Ancaman Komputer untuk Sistem Industri Sekarang Lebih Serius

Seorang peneliti keamanan telah mempublikasikan kode yang dapat digunakan untuk mengendalikan komputer yang digunakan untuk mengelola mesin industri, berpotensi memberi hacker pintu belakang ke perusahaan utilitas, pabrik air dan bahkan kilang minyak dan gas.

Perangkat lunak ini diterbitkan Jumat larut malam oleh Kevin Finisterre, seorang peneliti yang mengatakan dia ingin meningkatkan kesadaran akan kerentanan dalam sistem ini, masalah yang dia katakan sering diremehkan oleh vendor perangkat lunak. "Vendor ini tidak bertanggung jawab atas perangkat lunak yang mereka hasilkan," kata Finisterre, yang memimpin penelitian dengan perusahaan penguji keamanan Netragard. "Mereka mengatakan kepada pelanggan mereka bahwa tidak ada masalah, sementara perangkat lunak ini menjalankan infrastruktur penting."

Finisterre merilis kode serangannya sebagai modul perangkat lunak untuk Metasploit, alat peretasan yang banyak digunakan. Dengan mengintegrasikannya dengan Metasploit, Finisterre telah membuat kodenya jauh lebih mudah digunakan, kata pakar keamanan. "Mengintegrasikan eksploitasi dengan Metasploit memberikan spektrum yang luas dari akses orang ke serangan," kata Seth Bromberger, manajer keamanan informasi di PG & E. "Sekarang yang dibutuhkan hanyalah mengunduh Metasploit dan Anda dapat meluncurkan serangan."

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Kode ini mengeksploitasi kelemahan dalam perangkat lunak CitectSCADA Citect yang awalnya ditemukan oleh Core Teknologi Keamanan dan dipublikasikan pada bulan Juni. Citect merilis patch untuk bug ketika pertama kali diungkapkan, dan vendor perangkat lunak telah mengatakan bahwa masalah tersebut menimbulkan risiko hanya untuk perusahaan yang menghubungkan sistem mereka langsung ke Internet tanpa perlindungan firewall, sesuatu yang tidak akan pernah dilakukan dengan sengaja. Korban juga harus mengaktifkan fitur database tertentu dalam produk CitectSCADA agar serangan dapat berfungsi.

Jenis-jenis produk kontrol proses SCADA (kontrol pengawasan dan akuisisi data) secara tradisional sulit diperoleh dan dianalisis, menjadikannya sulit bagi peretas untuk menyelidiki mereka karena bug keamanan, tetapi dalam beberapa tahun terakhir semakin banyak sistem SCADA yang telah dibangun di atas sistem operasi terkenal seperti Windows atau Linux yang membuat keduanya lebih murah dan lebih mudah untuk diretas.

Pakar keamanan TI digunakan untuk menambal sistem dengan cepat dan sering, tetapi sistem komputer industri tidak seperti PC. Karena waktu henti dengan pembangkit air atau sistem tenaga dapat menyebabkan malapetaka, insinyur dapat enggan membuat perubahan perangkat lunak atau bahkan membawa komputer secara off-line untuk menambal.

Perbedaan ini telah menyebabkan perselisihan antara profesional TI seperti Finisterre, yang melihat kerentanan keamanan diremehkan, dan insinyur industri dibebankan dengan menjaga sistem ini tetap berjalan. "Kami sedang mengalami sedikit benturan budaya yang terjadi sekarang antara para insinyur kontrol proses dan orang-orang TI," kata Bob Radvanovsky, seorang peneliti independen yang menjalankan daftar diskusi keamanan online SCADA yang telah melihat beberapa diskusi panas tentang ini. topik.

Citect mengatakan bahwa belum pernah mendengar ada pelanggan yang diretas karena cacat ini. Tetapi perusahaan berencana untuk segera merilis versi baru CitectSCADA dengan fitur keamanan baru, dalam sebuah pernyataan, (pdf) yang dirilis Selasa.

Rilis itu tidak akan datang terlalu cepat, karena Finisterre percaya bahwa ada yang lain, mirip, coding kesalahan dalam peranti lunak CitectSCADA.

Dan sementara sistem SCADA dapat dipisahkan dari jaringan komputer lain di dalam tumbuhan, mereka masih dapat dilanggar. Misalnya, pada awal 2003, seorang kontraktor dilaporkan menginfeksi pembangkit listrik tenaga nuklir Davis-Besse dengan worm SQL Slammer.

"Banyak orang yang menjalankan sistem ini merasa bahwa mereka tidak terikat oleh aturan yang sama seperti tradisional IT, "kata Finisterre. "Industri mereka tidak terlalu akrab dengan peretasan dan peretas pada umumnya."