Thứ Tư, 19 tháng 10, 2011

Sau Stuxnet, vội vã tìm các lỗi trong các hệ thống công nghiệp


After Stuxnet, a Rush to Find Bugs in Industrial Systems
Oct 14, 2011 8:20 am, By Robert McMillan, IDG News
Bài được đưa lên Internet ngày: 14/10/2011
Lời người dịch: Sau sự kiện Stuxnet, nhiều nơi vội vã đi tìm các lỗi của các hệ thống PLC, SCADA. Tuy nhiên, cũng nhiều nơi bình chân như vại và coi những thông kiểu này chỉ là thứ phù phiếm cường điệu, kiểu của những đám người “điếc không sợ súng”. Bài viết này nói về những gì đang xảy ra tại phòng thí nghiệm của quân đội Mỹ tại Idaho và của ICS-CERT. Và đây là một vài trích đoạn: “ICS-CERT đã được thành lập 2 năm trước để giải quyết dạng các lỗi mà Beresfond và Finisterre bây giờ đang phát hiện dễ dàng. Số lượng các vụ việc ngầm thông qua ICS-CERT đã gia tăng 6 lần trong vài năm qua, từ vài vấn đề tới hàng trăm, theo Marty Edwards, giám đốc của Chương trình An ninh Hệ thống Kiểm soát và người chịu trách nhiệm của ICS-CERT... ICS-CERT hiện đang làm việc về khoảng 50 vấn đề được biết, nhưng 2 nhà nghiên cứu từ khu vực thương mại nói họ thấy hàng trăm vấn đề hơn nữa, một số có lẽ không quan trọng, nhưng những vấn đề khác là nghiêm trọng tiềm tàng... họ đã tải về càng nhiều các gói phần mềm công nghiệp mà họ có thể - gần 400 tất cả, từ Siemens, Rockwell Automation, Iconics và những người bán hàng khác... Họ tự đặt cho mình một mục tiêu, tìm 100 lỗi trong 100 ngày. Nhưng họ đã đạt được mục tiêu của họ chỉ trong 3 tuần... Cuối cùng họ đã thấy 665 vấn đề trong phần mềm máy chủ, các gói trình điều khiển và phần mềm giao diện giữa người - máy HMI (Human - Machine Interface) dựa trên Windows được sử dụng để quản lý các máy trên các sàn của các nhà máy. Rios và McCorkle xếp hạng hầu hết các lỗi họ đã tìm ra như là “không sống còn”, nhưng họ nói khoảng 75 trong số chúng có thể được bọn tội phạm sử dụng để gây thiệt hại cho hệ thống công nghiệp... Các nhà nghiên cứu đã trở nên quá mệt mỏi về các vấn đề họ đã phát hiện đang bị phớt lờ mà họ đã bắt đầu đưa ra các chi tiết kỹ thuật để ép Microsoft đưa ra bản vá. Ý tưởng về mẫu này xảy ra một lần nữa trong các hệ thống công nghiệp đang gây lo lắng. Đây là một lĩnh vực nơi mà một lỗi về an ninh có thể dẫn tới một sự tràn hóa chất hoặc một sự mất điện diện rộng, và nơi mà nó có thể mất hàng tháng trời để lên kế hoạch và cài đặt các bản vá
Kevin Finisterre không phải là dạng người mà bạn mong đợi nhìn thấy trong một nhà máy điện hạt nhân. Với một bãi biển Afro kích cỡ sân bóng, các cặp kính râm của phi công và một “vẻ vênh vang” tự mô tả, ông ta trông giống Clarence Williams nhiều hơn từ chương trình "The Mod Squad" trên TV những năm 70 hơn là một kỹ sư điện tử.
Nhưng mọi người thích Finisterre, người không phù hợp với dạng truyền thống của ông kỹ sư cài cúc dưới, đang đóng một vai trò quan trọng ngày một gia tăng trong nỗ lực để khóa các máy chạy các hệ thống công nghiệp chủ chốt của thế giới. Finisterre là một cao thủ mũ trắng. Ông vật lộn với các hệ thống máy tính, không phải để thâm nhập vào bên trong chúng, mà để phát hiện ra những chỗ bị tổn thương quan trọng. Ông sau đó bán sự tinh thông của mình cho các công ty muốn cải thiện an ninh của họ.
Hai năm trước, Finisterre, người sáng lập công ty kiểm thử an ninh Digital Munition, tự thấy việc trao đổi thư với một nhân sự ở Chương trình An ninh Hệ thống Kiểm soát của Phòng thí nghiệm Quốc gia Idaho (INL), một dự án được Bộ An ninh Nội địa Mỹ cấp vốn mà là tiền tuyến của sự phòng thủ chống lại một cuộc tấn công không gian mạng vào hạ tầng sống còn của quốc gia.
Finisterre đã chú ý tới INL vào năm 2008, khi ông đã tung ra mã nguồn tấn công đã khai thác một lỗi trong phần mềm CitectSCADA được sử dụng để quản lý các môi trường kiểm soát công nghiệp. Ông đã nghe về chương trình của INL, giúp chuẩn bị cho các nhà bán hàng và các nhà vận hành nhà máy chống lại các cuộc tấn công vào các hệ thống của họ, và ông nghĩ ông có thể để cho họ một dòng để tìm ra cách mà họ thực sự tốt thế nào.
Kevin Finisterre isn't the type of person you expect to see in a nuclear power plant. With a beach ball-sized Afro, aviator sunglasses and a self-described "swagger," he looks more like Clarence Williams from the '70s TV show "The Mod Squad" than an electrical engineer.
But people like Finisterre, who don't fit the traditional mold of buttoned-down engineer, are playing an increasingly important role in the effort to lock down the machines that run the world's major industrial systems. Finisterre is a white-hat hacker. He prods and probes computer systems, not to break into them, but to uncover important vulnerabilities. He then sells his expertise to companies that want to improve their security.
Two years ago, Finisterre, founder of security testing company Digital Munition, found himself swapping emails with a staffer at Idaho National Laboratory's Control Systems Security Program, a project funded by the U.S. Department of Homeland Security that is the first line of defense against a cyberattack on the nation's critical infrastructure.
Finisterre caught the attention of INL in 2008, when he released attack code that exploited a bug in the CitectSCADA software used to run industrial control environments. He'd heard about the INL program, which helps prepare vendors and plant operators for attacks on their systems, and he thought he'd drop them a line to find out how good they really were.
Ông từng không có ấn tượng
Liệu INL có sẵn sàng làm việc với một cộng đồng các tin tặc hay không? Finisterre đã muốn biết. Ông đã nhận được một câu trả lời khó chịu. Khái niệm “tin tặc” ngụ ý một người “về bản chất tự nhiên tội phạm hoặc hồ nghi” mà có thể “phòng thí nghiệm quốc gia không được thuê”, một nhân viên INL đã nói với ông qua thư điện tử.
“Về cơ bản ông đã dạy tôi về cách mà INL không tương tác với các tin tặc và tôi nên cẩn thận khi tung ra câu từ đó”, Finisterre nhớ lại. “Tôi đã từng như, 'tôi thực sự hy vọng anh đang đùa, vì anh dường như là đang ở chiến tuyến của nghiên cứu về điều đó'”.
Hãy gọi nó là một cuộc cãi lý sớm trong sự va chạm văn hóa giữa 2 thế giới: những người nghiên cứu độc lập về an ninh quen làm việc với các hãng kỹ thuật như Microsoft và Adobe, những nguwofi đã học được ôm lấy những đặc tính của tin tặc, và các công ty bảo thủ hơn mà họ phát triển và kiểm thử các hệ thống kiểm soát công nghiệp, những người thường hành động giống như họ muốn những tin tặc mũ trắng nên phải biến đi.
Đầu năm nay, Dillon Beresfond, một nhà nghiên cứu an ninh tại phòng thí nghiệm tư vấn NSSLabs, đã thấy một số lượng các lỗi trong các trình kiểm soát logic lập trình được (PLC) của Siemens. Ông đã không nói về nó cho Đội Phản ứng Khẩn cấp về Không gian mạng đối với các Hệ thống Kiểm soát Công nghiệp (ICS-CERT) của Bộ An ninh Nội địa, chạy khỏi INL. Nhưng ông đã nói cho Siemens đã làm một sự báo hại cho các khách hàng của hãng bằng việc hạ thấp các vấn đề mà ông đã phát hiện. “Tôi không vui với câu trả lời của họ”, Beresfond đã nói đầu năm nay. “Họ đã không cung cấp đủ thông tin cho công chúng”.
He was not impressed.
Is INL already working with the hacker community? Finisterre wanted to know. He received an off-putting response. The term "hacker" denotes a person of a "dubious or criminal nature" who would "not be hireable by a national laboratory," an INL staffer told him via email.
"He basically lectured me about how INL doesn't interact with hackers and I should be very careful throwing that word around," Finisterre recalled. "I was like, 'Dude, I really hope you're joking, because you're supposed to be at the forefront of the research on this."
Call it an early skirmish in a culture clash between two worlds: the independent security researchers accustomed to dealing with tech firms such as Microsoft and Adobe, who have learned to embrace the hacker ethos, and the more conservative companies that develop and test industrial control systems, who often act like they wish these white-hat hackers would go away.
Earlier this year, Dillon Beresford, a security researcher at the consultancy NSSLabs, found a number of flaws in Siemens' programmable logic controllers. He had no complaints about the U.S. Department of Homeland Security's Industrial Control Systems Cyber Emergency Response Team, run out of INL. But he said Siemens did a disservice to its customers by downplaying the issues he'd uncovered. "I'm not pleased with their response," Beresford said earlier this year. "They didn't provide enough information to the public."
ICS-CERT đã được thành lập 2 năm trước để giải quyết dạng các lỗi mà Beresfond và Finisterre bây giờ đang phát hiện dễ dàng. Số lượng các vụ việc ngầm thông qua ICS-CERT đã gia tăng 6 lần trong vài năm qua, từ vài vấn đề tới hàng trăm, theo Marty Edwards, giám đốc của Chương trình An ninh Hệ thống Kiểm soát và người chịu trách nhiệm của ICS-CERT.
“Lý do chúng tôi thấy như sự gia tăng là vì, một cách thẳng thắn, SCADA và các hệ thống kiểm soát công nghiệp [đã trở nên] khá thú vị”, ông nói. “Những thứ như Stuxnet đã làm nảy sinh mức độ chú ý mà các hệ thống kiểm soát công nghiệp và các hệ thống hạ tầng sống còn đang có”.
Đối với nhiều tin tặc, các hệ thống công nghiệp là một mặt trận mới trong những khai thác kỹ thuật của họ. Đối với những người khác, chúng là một sự thoái lui về những ngày đầu của tin tặc, trước khi PC trở thành mục tiêu đầu tiên. Finisterre đã bắt đầu trên hệ thống điện thoại nơi mà ông đã lớn lên trong một thị trấn nhỏ Sidney, Ohio. “Vào đầu những năm 90 mẹ tôi nghĩ tôi lăn lộn với các điện thoại trong nhà chúng tôi, nhưng hóa ra là ai đó đã thâm nhập vào bộ chuyển của điện thoại từ ở xa. Cuối cùng tôi đã đi tới câu hỏi để giúp mẹ tôi chống lại công ty điện thoại nói rằng 'Con trai bà phải làm thứ gì đó gây ra tất cả những trách nhiệm này'”, ông ta nói.
ICS-CERT was set up two years ago to handle the kind of bugs that Beresford and Finisterre are now finding with ease. The number of incidents funneled through ICS-CERT has increased six-fold in the past few years, from dozens of issues to hundreds, according to Marty Edwards, director of the Control Systems Security Program and the person in charge of ICS-CERT.
"The reason we're seeing such an increase is because, quite frankly, SCADA and industrial control systems [have become] cool," he said. "Things like Stuxnet have raised the attention level that industrial control systems and critical infrastructure systems are getting."
For many hackers, industrial systems are a new frontier in their technical explorations. For others, they're a throwback to the early days of hacking, before PCs became the primary target. Finisterre started out on the telephone system when he was growing up in the small town of Sidney, Ohio. "In the early '90s my mom thought I was messing with the phones at our house, but it turned out that someone was tampering with the phone switch remotely. I ultimately went on a quest to help my mom fight the phone company claims that 'Your son must be doing something to cause all these faulty charges,'" he said.
Gần 20 năm sau, như một nhà nghiên cứu an ninh chuyên nghiệp, ông đã chán với việc chạy quanh cối xay các lỗi phần mềm mà ông đã tìm thấy và chuyển sang các hệ thống công nghiệp. Đó là những gì đã dẫn tới công việc của ông tìm các lỗ hổng trong CitecSCADA. “Nó giống như là một sự chuyên chở tức thì ngược về những ngày ở trường trung học của tôi”, ông nói.
Có những dấu hiệu rằng ông không đơn độc và rằng làn sóng này sẽ mở. ICS-CERT hiện đang làm việc về khoảng 50 vấn đề được biết, nhưng 2 nhà nghiên cứu từ khu vực thương mại nói họ thấy hàng trăm vấn đề hơn nữa, một số có lẽ không quan trọng, nhưng những vấn đề khác là nghiêm trọng tiềm tàng.
Billy Rios, một đội do nhóm an ninh của Google dẫn dắt, và Terry McCorkle, một thành viên của Đội Đỏ về An ninh Thông tin ở Boeing, đã uống cùng nhau vào tháng 2 khi họ đã quyết định nhìn sâu hơn vào dạng phần mềm công nghiệp mà Finisterre và những người khác từng thâm nhập. Họ đã muốn thấy có bao nhiêu lỗi họ có thể thấy.
Làm việc trong thời gian rỗi của họ, họ đã tải về càng nhiều các gói phần mềm công nghiệp mà họ có thể - gần 400 tất cả, từ Siemens, Rockwell Automation, Iconics và những người bán hàng khác. Tất cả chúng đều tự do sẵn có trên Internet. Họ tự đặt cho mình một mục tiêu, tìm 100 lỗi trong 100 ngày. Nhưng họ đã đạt được mục tiêu của họ chỉ trong 3 tuần. “Chúng tôi thậm chí không đi qua tất cả các phần mềm mà chúng tôi đã có, thậm chí là gần”, McCorkle nói.
Cuối cùng họ đã thấy 665 vấn đề trong phần mềm máy chủ, các gói trình điều khiển và phần mềm giao diện giữa người - máy HMI (Human - Machine Interface) dựa trên Windows được sử dụng để quản lý các máy trên các sàn của các nhà máy. Rios và McCorkle xếp hạng hầu hết các lỗi họ đã tìm ra như là “không sống còn”, nhưng họ nói khoảng 75 trong số chúng có thể được bọn tội phạm sử dụng để gây thiệt hại cho hệ thống công nghiệp. “Không có lớp những chỗ bị tổn thương duy nhất nào chúng tôi găm giữ; tất cả chúng đều nằm khắp bảng mạch”, Rios nói.
“Bất kỳ ai cũng có thể làm điều này, về cơ bản, nếu họ bỏ thời gian vào điều này và có được sự hiểu biết về cách mà điều này làm việc”, Rios bổ sung. “Điều này không giống việc bạn sẽ thấy một lỗi ở đây hay ở kia. Điều này giống nếu bạn đặt thời gian vào nó, khá buồn cười với những kết quả”.
Nearly 20 years later, as a professional security researcher, he grew bored with the run-of-the-mill software bugs he was finding and turned to industrial systems. That's what led to his work finding holes in CitecSCADA. "It was like an instant transport back to my high school days," he said,
There are signs that he is not alone and that the floodgates are about to open. ICS-CERT is currently working on about 50 known issues, but two researchers from the commercial sector say they've found hundreds more, some perhaps unimportant, but others potentially serious.
Billy Rios, a team lead in Google's security group, and Terry McCorkle, a member of the Information Security Red Team at Boeing, were having drinks together in February when they decided to take a close look at the type of industrial software Finisterre and others have been hacking. They wanted to see how many bugs they could find.
Working on their spare time, they downloaded as many industrial software packages as they could -- nearly 400 altogether, from Siemens, Rockwell Automation, Iconics and other vendors. All of them were freely available on the Internet. They set themselves a goal, to find 100 bugs in 100 days. But the pickings were so good they hit their target in three weeks. "We didn't even go through all the software we had, not even close,' McCorkle said.
In the end they found 665 issues in server software, driver packages and the Windows-based HMI (human-machine interface) software used to manage the machines on factory floors. Rios and McCorkle rate most of the bugs they've found as "non-critical," but they say about 75 of them could be used by criminals to damage an industrial system. "There's no single class of vulnerabilities that we nailed; it was just all over the board," Rios said.
"Anyone can do this, basically, if they just put the time into this and get an understanding of how this works," Rios added. "It's not like you'll find a bug here and there. It's just like if you put the time into it, it's pretty ridiculous what the results are."
Edwards, người chịu trách nhiệm về ICS-CERT, đã nhận thức được rằng tải công việc của nhóm đã bùng nổ kể từ năm 2009. “Chúng tôi đã thấy 600% gia tăng về số lượng các chỗ bị tổn thương đã và đang được phối hợp và làm việc thông qua ICS-CERT”, ông nói. Sự quyến rũ của các hệ thống kiểm soát công nghiệp có nghĩa nhiều hơn các nhà nghiên cứu bây giờ đang tập trung vào lĩnh vực đó, ông nói.
Tình huống này làm gợi nhớ lại về những gì xảy ra với Windows một thập kỷ trước, khi các tin tặc đã bắt đầu nhặt ra các sản phẩm của Microsoft, McCorkle nói. Những người bán hành công nghiệp “về cơ bản chỉ 10 năm đi sau vấn đề về an ninh. Giống như việc chúng ta đi ngược lại về những năm 90”, ông nói.
Khi các nhà nghiên cứu đầu tiên nhằm vào Microsoft vào cuối những năm 1990, thì nhà sản xuất phần mềm này đã bình chân như vại. Chỉ sau vài năm phản kháng giữa Redmond và các tin tặc xé toạc khỏi các phần mềm của hãng thì Microsoft đã chỉ ra cách để làm việc với các tin tặc.
Các nhà nghiên cứu đã trở nên quá mệt mỏi về các vấn đề họ đã phát hiện đang bị phớt lờ mà họ đã bắt đầu đưa ra các chi tiết kỹ thuật để ép Microsoft đưa ra bản vá. Ý tưởng về mẫu này xảy ra một lần nữa trong các hệ thống công nghiệp đang gây lo lắng. Đây là một lĩnh vực nơi mà một lỗi về an ninh có thể dẫn tới một sự tràn hóa chất hoặc một sự mất điện diện rộng, và nơi mà nó có thể mất hàng tháng trời để lên kế hoạch và cài đặt các bản vá.
Ngay trong tuần này, một nhà nghiên cứu tên là Luigi Auriemma đã gửi cho đội ICS-CERT gây xáo trộn khi ông xuất bản các chi tiết về 4 chỗ mới bị tổn thương trong các sản phẩm công nghiệp, thứ gì đó ông đã từng làm vài lần trong năm ngoái. Auriemma, một nhà nghiên cứu độc lập tại Milan, tin tưởng việc đưa ra các chi tiết kỹ thuật là cách nhanh nhất để có mọi thứ được sửa. “Sự phơi bày hoàn toàn là cách tốt nhất để có được sự chú ý về vấn đề này”, ông nói trong một cuộc phỏng vấn qua chat.
Edwards, the man in charge of ICS-CERT, acknowledged that the group's workload has exploded since it was started in 2009. "We've seen a 600 percent increase in the number of vulnerabilities that have been coordinated and worked through the ICS-CERT," he said. The allure of industrial control systems means more researchers are now focusing on that area, he said.
The situation is reminiscent of what happened to Windows a decade ago, when hackers began picking apart Microsoft's products, McCorkle said. Industrial vendors are "basically just 10 years behind the curve on security. It's like we're going back to the '90s," he said.
When researchers first turned to Microsoft in the late 1990s, the software maker was caught flat-footed. It was only after several years of antagonism between Redmond and the hackers ripping apart its software that Microsoft figured out how to work with hackers.
Researchers became so tired of the issues they uncovered being ignored that they started to release the technical details in order to force Microsoft to release a patch. The idea of this pattern happening over again in industrial systems is worrying. It's an area where a security flaw could lead to a chemical spill or a widespread power blackout, and where it can take months to schedule and install patches.
Just this week, a researcher named Luigi Auriemma sent the ICS-CERT team scrambling when he published details on four new vulnerabilities in industrial products, something he'd already done several times in the past year. Auriemma, an independent researcher in Milan, believes posting technical details is the quickest way to get things fixed. "Full disclosure is the best way to get attention on this matter," he said in an instant-message interview.
Một cựu nhân viên của INL từng làm việc trong Chương trình An ninh các Hệ thống Kiểm soát trong thời gian Finisterre đã đưa ra mã nguồn của Citec nói rằng từng có những vấn đề trong những ngày đầu. “Nền công nghiệp đã có những tương tác khó khăn với văn hóa của các 'tin tặc' khi ít chỗ bị tổn thương ban đầu đối với các hệ thống kiểm soát công nghiệp nổi lên vài năm trước”, Robert Huber, đồng sáng lập của Critical Intelligence, một công ty ở Idaho tiến hành nghiên cứu trong các mối đe dọa của các hệ thống công nghiệp. “Ngược về khi đó, các nhà bán hàng đã hoàn toàn không được chuẩn bị cho sự phơi lộ này”, ông nói trong một cuộc phỏng vấn qua thư điện tử.
Nhưng Huber nghĩ mọi thứ đang được cải thiện. “Nhiều nhà nghiên cứu an ninh đã làm việc với các nhà bán hàng, hoặc thông qua một trung gian, để phát hiện các chỗ bị tổn thương”, ông nói. “Bây giờ, số lượng lớn quan tâm có thể dẫn tới nhiều hơn các nhà nghiên cứu trong môi trường này tạo ra một cái tên cho mình mà không tuân theo qui trình tiết lộ, gây ra nhiều chỗ bị tổn thương hơn nữa mà không được điều phối”.
Chỉ có thời gian sẽ trả lời”, ông nói.
One former INL staffer who worked at the Control Systems Security Program during the time Finisterre released his Citec code says that there were problems in the early days. "Industry has already had difficult interactions with the 'hacker' culture when these first few vulnerabilities for industrial control systems surfaced a few years ago," said Robert Huber, co-founder of Critical Intelligence, an Idaho company that does research into industrial systems threats. "Back then, the vendors were completely unprepared for these disclosures," he said in an email interview.
But Huber thinks things are improving. "Many security researchers have worked with the vendors, or through an intermediary, to disclose vulnerabilities," he said. "Now, that said, the sheer number and interest may drive more researchers into the space to make a name for themselves without following the disclosure process, resulting in more vulnerabilities that are not coordinated.
"Only time will tell," he said.
Dịch tài liệu: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.