28. júla 2020

Ako na diaľku odstaviť IT systémy elektrárne alebo pivovaru?

JAN SEDLÁK, spolupracovník redakcie Ekonom

Chceli by ste sa dostať do riadiacich priemyselných systémov tovární, elektrární či iných subjektov a stvárať tam neplechu, prípadne sa len nenápadne pozerať? Týždenník Ekonom prináša rýchlokurz pre začiatočnikov zdarma! Navštívte webovú stránku www.shodan.io, ktorej sa hovorí Google pre internet vecí (IOT), využite všemožné filtre a je to! Na diaľku uvidíte zariadenia pripojené na internet, do ktorých sa vďaka ich zraniteľnostiam dokážete dostať.

Toto nemá byť nabádanie k trestnej činnosti, ale len poukázanie na to, že verejne prístupných IOT prístrojov s možnosťou zneužitia je obrovské množstvo, a že môžu znamenať značný problém v kybernetickej bezpečnosti nielen na úrovni firiem a organizácií, ale aj štátov.

A problém to skutočne je. Ukazuje sa, že v Českej republike je minimálne 1600 vysoko zraniteľných riadiacich systémov (takzvaných PLC alebo ICS), ktoré je možné bežne nájsť na internete, čítať z nich údaje a získať k ním anonymný prístup bez znalosti mena a hesla. Ovládnutie takých jednotiek môže mať fatálne dopady na fungovanie daných súkromných aj štátnych spoločností.

Slovenská kyberbezpečnostná spoločnosť Void SOC nedávno v Česku urobila technický prieskum a zistila, že medzi spomínanými zraniteľnými systémami sú aj výrobné linky, ovládacie systémy niektorých elektrární alebo pristup ku kompletnému ovládaniu istého pivovaru. Tieto deravé systémy boli detekované v 280 českých mestách. Útoky na tuzemské nemocnice počas posledných mesiacov tak môžu potenciálne predstavovať len špičku ľadovca.

Jedná sa aj o priemyselné systémy označované ako SCADA, ktoré sú hojne rozšírené a bezpečnostne podcenené. Riadiacich systémov každého druhu bude navyše pribúdať. Koncept vládou vyzdvihovaného Priemyslu 4.0 je totiž postavený na chytrých strojoch, ktoré sú pripojené do siete a na internet. Sú teda zraniteľné podobne ako bežné počítače alebo chytré telefóny. Vo všeobecnosti sa očakáva, že trend ešte viac rozvinú prichádzajúce 5G siete.

Národný úrad pre kybernetickú a informačnú bezpečnosť (NÚKIB) už začal tieto skutočnosti zohľadňovať.

Úroveň ako z roku 1991

Medzi zraniteľnými IT systémami sú výrobné linky, ovládacie systémy elektrární alebo prístup k ovládaniu istého pivovaru.

V novo pripravenom Národním plánu Výzkumu a vývoje v Oblasti kybernetické a informační bezpečnosti úrad označil za jednu z priorít bezpečnosť priemyselných sietí a systémov v súvislosti s rozvojom internetu veci.S narastajúcou digitalizáciou priemyselných sietí a SCADA systémov sa dá očakávať zvyšujúci sa tlak na výskum a vývoj ochranných nástrojov, ktoré budú schopné lepšie chrániť komunikačné a informačné siete,” uvádza úrad.

Aktuálnu situáciu však môžeme označiť za tristnú. „Povedomie o kyberbezpečnosti v priemysle je na úrovni povedomia o kyberbezpečnosti v bežnom IT v roku 1991,“ uvádza Martin Lohnert zo spoločnosti Void SOC. Príkladom môže byť jedna z fotovoltaických elektrární. K jej ovládaciemu systému sa dá dostať jednoducho cez web bez zadania mena a hesla. Ovládacie rozhranie používateľa dokonca vždy informuje, že žiadne heslo nie je nastavené a či si skutočne praje pokračovať bez neho. Takýchto prípadov je v rámci spomínaných 1600 systémov viac, čím sa ignorujú úplne elementárne bezpečnostné pravidlá.

V rámci nezabezpečených systémov je možné nájsť kontrolné prvky od popredných svetových spoločností ako sú Schneider Electric, ABB, Siemens, Honeywell, Rockwell Automation a ďalšie. Slabá úroveň zabezpečenia však väčšinou nie je spôsobená chybami na ich strane. Inštaláciu takýchto zaradení totiž riešia partneri, ktorí ignorujú bezpečnostné opatrenia. Útoky môžu prichádzať aj priamo cez týchto partnerov, kedy hackeri postupujú tak, že napadnú jednu súčasť dodávateľského reťazca a potom postupujú ďalej.

Problematických miest je viac. Subjekty často k bezpečnosti pristupujú formou „čo by kto u nás len hľadal” a zároveň v jednotlivých systémoch nevykonávajú aktualizácie softvéru. Zariadenia v priemyselných systémoch tak bývajú zastaralé a zraniteľné.

„SCADA systémy sú dramaticky nezabezpečené,” popisuje Martin Uher zo spoločnosti CyberG, ktorá v Řitce pri Prahe prevádzkuje „kybernetickú telocvičňu”, kam firmy chodia trénovať obranu proti hackerským útokom. „Spoločnosti niekedy používajú tak staré verzie systémov, že ich máme problém zohnať do testovacieho prostredia,” konštatuje Uher. Upozorňuje aj na prístup organizácií v štýle „nechytať sa toho, hlavne že to funguje” a ignorovanie skutočnosti. „Ľudia, ktorí so SCADA technológiami pracujú, boli dlho presvedčení, že sa ich bezpečnostné hrozby príliš netýkajú, pretože šlo o takzvané ostrovné inštalácie predtým nepripojené na internet,” dopĺňa Uher.

Hacknutá žiarovka…

Priemyselné systémy môžu pre útočníkov predstavovať vstupný bod, skrz ktorý sa potom dostanú do ďalších častí siete. Priemerná doba odhalenia takého útoku je 214 dní, kedy je možné v sieti vyčkávať, pozorovať dianie a postupovať hlbšie. Riadiacie jednotky sú zároveň súčasťou aj úplne bežného vybavenia ako sú klimatizácie, odkiaľ je možné „preskočiť” ďalej.

To, ako sa riadiace a IOT zariadenia využívajú na komplexné útoky, ukazuje Unicorn RedTeam. Ide o malú organizáciu vo vnútri českej softvérovej spoločnosti Unicorn, ktorú si najímajú banky a ďalšie inštitúcie, aby viedla útoky na ich infraštruktúru. Následne im experti z „červeného tímu” predložia, čo je zle a čo treba vylepšiť.

Hackerským útokom sa dá napríklad prehriať kávovar a vo firme tak spôsobiť požiar. Alebo sa cez chytrú žiarovku nabúrať do počítačovej siete. RedTeam často postupuje ako v špionážnom filme (fotenie monitorov zamestnancov z hotelovej izby oproti kanceláriám banky a pod.). Zároveň však do svojej prípravy zahŕňa aj monitoring IOT cez spomínaný Shodan a ďalšie nástroje. IOT je dôležitou časťou vybavenia útočníka. „Typicky máme zakázané unášať deti zamestnancov, rozbíjať okná a zámky či cielene útočiť na členov predstavenstva. Inak je to ale na nás,” prezradili členovia RedTeamu, ktorí nechcú byť menovaní.

S postupným rozvojom internetu vecí sa tento princíp bude stávať čoraz väčším problémom. Izraelská kyberbezpečnostná spoločnosť Check Point napríklad dokázala využiť zraniteľnosti v chytrých žiarovkách Philips Hue (chytré sú v tom, že si môžete cez mobil zmeniť farby a podobne) pripojených na internet. V žiarovkách bolo možné prevziať kontrolnú jednotku a z tej sa dostať do ďalších častí počítačovej siete.

„Philips sme si pre testy vybrali z toho dôvodu, že ide o obrovskú firmu, ktorá veľa investuje do kyberbezpečnosti. Nemali sme čas ani kapacity skúšať ďalšie IOT žiarovky, ktorých je na trhu dosť, ale zraniteľnosti by sme stopercentne našli všade,” popisuje pre Ekonom Itzik Feiglevitch z Check Pointu, ktorý sa na pokuse podieľal.

… alebo kávovar

Podobný kúsok sa podaril českému Avastu, kde jeho výskumníci hackli bežný kávovar. „Boli sme schopní z neho urobiť stroj, ktorý rozposiela ransomware s žiadosťou o platbu. Tiež sme vedeli kávovar použiť ako bránu na sledovanie všetkých zariadení pripojených v domácej sieti,” popisuje Martin Hron z Avastu s tým, že útokom kávovar dokázali prehriať a mohli potenciálne spôsobiť požiar.

Avast vo svojom prieskume zistil aj to, že viac ako 42 % českých domácností má aspoň jedno chytré zariadenie zraniteľné voči útokom. Spoločnosť si preto vo svojom sídle v Prahe na Pankráci koncom minulého roka postavila vlastné IOT laboratórium a internet vecí sa stal jednou z dôležitých častí ich podnikania.

Podobne sa na Slovensku internetu veci venuje spoločnost ESET. Tej sa napríklad v rámci výskumu podarilo odhaliť zraniteľnosti centrálnych riadiacich jednotiek, pomocou ktorých bolo možné ovládnuť zariadenia v sieti, podstrčiť vírusy alebo odpočúvať sieť. ESET si od agentúry Median nechal urobiť aj prieskum medzi českými používateľmi. Ten ukázal, že 71 % z nich má zariadenia internetu vecí pripojené do rovnakej siete ako bežné počítače a telefóny. Tým sa zvyšuje riziko útoku a odborníci na IOT odporúčajú oddelenú sieť.

Zverejnené v týždenníku Ekonom, 25. 6. 2020
https://ekonom.ihned.cz/c1-66782140-jak-na-dalku-odstavit-it-systemy-elektraren-ci-pivovaru-v-cesku

Súvisiace články