Industrial systems at risk from criminal Stuxnet investments
By Darren Pauli on Jun 28, 2011 2:10 PM (21 hours ago), Filed under Security
Theo: http://www.crn.com.au/News/261943,industrial-systems-at-risk-from-criminal-stuxnet-investments.aspx
Bài được đưa lên Internet ngày: 28/06/2011
Lời người dịch: Theo nhà phân tích James Turner của IBRS, “Toàn bộ nền công nghiệp tạo ra phần mềm độc hại - những đứa trẻ viết script, tội phạm có tổ chức, và các nhóm chiến tranh không gian mạng của nhà nước - đã chỉ ra thiết kế cho thứ tương tự như bom phá boongke trên Internet”. Ông nói các cuộc tấn công như vậy (như của Stuxnet) đã dẫn tới “cái chết của an ninh thông qua sự tù mù”. Bạn còn muốn tin vào sự tù mù không??? Bạn có nhìn thấy mã nguồn trong các phần mềm nguồn đóng không???
Phần mềm độc hại được xây dựng trên vai của Stuxnet.
Các nhóm tội phạm có tổ chức với “hàng tỷ” để chi tiền có thể sẽ là đầu tiên phát triển được phần mềm độc hại từ thiết kế của Stuxnet, các nhà phân tích công nghiệp đã cảnh báo.
Theo nhà phân tích James Turner của IBRS, các mạng lưới thông minh, giao thông và các hệ thống quét hành lý có thể là mục tiêu trong tương lai của các loại sâu phức tạp mà chúng đã từng đánh què chương trình hạt nhân của Iran vào năm ngoái.
“Toàn bộ nền công nghiệp tạo ra phần mềm độc hại - những đứa trẻ viết script, tội phạm có tổ chức, và các nhóm chiến tranh không gian mạng của nhà nước - đã chỉ ra thiết kế cho thứ tương tự như bom phá boongke trên Internet”, Turner nói trong một lưu ý nghiên cứu còn chưa được xuất bản.
“Stuxnet về cơ bản đã dịch chuyển hệ biến hóa của những gì có thể đạt được thông qua phần mềm độc hại. Những ảnh hưởng cho tương lai của phần mềm độc hại là khủng khiếp”.
Các nhà nghiên cứu về an ninh đã xuất bản những vật tìm ra được về thông tin của Stuxnet sau khi hoàn tục cuộc tấn công của mình vào chương trình làm giàu uranium của Iran.
Các nhà nghiên cứu đã thấy rằng phần mềm độc hại có chứa 4 lỗi ngày số không và đã sử dụng vô số các vật trung gian để lan truyền sự lây nhiễm.
Nó cũng chứa một cuộc tấn công kiểu người can thiệp giữa đường mà đã mô phỏng lại những chức năng thông thường của các tín hiệu của các đầu dò được sử dụng tong qui trình làm giàu uranium, và đã ngăn cản các hệ thống đang làm việc bất bình thường khỏi bị dừng làm việc.
Malware to be built on the shoulders of Stuxnet.
Organised crime groups with "billions" to spend may be the first to develop malware from Stuxnet blueprints, industry analysts have warned.
According to IBRS analyst James Turner, smart grid networks, transport and baggage scanning systems could be targeted by future variants of the complex worm that crippled Iran's nuclear program last year.
"The entire malware-creating industry - script kiddies, organised crime, and nation-state cyber warfare groups - has been shown the blueprint for the internet equivalent of a bunker-buster," Turner said in an as yet unpublished research note.
"Stuxnet has fundamentally shifted the paradigm of what is achievable through malware. The implications for the future of malware are dramatic."
Security researchers have published troves of information about Stuxnet after de-constructing its attack on Iran's uranium enrichment program.
Researchers found that the malware contained four zero day vulnerabilities and used numerous vectors to spread infection.
It also contained a man-in-the-middle attack which mimicked the normal functions of sensor signals used in the uranium enrichment process, and prevented malfuctioning systems from shutting down.
“Các tài nguyên được yêu cầu để tạo ra một sâu khác mà nó nhân bản sức mạnh của Stuxnet đang thoát ra ngoài cho hầu hết các nhà sáng chế phần mềm độc hại cá nhân. Tuy nhiên, các băng đảng tội phạm có tổ chức có hàng tỷ USD để đề xuất”, Turner nói.
“Việc tạo ra một nhà máy phần mềm độc hại có thể là cách có hiệu quả đối với họ cả cho việc rửa tiền của họ, cũng như để tạo ra tiền mới cho việc tiến hành những việc liều lĩnh”.
Eric Byres, một chuyên gia về vấn đề này trong các hệ thống kiểm soát công nghiệp mà Stuxnet đã nhằm tới, dự kiến sẽ có một cuộc chạy đua đang nổi lên.
Ông đã cảnh báo rằng các biến thể mới tàn khốc của Stuxnet có thể gây ra thiệt hại phụ còn lớn hơn nhiều so với Stuxnet ban đầu.
Các giao thức giao tiếp sở hữu độc quyền không an ninh từng là một trong những điểm có thể bị tổn thương nhiều nhất của các hệ thống kiểm soát công nghiệp và việc sửa vấn đề này đòi hỏi các hệ thống sẽ phải được tách ra, Byres nói.
Nhưng “lỗ dò khí” hoặc việc ngắt kết nối các mạng kiểm soát công nghiệp khỏi tiếp xúc với bên ngoài không phải là câu trả lời.
Một lãnh đạo về an ninh cho một công ty cơ sở hạ tầng lớn đã yêu cầu dấu tên đã nói rằng những lợi ích của việc liên kết các hệ thống kiểm soát công nghiệp tới các mạng bên ngoài đã làm cho những rủi ro trở nên đáng kể.
"The resources required to create another worm which replicates the power of Stuxnet is out of reach for most individual malware creators. However, organised crime gangs have billions of dollars at their disposal," Turner said.
"Creating a malware factory would be an effective way for them to both launder their money, as well as generate new money making ventures."
How Stuxnet attacked |
He warned that crude new variants of Stuxnet could cause much more collateral damage than the original.
Insecure proprietary communication protocols were one of the most vulnerable points of industrial control systems and fixing the problem required systems to be dissected, Byres said.
But "air gapping" or disconnecting industrial control networks from the outside was not the answer.
A security chief for a large utilities company who requested anonymity said the benefits of linking industrial control systems to external networks made the risks worthwhile.
“Việc có lỗ hổng giữa SCADA và các mạng của doanh nghiệp không phải là giải pháp”, ông nói. “Việc giữ cho có mối liên kết đó, trong thực tế, mới là câu trả lời”.
Ông nói các cuộc tấn công như vậy đã dẫn tới “cái chết của an ninh thông qua sự tù mù” và các nhà vận hành phải tăng cường cho các yếu tố sống còn nhất của các hệ thống kiểm soát công nghiệp.
Turner nói các kỹ sư về an ninh nên “nghiêm túc về sự phân khúc mạng” lưu ý rằng các hệ thống bị lây nhiễm với Stuxnet đã có được những kiểm soát không đủ tại chỗ.
Ông đã dự kiến sự dò tìm không bình thường sẽ trở thành một tính năng sống còn trong các hệ thống Quản lý Sự cố và Sự kiện về An ninh (SIEM), và nói việc huấn luyện nhận thức về an ninh nên được thực hiện với ưu tiên cao hơn.
“Các hệ thống an ninh có một cơ hội có khả năng để dò tìm ra các phần mềm độc hại tùy biến là các hệ thống biết được tất cả hành vi thông thường trên một mạng (hoặc thiết bị) và có thể bắt được những sai lầm từ đó”, ông nói.
“Một số các hệ thống này sẽ thậm chí không thấy phần mềm độc hại; chúng sẽ chỉ thấy cái bóng thoảng qua của nó”, như ở dạng một hành vi lầm lạc của các giao thức được tin cậy.
“Air gapping between SCADA and corporate networks isn’t the solution,” he said. “Keeping that link is, in fact, the answer.”
He said such attacks have led to the “death of security through obscurity” and operators must instead harden the most critical elements of industrial control systems.
Turner said security engineers should "get serious about network segmentation" noting that the systems infected by Stuxnet had insufficient controls in place.
He expected anomaly detection to become a critical feature in Security Incident and Event Management (SIEM) systems, and said security awareness training should be given a higher priority.
"The security systems that have a chance of being able to detect custom malware are the systems that know all the normal behaviour on a network (or device) and can spot aberrations from this," he said.
"Some of these systems won’t even see the malware; they will just see the shadow of its passage (e.g. in the form of aberrant behaviour of trusted protocols)."
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.