Brace untuk lebih banyak serangan pada sistem industri pada tahun 2013

Semakin banyak peneliti kerentanan akan memusatkan perhatian mereka pada sistem kontrol industri (ICS) di tahun yang akan datang, tetapi juga para cyberattackers, pakar keamanan percaya.

Sistem kontrol terdiri dari perangkat lunak pengawas yang berjalan di workstation atau server khusus dan perangkat keras yang dapat diprogram komputer yang terhubung ke dan mengontrol proses elektromekanik. Sistem ini digunakan untuk memantau dan mengendalikan berbagai operasi di fasilitas industri, instalasi militer, jaringan listrik, sistem distribusi air dan bahkan bangunan publik dan swasta.

Beberapa digunakan dalam infrastruktur penting - sistem yang bergantung pada populasi besar untuk listrik, air bersih, transportasi, dll-jadi potensi sabotase mereka dapat memiliki konsekuensi yang jauh jangkauannya. Namun, yang lain hanya relevan untuk bisnis pemiliknya dan kerusakannya tidak akan berdampak luas.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Malware mengekspos cacat

Keamanan SCADA (kontrol pengawasan dan akuisisi data) dan jenis sistem kontrol industri lainnya telah menjadi topik perdebatan dalam industri keamanan TI sejak malware Stuxnet ditemukan pada tahun 2010.

Stuxnet adalah malware pertama yang diketahui untuk secara khusus menargetkan dan menginfeksi SCADA. sistem dan berhasil digunakan untuk merusak sentrifugal pengayaan uranium di pabrik nuklir Iran di Natanz.

Stuxnet adalah cyberweapon canggih yang diyakini telah dikembangkan oleh negara-bangsa yang dilaporkan AS dan Israel-dengan akses ke pengembang yang terampil, dana tak terbatas dan informasi terperinci. tentang kelemahan sistem kontrol.

Menyerang sistem pengendalian infrastruktur penting memerlukan perencanaan serius, pengumpulan intelijen dan penggunaan akses alternatif metho ds-Stuxnet dirancang untuk menyebar melalui perangkat USB karena sistem komputer Natanz diisolasi dari Internet, mengeksploitasi kerentanan yang sebelumnya tidak diketahui dan menargetkan konfigurasi SCADA yang sangat spesifik yang hanya ditemukan di situs. Namun, sistem kontrol yang bukan bagian dari infrastruktur penting menjadi semakin mudah untuk diserang oleh penyerang yang kurang terampil.

Ini karena banyak dari sistem ini terhubung ke Internet untuk kenyamanan administrasi jarak jauh dan karena informasi tentang kerentanan di ICS perangkat lunak, perangkat dan protokol komunikasi lebih mudah diakses daripada pada masa pra-Stuxnet. Rincian tentang lusinan kerentanan SCADA dan ICS telah diungkapkan kepada publik oleh para peneliti keamanan selama dua tahun terakhir, sering disertai dengan kode eksploitasi bukti-konsep.

"Kami akan melihat peningkatan eksploitasi perangkat sistem kontrol akses Internet karena eksploit menjadi otomatis, "kata Dale Peterson, chief executive officer di Digital Bond, perusahaan yang mengkhususkan diri dalam riset dan penilaian keamanan ICS, melalui email.

Namun, mayoritas perangkat sistem kontrol akses Internet bukan bagian dari apa kebanyakan orang akan mempertimbangkan infrastruktur penting, katanya. "Mereka mewakili sistem kotamadya kecil, membangun sistem otomasi, dll. Mereka sangat penting bagi perusahaan yang memiliki dan menjalankannya, tetapi tidak akan mempengaruhi populasi besar atau ekonomi untuk sebagian besar."

Penyerang yang berpotensi tertarik dalam penargetan sistem tersebut termasuk peretas bermotif politik yang mencoba membuat pernyataan, kelompok hacktivist dengan minat untuk menarik perhatian pada penyebabnya, penjahat yang tertarik dengan perusahaan pemerasan atau bahkan peretas melakukan itu menyenangkan atau menyombongkan hak.

Peretas menemukan target

Sebuah dokumen cyberalert FBI yang baru-baru ini bocor tertanggal 23 Juli mengungkapkan bahwa awal tahun ini para peretas memperoleh akses tidak sah ke sistem pemanas, ventilasi dan pendingin udara (HVAC) yang beroperasi di gedung kantor perusahaan AC New Jersey dengan mengeksploitasi kerentanan backdoor dalam kendali. kotak terhubung ke itu - sistem kontrol Niagara dibuat oleh Tridium. Perusahaan yang ditargetkan memasang sistem serupa untuk bank dan bisnis lainnya.

Pelanggaran terjadi setelah informasi tentang kerentanan dalam sistem Niagara ICS dibagikan secara online pada bulan Januari oleh peretas menggunakan moniker "@ntisec" (antisec). Operasi AntiSec adalah serangkaian serangan peretasan yang menargetkan lembaga penegak hukum dan lembaga pemerintah yang diatur oleh peretas terkait dengan LulzSec, Anonymous, dan grup hacktivist lainnya.

"Pada 21 dan 23 Januari 2012, subjek yang tidak dikenal memposting komentar di situs web AS yang diketahui, berjudul '#US #SCADA #IDIOTS' dan '#US #SCADA #IDIOTS bagian-II', "kata FBI dalam dokumen yang bocor.

" Ini bukan masalah apakah serangan terhadap ICS layak atau tidak karena mereka adalah, "Ruben Santamarta, seorang peneliti keamanan dengan perusahaan konsultan keamanan IOActive, yang menemukan kerentanan dalam sistem SCADA di masa lalu, mengatakan melalui email. "Setelah motivasi cukup kuat, kami akan menghadapi insiden besar. Situasi geopolitik dan sosial tidak begitu membantu, tidak konyol untuk menganggap bahwa 2013 akan menjadi tahun yang menarik."

Serangan yang ditargetkan bukan satu-satunya masalah; Malware SCADA juga. Vitaly Kamluk, kepala ahli malware di vendor antivirus Kaspersky Lab, percaya bahwa pasti akan ada lebih banyak malware yang menargetkan sistem SCADA di masa depan.

"Demonstrasi Stuxnet tentang betapa rentannya ICS / SCADA membuka area yang benar-benar baru untuk whitehat dan blackhat peneliti, "katanya melalui email. "Topik ini akan berada di daftar teratas untuk 2013."

Namun, beberapa peneliti keamanan percaya bahwa menciptakan malware semacam itu masih di luar kemampuan penyerang rata-rata.

"Membuat malware yang akan berhasil menyerang ICS bukan hal sepele dan mungkin memerlukan banyak wawasan dan perencanaan, "Thomas Kristensen, kepala petugas keamanan di intelijen kerentanan dan perusahaan manajemen Secunia, mengatakan melalui email. "Ini juga secara signifikan membatasi jumlah orang atau organisasi yang mampu melakukan serangan seperti itu."

"Kami tidak ragu meskipun, bahwa kami akan melihat serangan terhadap ICS," Kristensen menekankan.

"Kebanyakan dari SCADA dan DCS [didistribusikan sistem kontrol] aplikasi dan perangkat keras dikembangkan tanpa Siklus Hidup Pengembangan Keamanan (SDL) - berpikir Microsoft di akhir 90-an - sehingga penuh dengan kesalahan pemrograman umum yang mengarah ke bug, kerentanan, dan eksploitasi, "kata Peterson. "Itu mengatakan, PLC dan perangkat lapangan lainnya tidak aman dengan desain dan tidak memerlukan kerentanan untuk mengambil proses kritis ke bawah atau mengubahnya dengan cara jahat ala Stuxnet."

Perusahaan Peterson, Digital Bond, merilis beberapa eksploitasi untuk kerentanan yang ditemukan di banyak PLC (pengontrol logika yang dapat diprogram) - Komponen perangkat keras SACADA - dari beberapa vendor sebagai modul untuk kerangka pengujian penetrasi Metasploit yang populer, alat sumber terbuka yang dapat digunakan oleh hampir semua orang. Hal ini dilakukan sebagai bagian dari proyek penelitian yang disebut Proyek Basecamp, yang tujuannya adalah untuk menunjukkan betapa rapuhnya dan tidak amannya banyak PLC yang ada.

"Satu-satunya batasan untuk menemukan sejumlah besar kerentanan SCADA dan DCS adalah peneliti yang mendapatkan akses ke peralatan tersebut., "Kata Peterson. "Lebih banyak mencoba dan berhasil sehingga akan ada peningkatan kerentanan yang akan diungkapkan dengan cara apa pun yang dianggap sesuai oleh peneliti."

Masih perlu patch

Santamarta setuju bahwa mudah bagi para peneliti untuk menemukan kerentanan dalam perangkat lunak SCADA hari ini.

Bahkan ada pasar untuk informasi kerentanan SCADA. ReVuln, perusahaan keamanan startup yang berbasis di Malta yang didirikan oleh peneliti keamanan Luigi Auriemma dan Donato Ferrante, menjual informasi tentang kerentanan perangkat lunak kepada lembaga pemerintah dan pembeli swasta lainnya tanpa melaporkannya kepada vendor yang terpengaruh. Lebih dari 40 persen dari kerentanan dalam portofolio ReVuln saat ini adalah yang SCADA.

Tren tampaknya tumbuh untuk kedua serangan dan investasi di bidang keamanan SCADA, menurut Donato Ferrante. "Bahkan jika kita berpikir bahwa beberapa perusahaan besar di pasar SCADA menginvestasikan banyak uang untuk mengeraskan infrastruktur ini, itu berarti bahwa topik SCADA / ICS adalah dan akan tetap menjadi topik hangat untuk tahun-tahun mendatang," kata Ferrante melalui email.

Namun, mengamankan sistem SCADA tidak semudah mengamankan infrastruktur TI reguler dan sistem komputer. Bahkan ketika patch keamanan untuk produk SCADA dirilis oleh vendor, pemilik sistem rentan mungkin membutuhkan waktu sangat lama untuk menerapkannya.

Ada sedikit solusi penempatan patch otomatis untuk sistem SCADA, Luigi Auriemma mengatakan melalui email. Sebagian besar waktu, administrator SCADA perlu secara manual menerapkan tambalan yang sesuai, katanya.

"Situasinya sangat buruk," kata Kamluk. Tujuan utama sistem SCADA adalah operasi berkelanjutan, yang biasanya tidak memungkinkan untuk hot patching atau memperbarui - memasang tambalan atau pembaruan tanpa menghidupkan ulang sistem atau program - katanya.

Selain itu, patch keamanan SCADA perlu diuji secara menyeluruh sebelum diterapkan di lingkungan produksi karena perilaku tak terduga dapat berdampak signifikan pada operasi.

"Bahkan dalam kasus-kasus di mana patch untuk kerentanan ada, kita akan menemukan sistem rentan untuk waktu yang lama," kata Santamarta..

Sebagian besar pakar keamanan SCADA ingin agar perangkat kontrol industri seperti PLCs direkayasa ulang dengan mempertimbangkan keamanan.

"Yang diperlukan adalah PLC dengan langkah-langkah keamanan dasar dan rencana untuk menerapkannya di infrastruktur yang paling penting. selama satu sampai tiga tahun ke depan, "kata Peterson.

" Skenario yang ideal adalah di mana perangkat industri aman dengan desain, tetapi kita harus realistis, itu akan memakan waktu, "kata Santamarta. "Sektor industri adalah dunia yang terpisah. Kita tidak harus benar-benar melihatnya melalui perspektif TI kita. Yang mengatakan, semua orang menyadari bahwa sesuatu harus dilakukan, termasuk vendor industri."

Dengan tidak adanya aman-oleh- perangkat desain, pemilik ICS harus mengambil pendekatan pertahanan-mendalam untuk mengamankan sistem ini, kata Santamarta. "Menimbang bahwa ada protokol industri di luar sana yang tidak aman secara default, masuk akal untuk menambahkan mitigasi dan lapisan perlindungan yang berbeda."

"Putuskan ICS dari internet, letakkan di segmen jaringan yang terisolasi dan ketat membatasi / audit akses ke sana, "kata Kamluk.

" Para pemilik infrastruktur penting harus menyadari bahwa jaringan yang terpisah, atau setidaknya kredensial terpisah diperlukan untuk mengakses infrastruktur penting, "kata Kristensen. "Tidak ada administrator yang sadar dan waras yang akan masuk ke salah satu sistemnya menggunakan kredensial administratif dan dalam sesi yang sama itu mengakses Internet yang tidak bersahabat dan membaca email. Ini juga harus diterapkan ke ICS; gunakan satu set kredensial untuk mengakses sesi ICS dan mungkin akses sesi koneksi Internet Anda menggunakan pengaturan desktop virtual dan / atau jarak jauh. "

Peraturan diperdebatkan

Kebutuhan akan peraturan pemerintah yang akan memaksa operator infrastruktur penting untuk mengamankan sistem kontrol industri mereka telah menjadi topik yang diperdebatkan dan banyak ahli keamanan SCADA setuju bahwa ini bisa menjadi titik awal yang baik. Namun, sedikit kemajuan yang telah dibuat sejauh ini menuju tujuan ini.

"Peraturan pemerintah yang paling ambisius, NERC CIP untuk sektor listrik Amerika Utara, telah gagal," kata Peterson. "Sebagian besar ingin peraturan pemerintah yang sukses tetapi tidak dapat mengidentifikasi apa yang akan terjadi."

"Saya hanya ingin pemerintah untuk jujur ​​dan menyatakan dengan keras bahwa sistem ini tidak aman oleh desain dan organisasi yang menjalankan infrastruktur penting SCADA dan DCS harus memiliki rencana untuk meningkatkan atau mengganti sistem ini dalam satu hingga tiga tahun ke depan, "katanya.

Peraturan pemerintah akan sangat membantu, kata Kamluk. Beberapa vendor SCADA mengorbankan keamanan untuk penghematan biaya pembangunan tanpa mempertimbangkan risiko dari keputusan tersebut dan dampak potensial mereka terhadap kehidupan manusia, katanya.

Awal tahun ini, Kaspersky Lab mengungkapkan rencana untuk mengembangkan sebuah OS yang akan menyediakan keamanan-oleh- lingkungan desain untuk mengoperasikan SCADA dan sistem ICS lainnya. Gagasan di balik OS adalah untuk menjamin bahwa tidak ada fungsi yang tidak diumumkan akan dapat berjalan di atasnya, yang akan mencegah penyerang dari mengeksekusi kode berbahaya dengan mengeksploitasi kerentanan yang belum di-patch.

Sementara ini terdengar seperti proyek yang menarik, masih harus dilihat bagaimana komunitas SCADA dan sektor industri akan bereaksi terhadapnya, kata Santamarta.

"Tidak ada cukup detail tentang OS baru untuk mengevaluasi fitur-fiturnya," kata Ferrante.. "Untuk melakukan itu kita perlu menunggu rilis resmi. Pokoknya masalah utama ketika mengadopsi OS baru adalah bahwa ia harus dapat menjalankan sistem SCADA yang ada tanpa harus menulis ulang kode mereka."