.

Vždycky se chlubim před kolegy z US když jsou na navsteve. Spis hadaji soud, palac, divadlo nebo muzeum.

„Když nemáte limetku, dejte tam citron, když nemáte citron, nedávejte tam nic.“

Na některých úpravnách vody je co fotit, i když už nejsou v provozu. Třeba v Brně - Pisárkách ( https://mapy.cz/zakladni?x=16.5678454&y=49.1945680&z=18&l=0&base=ophoto ).

Nadpis i článek o vodárnách mi přijde lehce zavádějící.
Pohybuji s v dané oblasti a tudíž úroveň zabezpečení jejich IT systémů znám. Většina vodárenských společností nasazuje do dané oblasti dost peněz a zvyšují úroveň zabezpečení kvůli zákonu o kritické infrastruktuře. To, že útočník zjistil heslo k TW mu sice dalo přístup k PC , ale nedalo mu to přístup k řízení do daného SCADA systému. Ten bývá také chráněn uživatelskými účty a hesly. Tudíž asi nebude chyba jen v TeamVieweru, ale i v horším zabezpečení někde jinde.

"Přes 67 % vodárenských systémů pak za poslední rok nehlásilo žádný bezpečnostní incident související s IT provozem, což spíše indikuje, že něco není v pořádku se samotným procesem detekce a reportování incidentů."
Nemusí nutně být. Mnoho vodáren nebo čistíren si žije vlastním životem bez připojení na internet a tudíž se tam nemá ani kdo jak dostat. Na druhou stranu velké společnosti shlukují sítě vodáren a čistíren do zabezpečených interních sítí chráněných přes APN nebo VPN a často oddělených od jejich běžných sítí. Nemusí to tedy nutně znamenat problém s detekcí...

28. 6. 2021, 12:26 editováno autorem komentáře

A které vodárenské společnosti to jsou? Ty co byly prodany / ukradeny do zahranici a nebo ty ktere nevlastní soukromý subjekt?

28. 6. 2021, 12:54 editováno autorem komentáře

Myslím si, že investují jak zahraniční, tak domácí společnosti. Rozdíl je v tom, že ty zahraniční jsou do toho tlačeny více mateřskými firmami, které mají tuto politiku již nastavenou a vynucují ji i u místních poboček.

Inu koho chleba jis... Snad to nefunguje jak ve velkych telekomunikacich kdy zustava jen znacka a investice jsou maximalne tunelovany ven.

Doufejme ze aspon tu veolii z prahy postupnym odkupem a vyprsenim vykydlime. Ale to je jen jeden dilek ve skladacce.

28. 6. 2021, 18:14 editováno autorem komentáře

Je vůbec někdo proti útokům chráněn? Pochybuju, že lze hovořit o bezpečnosti, pokud je to připojeno na internet. Lze jen učinit kroky pro minimalizaci škod.

Je, ten kdo není připojen k internetu ;-)

To mi připomíná "básníky":
"Jediné auto, které nezestárne je to, které si nekoupíte."

Íránský jaderný program by mohl vykládat... Pamatujete na pohádku o Stuxnetu a střílení flashek prakem za plot? :)

Přijde mi, že veškerá kritická infrastruktura by měla být oddělená airwallem. Jakmile to je připojené do internetu, už tam existuje větší nebo menší riziko, že se tam někdo nebo něco časem nabourá.

Airwall ale není zárukou, že infrastruktura napadená nebude. Naopak připojení k internetu může mít významné výhody. Takže je lepší řešit skutečnou bezpečnost a ne spoléhat na snadná „řešení“, která ve skutečnosti nic neřeší.

Takže je lepší řešit skutečnou bezpečnost a ne spoléhat na snadná „řešení“, která ve skutečnosti nic neřeší.
Co je to skutečná bezpečnost? Pravidelně záplatovaný firewall?

Jestli to nutně nemusí komunikovat s něčím v internetu, tak není důvod to připojovat.

Otazkou je jak je reseny tech support a monitoring. Jestli je to nejaka uzavrena sit s jednoduchymi protokoly a transportem pres nejakou IoT sit kde se posila telemetrie nebo servisni firma potrebuje mit pristup pres nejakou VPN/IP dovnitr aby posoudila jestli poslat technika.

Dneska i prumyslovi dodavatele cpou IP do vseho nebo delaji transport. Kde driv stacil jednoduchy modbus.

Pri rekonstrukci byva takova zmet kabelu ze si nedelejte iluze ze je to vsechno krasne oddeleno, odliseno a popsano jako ve vasem vymazlenem datacentru - a zdaleka ani ne kazdy v IT trpi obsesi mit to hezky.

Fotky od kolegu z US co delaji prumyslovou automatizaci jsou dost hnusne. Co cast to jiny kontraktor a to jine zverstvo a jiny system. Ten trh je prilis velky. To co u nas dela 50 servisaku po republice tam je 1000 ruznych kontraktoru. Nedivil bych se kdyby dochazelo omylem/ chybou v konfiguracich k expozici vnitrni IP site ven pripadne do zony "pani_co_dela­ji_ucetni".

Nic nemusí nutně komunikovat po internetu. Nicméně to, že se o aktuálním stavu dozvědí třeba lidé mimo velín, může být užitečné. To, že je možné něco ovládat na dálku a nemusí se tam fyzicky někdo dostat také může být užitečné (například Covid nebo tornádo jsou dobré příklady, kdy hnát někam fyzicky člověka znamená vystavovat ho nebezpečí nebo minimálně komplikace).

Skutečná bezpečnost je spousta různých opatření. Od evidence toho, co kde běží a kontroly, že to není vystavené někam, kam to být vystavené nemusí, a že je to záplatované. Přes bezpečné zacházení s přístupovými údaji. Přes správně nastavené a zdokumentované procesy podchycené technologií (např. že kritická operace vyžaduje souhlas více lidí).

Pokud nic z toho mít nebudete, airgap vás nezachrání, protože někdo ten škodlivý kód přenese třeba na flash disku.