Hlavní navigace

Postřehy z bezpečnosti: zranitelnosti SCADA/ICS zkoumány experty z EU, NATO i USA

Jaroslav Kodet

Dnes se podíváme na vývoj stavu zabezpečení software pro řízení technologických systémů (SCADA/ICS), seznámíme se s aktuálně aktivními kampaněmi ransomware a s několika možnostmi odpovídajících protiopatření.

Nedostatkům v zabezpečení průmyslových řídících systémů SCADA/ICS jsme se v rámci Postřehů z bezpečnosti již věnovali několikrát, zejména v souvislosti s útoky na ukrajinskou elektrorozvodnou síť prostřednictvím součinnosti několika malwarů a koordinované ruční práce. V reakci na tyto útoky se některé státy rozhodly uspořádat kybernetická bezpečnostní cvičení, která měla za cíl ověřit připravenost bezpečnostních týmů čelit podobným útokům. Jen v ČR proběhlo letos již několik cvičení zaměřených na řešení incidentů tohoto typu, ať už na národní úrovni či ve spolupráci s dalšími státy nebo NATO.

Podle zprávy serveru securityweek.com toto nebezpečí bere velmi vážně i Ministerstvo vnitřní bezpečnosti USA (DHS), jehož CERT/ICS tým vydal v tomto týdnu tři důležitá upozornění na zranitelnosti SCADA/ICS systémů.

Jedním z důvodů proč jsou tyto systémy zranitelné, je fakt, že většina SCADA/ICS řešení je postavena na velmi rozdílných platformách včetně specializovaných operačních systémů a interně vyvinutých aplikací využívajících vlastní komunikační protokoly. Logickým důsledkem je praktická nemožnost nasazení host-based security opatření vyvinutých pro prostředí „běžného IT“, jenž je ale obtížně aplikovatelné pro prostředí ICS.

Za to, že útoky na tyto systémy nejsou (zatím) příliš časté, vděčíme nejspíš tomu, že není mnoho odborníků s odpovídajícími znalostmi jak ICS, tak systémů, nad nimiž tyto systémy pracují, a zároveň i jejich komunikačních protokolů. Pokud by nebylo této „security by complexity“, byla by situace nesporně mnohem horší, a to vzhledem k faktu, že SCADA/ICS systémy obsahují takové množství chyb, že úspěšně proniknout do řídícího systému je schopen v podstatě téměř kdokoli, včetně „script kiddies“, jejichž schopnost škodit je limitována právě jen absencí znalosti širších souvislostí produkčního prostředí. Podle odkazovaného článku se však zdá, že alespoň „velcí hráči“ na tomto poli již začali brát bezpečnost vážně a vydávají doporučení pro zlepšení bezpečnosti svých systémů.

Naše postřehy

Ransomware Rokku se snaží maximálně usnadnit platbu výkupného za data oběti pomocí QR kódu.Tento ransomware se šíří jako většina jeho „příbuzných“ prostřednictvím chytře napsaných phishingových e-mailů. Po spuštění škodlivého softwaru se Rokku nejprve pokusí smazat z pevného disku tzv. „shadow kopie“, aby uživateli znemožnil obnovu souborů „vlastní silou“, a pak začne šifrovat všechny obrázky a dokumenty šifrovacím algoritmem RSA-512.

Jakmile je se šifrováním hotov, Rokku po sobě „zamete stopy“, přičemž po sobě zanechá zašifrované soubory spolu s informací, jak může uživatel získat soubory zpět. Postup je podobný jako u ostatních ransomwarů. Instrukce jsou uloženy na „darknetu“ a jako bonus je přiložen QR kód pro rychlou platbu, pokud je na zařízení k dispozici bitcoinová peněženka s odpovídajícím zůstatkem. Podle všeho se zdá, že na rozdíl od Lockyho Rokku ponechává peněženku nezašifrovanou.

„Nemocniční“ ransomware Samas se od jiných „produktů“ svého druhu liší vektorem svého šíření. Na rozdíl od nich se totiž nešíří prostřednictvím phisingových e-mailů, ale má zcela jiný „modus operandi“. Jeho způsob šíření je takový, že zneužije zranitelností doménových serverů s využitím získaných přístupových údajů, a z nich se pak šíří na klientské pracovní stanice.

Další novinkou je TeslaCrypt 3.0.1, který se od předchozích verzí liší v několika „vylepšeních“, z nichž nejviditelnější je ta, že na rozdíl od předešlých verzí nepřidává dodatečnou příponu, podle níž lze identifikovat zašifrované soubory. Analytik Peter Stephenson pro server scmagazine.com popsal, jakým způsobem se zachovat v případě napadení tímto ransomwarem.

Server The Hacker News zveřejnil postup, jak ochránit uživatele MS Windows a MS Office před malwary využívajícími ke svému šíření makra MS Office. Princip spočívá v nastavení možnosti spouštění maker pouze z důvěryhodných umístění. Soubory stažené z Internetu či e-mailové přílohy samozřejmě takovýto status nemají. Uživatelé by takto měli být ochráněni mimo jiné před malwarem jako je Dridex či Locky.

Ve zkratce:

Závěr

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a redaktorů serveru Security-Portal.cz. Uvítali bychom i vaši spolupráci na tvorbě obsahu tohoto seriálu. Pokud byste nás chtěli upozornit na zajímavý článek, tak nám napište na FB stránku, případně na Twitter. Děkujeme.

Našli jste v článku chybu?

11. 4. 2016 8:44

meh (neregistrovaný)

ocividne to pisou script kiddies, taky se divim nekdy proc nad tim nepremysli :-)

11. 4. 2016 4:03

Jenda (neregistrovaný)

> a pak začne šifrovat všechny obrázky a dokumenty šifrovacím algoritmem RSA-512

To fakt žádní autoři ransomware nedokážou napsat šifrování pořádně? Měli jsme tu klíč odvozený pouze z aktuálního času, RSA-512 jde cracknout za pár dní na běžném počítači

Lupa.cz: Proč firmy málo chrání data? Chovají se logicky

Proč firmy málo chrání data? Chovají se logicky

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

DigiZone.cz: Test Philips 24PFS5231 s Bluetooth repro

Test Philips 24PFS5231 s Bluetooth repro

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Lupa.cz: Kdo pochopí vtip, může jít do ČT vyvíjet weby

Kdo pochopí vtip, může jít do ČT vyvíjet weby

Vitalia.cz: Jsou čajové sáčky toxické?

Jsou čajové sáčky toxické?

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: „Připluly“ z Německa a možná obsahují jed

„Připluly“ z Německa a možná obsahují jed

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: 1. den EET? Problémy s pokladnami

1. den EET? Problémy s pokladnami

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

Vitalia.cz: I církev dnes vyrábí potraviny

I církev dnes vyrábí potraviny

Podnikatel.cz: Zavře krám u #EET Malá pokladna a Teeta?

Zavře krám u #EET Malá pokladna a Teeta?

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Vitalia.cz: Mondelez stahuje rizikovou čokoládu Milka

Mondelez stahuje rizikovou čokoládu Milka

DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Podnikatel.cz: Snížení DPH na 15 % se netýká všech

Snížení DPH na 15 % se netýká všech