After
Stuxnet, a Rush to Find Bugs in Industrial Systems
Oct 14, 2011 8:20 am, By
Robert McMillan, IDG News
Bài được đưa lên
Internet ngày: 14/10/2011
Lời
người dịch: Sau sự kiện Stuxnet, nhiều nơi vội vã đi
tìm các lỗi của các hệ thống PLC, SCADA. Tuy nhiên, cũng
nhiều nơi bình chân như vại và coi những thông kiểu này
chỉ là thứ phù phiếm cường điệu, kiểu của những
đám người “điếc không sợ súng”. Bài viết này nói
về những gì đang xảy ra tại phòng thí nghiệm của quân
đội Mỹ tại Idaho và của ICS-CERT. Và đây là một vài
trích đoạn: “ICS-CERT đã được thành lập 2 năm trước
để giải quyết dạng các lỗi mà Beresfond và Finisterre
bây giờ đang phát hiện dễ dàng. Số lượng các vụ
việc ngầm thông qua ICS-CERT đã gia tăng 6 lần trong vài
năm qua, từ vài vấn đề tới hàng trăm, theo Marty
Edwards, giám đốc của Chương trình An ninh Hệ thống Kiểm
soát và người chịu trách nhiệm của ICS-CERT... ICS-CERT
hiện đang làm việc về khoảng 50 vấn đề được biết,
nhưng 2 nhà nghiên cứu từ khu vực thương mại nói họ
thấy hàng trăm vấn đề hơn nữa, một số có lẽ không
quan trọng, nhưng những vấn đề khác là nghiêm trọng
tiềm tàng... họ đã tải về càng nhiều các gói phần
mềm công nghiệp mà họ có thể - gần 400 tất cả, từ
Siemens, Rockwell Automation, Iconics và những người bán hàng
khác... Họ tự đặt cho mình một mục tiêu, tìm 100 lỗi
trong 100 ngày. Nhưng họ đã đạt được mục tiêu của
họ chỉ trong 3 tuần... Cuối cùng họ đã thấy 665
vấn đề trong phần mềm máy chủ, các gói trình điều
khiển và phần mềm giao diện giữa người - máy HMI
(Human - Machine Interface) dựa trên Windows
được sử dụng để quản lý các máy trên các sàn của
các nhà máy. Rios và McCorkle xếp hạng hầu hết các lỗi
họ đã tìm ra như là “không sống còn”, nhưng họ nói
khoảng 75 trong số chúng có thể
được bọn tội phạm sử dụng để gây thiệt hại cho
hệ thống công nghiệp... Các
nhà nghiên cứu đã trở nên quá mệt mỏi về các vấn
đề họ đã phát hiện đang bị phớt lờ mà họ đã bắt
đầu đưa ra các chi tiết kỹ thuật để ép Microsoft đưa
ra bản vá. Ý tưởng về mẫu này xảy ra một lần nữa
trong các hệ thống công nghiệp đang gây lo lắng. Đây
là một lĩnh vực nơi mà một lỗi về an ninh có thể dẫn
tới một sự tràn hóa chất hoặc một sự mất điện
diện rộng, và nơi mà nó có thể mất hàng tháng trời
để lên kế hoạch và cài đặt các bản vá”
Kevin Finisterre không
phải là dạng người mà bạn mong đợi nhìn thấy trong
một nhà máy điện hạt nhân. Với một bãi biển Afro
kích cỡ sân bóng, các cặp kính râm của phi công và một
“vẻ vênh vang” tự mô tả, ông ta trông giống Clarence
Williams nhiều hơn từ chương trình "The Mod Squad"
trên TV những năm 70 hơn là một kỹ sư điện tử.
Nhưng mọi người
thích Finisterre, người không phù hợp với dạng truyền
thống của ông kỹ sư cài cúc dưới, đang đóng một vai
trò quan trọng ngày một gia tăng trong nỗ lực để khóa
các máy chạy các hệ thống công nghiệp chủ chốt của
thế giới. Finisterre là một cao thủ mũ trắng. Ông vật
lộn với các hệ thống máy tính, không phải để thâm
nhập vào bên trong chúng, mà để phát hiện ra những chỗ
bị tổn thương quan trọng. Ông sau đó bán sự tinh thông
của mình cho các công ty muốn cải thiện an ninh của họ.
Hai năm trước,
Finisterre, người sáng lập công ty kiểm thử an ninh
Digital Munition, tự thấy việc trao đổi thư với một
nhân sự ở Chương trình An ninh Hệ thống Kiểm soát của
Phòng thí nghiệm Quốc gia Idaho (INL), một dự án được
Bộ An ninh Nội địa Mỹ cấp vốn mà là tiền tuyến của
sự phòng thủ chống lại một cuộc tấn công không gian
mạng vào hạ tầng sống còn của quốc gia.
Finisterre đã chú ý
tới INL vào năm 2008, khi ông đã tung ra mã nguồn tấn
công đã khai thác một lỗi trong phần mềm CitectSCADA được
sử dụng để quản lý các môi trường kiểm soát công
nghiệp. Ông đã nghe về chương trình của INL, giúp chuẩn
bị cho các nhà bán hàng và các nhà vận hành nhà máy
chống lại các cuộc tấn công vào các hệ thống của
họ, và ông nghĩ ông có thể để cho họ một dòng để
tìm ra cách mà họ thực sự tốt thế nào.
Kevin
Finisterre isn't the type of person you expect to see in a nuclear
power plant. With a beach ball-sized Afro, aviator sunglasses and a
self-described "swagger," he looks more like Clarence
Williams from the '70s TV show "The Mod Squad" than an
electrical engineer.
But
people like Finisterre, who don't fit the traditional mold of
buttoned-down engineer, are playing an increasingly important role in
the effort to lock down the machines that run the world's major
industrial systems. Finisterre is a white-hat hacker. He prods and
probes computer systems, not to break into them, but to uncover
important vulnerabilities. He then sells his expertise to companies
that want to improve their security.
Two
years ago, Finisterre, founder of security testing company Digital
Munition, found himself swapping emails with a staffer at Idaho
National Laboratory's Control Systems Security Program, a project
funded by the U.S. Department of Homeland Security that is the first
line of defense against a cyberattack on the nation's critical
infrastructure.
Finisterre
caught the attention of INL in 2008, when he released
attack code that exploited a bug in the CitectSCADA software
used to run
industrial control environments. He'd heard about the INL program,
which helps prepare vendors and plant operators for attacks on their
systems, and he thought he'd drop them a line to find out how good
they really were.
Ông từng không có ấn
tượng
Liệu INL có sẵn sàng
làm việc với một cộng đồng các tin tặc hay không?
Finisterre đã muốn biết. Ông đã nhận được một câu
trả lời khó chịu. Khái niệm “tin tặc” ngụ ý một
người “về bản chất tự nhiên tội phạm hoặc hồ
nghi” mà có thể “phòng thí nghiệm quốc gia không được
thuê”, một nhân viên INL đã nói với ông qua thư điện
tử.
“Về cơ bản ông đã
dạy tôi về cách mà INL không tương tác với các tin tặc
và tôi nên cẩn thận khi tung ra câu từ đó”, Finisterre
nhớ lại. “Tôi đã từng như, 'tôi thực sự hy vọng
anh đang đùa, vì anh dường như là đang ở chiến tuyến
của nghiên cứu về điều đó'”.
Hãy gọi nó là một
cuộc cãi lý sớm trong sự va chạm văn hóa giữa 2 thế
giới: những người nghiên cứu độc lập về an ninh quen
làm việc với các hãng kỹ thuật như Microsoft và Adobe,
những nguwofi đã học được ôm lấy những đặc tính
của tin tặc, và các công ty bảo thủ hơn mà họ phát
triển và kiểm thử các hệ thống kiểm soát công nghiệp,
những người thường hành động giống như họ muốn
những tin tặc mũ trắng nên phải biến đi.
Đầu năm nay, Dillon
Beresfond, một nhà nghiên cứu an ninh tại phòng thí nghiệm
tư vấn NSSLabs, đã thấy một số lượng các lỗi trong
các trình kiểm soát logic lập trình được (PLC) của
Siemens. Ông đã không nói về nó cho Đội Phản ứng Khẩn
cấp về Không gian mạng đối với các Hệ thống Kiểm
soát Công nghiệp (ICS-CERT) của Bộ An ninh Nội địa, chạy
khỏi INL. Nhưng ông đã nói cho Siemens đã làm một sự
báo hại cho các khách hàng của hãng bằng việc hạ thấp
các vấn đề mà ông đã phát hiện. “Tôi không vui với
câu trả lời của họ”, Beresfond đã nói đầu năm nay.
“Họ đã không cung cấp đủ thông tin cho công chúng”.
He
was not impressed.
Is
INL already working with the hacker community? Finisterre wanted to
know. He received an off-putting response. The term "hacker"
denotes a person of a "dubious or criminal nature" who
would "not be hireable by a national laboratory," an INL
staffer told him via email.
"He
basically lectured me about how INL doesn't interact with hackers and
I should be very careful throwing that word around," Finisterre
recalled. "I was like, 'Dude, I really hope you're joking,
because you're supposed to be at the forefront of the research on
this."
Call
it an early skirmish in a culture clash between two worlds: the
independent security
researchers accustomed to dealing with tech firms such as Microsoft
and Adobe, who have learned to embrace the hacker ethos, and the more
conservative
companies that
develop and test industrial control systems, who often act like they
wish these white-hat hackers would go away.
Earlier
this year, Dillon Beresford, a security researcher at the consultancy
NSSLabs, found a number of flaws in Siemens' programmable logic
controllers. He had no complaints about the U.S. Department of
Homeland Security's Industrial Control Systems Cyber Emergency
Response Team, run out of INL. But he said Siemens did a disservice
to its customers by downplaying the issues he'd uncovered. "I'm
not pleased with their response," Beresford said earlier this
year. "They didn't provide enough information to the public."
ICS-CERT
đã được thành lập 2 năm trước để giải quyết dạng
các lỗi mà Beresfond và Finisterre bây giờ đang phát hiện
dễ dàng. Số lượng các vụ việc ngầm thông qua ICS-CERT
đã gia tăng 6 lần trong vài năm qua, từ vài vấn đề tới
hàng trăm, theo Marty Edwards, giám đốc của Chương trình
An ninh Hệ thống Kiểm soát và người chịu trách nhiệm
của ICS-CERT.
“Lý do chúng tôi
thấy như sự gia tăng là vì, một cách thẳng thắn, SCADA
và các hệ thống kiểm soát công nghiệp [đã trở nên]
khá thú vị”, ông nói. “Những thứ như Stuxnet đã làm
nảy sinh mức độ chú ý mà các hệ thống kiểm soát
công nghiệp và các hệ thống hạ tầng sống còn đang
có”.
Đối với nhiều tin
tặc, các hệ thống công nghiệp là một mặt trận mới
trong những khai thác kỹ thuật của họ. Đối với những
người khác, chúng là một sự thoái lui về những ngày
đầu của tin tặc, trước khi PC trở thành mục tiêu đầu
tiên. Finisterre đã bắt đầu trên hệ thống điện thoại
nơi mà ông đã lớn lên trong một thị trấn nhỏ Sidney,
Ohio. “Vào đầu những năm 90 mẹ tôi nghĩ tôi lăn lộn
với các điện thoại trong nhà chúng tôi, nhưng hóa ra là
ai đó đã thâm nhập vào bộ chuyển của điện thoại từ
ở xa. Cuối cùng tôi đã đi tới câu hỏi để giúp mẹ
tôi chống lại công ty điện thoại nói rằng 'Con trai bà
phải làm thứ gì đó gây ra tất cả những trách nhiệm
này'”, ông ta nói.
ICS-CERT
was set up two
years ago to handle the kind of bugs that Beresford and Finisterre
are now finding with ease. The number of incidents funneled through
ICS-CERT has increased six-fold in the past few years, from dozens of
issues to hundreds, according to Marty Edwards, director of the
Control Systems Security Program and the person in charge of
ICS-CERT.
"The
reason we're seeing such an increase is because, quite frankly, SCADA
and industrial control systems [have become] cool," he said.
"Things like Stuxnet have raised the attention level that
industrial control systems and critical infrastructure systems are
getting."
For
many hackers, industrial systems are a new frontier in their
technical explorations. For others, they're a throwback to the early
days of hacking, before PCs became the primary target. Finisterre
started out on the telephone system when he was growing up in the
small town of Sidney, Ohio. "In the early '90s my mom thought I
was messing with the phones at our house, but it turned out that
someone was tampering with the phone switch remotely. I ultimately
went on a quest to help my mom fight the phone company claims that
'Your son must be doing something to cause all these faulty
charges,'" he said.
Gần 20 năm sau, như
một nhà nghiên cứu an ninh chuyên nghiệp, ông đã chán
với việc chạy quanh cối xay các lỗi phần mềm mà ông
đã tìm thấy và chuyển sang các hệ thống công nghiệp.
Đó là những gì đã dẫn tới công việc của ông tìm
các lỗ hổng trong CitecSCADA. “Nó giống như là một sự
chuyên chở tức thì ngược về những ngày ở trường
trung học của tôi”, ông nói.
Có
những dấu hiệu rằng ông không đơn độc và rằng làn
sóng này sẽ mở. ICS-CERT hiện đang làm việc về khoảng
50 vấn đề được biết, nhưng 2 nhà nghiên cứu từ khu
vực thương mại nói họ thấy hàng trăm vấn đề hơn
nữa, một số có lẽ không quan trọng, nhưng những vấn
đề khác là nghiêm trọng tiềm tàng.
Billy Rios, một đội
do nhóm an ninh của Google dẫn dắt, và Terry McCorkle, một
thành viên của Đội Đỏ về An ninh Thông tin ở Boeing,
đã uống cùng nhau vào tháng 2 khi họ đã quyết định
nhìn sâu hơn vào dạng phần mềm công nghiệp mà
Finisterre và những người khác từng thâm nhập. Họ đã
muốn thấy có bao nhiêu lỗi họ có thể thấy.
Làm
việc trong thời gian rỗi của họ, họ đã tải về càng
nhiều các gói phần mềm công nghiệp mà họ có thể -
gần 400 tất cả, từ Siemens, Rockwell Automation, Iconics và
những người bán hàng khác. Tất cả chúng đều tự do
sẵn có trên Internet. Họ tự đặt cho mình một mục
tiêu, tìm 100 lỗi trong 100 ngày. Nhưng họ đã đạt được
mục tiêu của họ chỉ trong 3 tuần. “Chúng tôi thậm
chí không đi qua tất cả các phần mềm mà chúng tôi đã
có, thậm chí là gần”, McCorkle nói.
Cuối
cùng họ đã thấy 665 vấn đề trong phần mềm máy chủ,
các gói trình điều khiển và phần mềm giao diện giữa
người - máy HMI (Human - Machine Interface) dựa trên Windows
được sử dụng để quản lý các máy trên các sàn của
các nhà máy. Rios và McCorkle xếp hạng hầu hết các lỗi
họ đã tìm ra như là “không sống còn”, nhưng họ nói
khoảng 75 trong số chúng có thể được bọn tội phạm
sử dụng để gây thiệt hại cho hệ thống công nghiệp.
“Không có lớp những chỗ bị tổn thương duy nhất nào
chúng tôi găm giữ; tất cả chúng đều nằm khắp bảng
mạch”, Rios nói.
“Bất kỳ ai cũng có
thể làm điều này, về cơ bản, nếu họ bỏ thời gian
vào điều này và có được sự hiểu biết về cách mà
điều này làm việc”, Rios bổ sung. “Điều này không
giống việc bạn sẽ thấy một lỗi ở đây hay ở kia.
Điều này giống nếu bạn đặt thời gian vào nó, khá
buồn cười với những kết quả”.
Nearly
20 years later, as a professional security researcher, he grew bored
with the run-of-the-mill software bugs he was finding and turned to
industrial systems. That's what led to his work finding holes in
CitecSCADA. "It was like an instant transport back to my high
school days," he said,
There
are signs that he is not alone and that the floodgates are about to
open. ICS-CERT is currently working on about 50 known issues, but two
researchers from the commercial sector say they've found hundreds
more, some perhaps unimportant, but others potentially serious.
Billy
Rios, a team lead in Google's security group, and Terry McCorkle, a
member of the Information Security Red Team at Boeing, were having
drinks together in February when they decided to take a close look at
the type of industrial software Finisterre and others have been
hacking. They wanted to see how many bugs they could find.
Working
on their spare time, they downloaded as many industrial
software packages
as they could -- nearly 400 altogether, from Siemens, Rockwell
Automation, Iconics and other vendors. All of them were freely
available on the Internet. They set themselves a goal, to find 100
bugs in 100 days. But the pickings were so good they hit their target
in three weeks. "We didn't even go through all the software we
had, not even close,' McCorkle said.
In
the end they found 665 issues in server software, driver packages and
the Windows-based HMI (human-machine interface) software used to
manage the machines on factory floors. Rios and McCorkle rate most of
the bugs they've found as "non-critical," but they say
about 75 of them could be used by criminals to damage an industrial
system. "There's no single class of vulnerabilities that we
nailed; it was just all over the board," Rios said.
"Anyone
can do this, basically, if they just put the time into this and get
an understanding of how this works," Rios added. "It's not
like you'll find a bug here and there. It's just like if you put the
time into it, it's pretty ridiculous what the results are."
Edwards,
người chịu trách nhiệm về ICS-CERT, đã nhận thức được
rằng tải công việc của nhóm đã bùng nổ kể từ năm
2009. “Chúng tôi đã thấy 600% gia tăng về số lượng
các chỗ bị tổn thương đã và đang được phối hợp
và làm việc thông qua ICS-CERT”, ông nói. Sự quyến rũ
của các hệ thống kiểm soát công nghiệp có nghĩa nhiều
hơn các nhà nghiên cứu bây giờ đang tập trung vào lĩnh
vực đó, ông nói.
Tình
huống này làm gợi nhớ lại về những gì xảy ra với
Windows một thập kỷ trước, khi các tin tặc đã bắt đầu
nhặt ra các sản phẩm của Microsoft, McCorkle nói. Những
người bán hành công nghiệp “về cơ bản chỉ 10 năm đi
sau vấn đề về an ninh. Giống như việc chúng ta đi ngược
lại về những năm 90”, ông nói.
Khi
các nhà nghiên cứu đầu tiên nhằm vào Microsoft vào cuối
những năm 1990, thì nhà sản xuất phần mềm này đã bình
chân như vại. Chỉ sau vài năm phản kháng giữa Redmond
và các tin tặc xé toạc khỏi các phần mềm của hãng
thì Microsoft đã chỉ ra cách để làm việc với các tin
tặc.
Các
nhà nghiên cứu đã trở nên quá mệt mỏi về các vấn
đề họ đã phát hiện đang bị phớt lờ mà họ đã bắt
đầu đưa ra các chi tiết kỹ thuật để ép Microsoft đưa
ra bản vá. Ý tưởng về mẫu này xảy ra một lần nữa
trong các hệ thống công nghiệp đang gây lo lắng. Đây là
một lĩnh vực nơi mà một lỗi về an ninh có thể dẫn
tới một sự tràn hóa chất hoặc một sự mất điện
diện rộng, và nơi mà nó có thể mất hàng tháng trời
để lên kế hoạch và cài đặt các bản vá.
Ngay
trong tuần này, một nhà nghiên cứu tên là Luigi Auriemma
đã gửi cho đội ICS-CERT gây xáo trộn khi ông xuất bản
các chi tiết về 4 chỗ mới bị tổn thương trong các sản
phẩm công nghiệp, thứ gì đó ông đã từng làm vài lần
trong năm ngoái. Auriemma, một nhà nghiên cứu độc lập
tại Milan, tin tưởng việc đưa ra các chi tiết kỹ thuật
là cách nhanh nhất để có mọi thứ được sửa. “Sự
phơi bày hoàn toàn là cách tốt nhất để có được sự
chú ý về vấn đề này”, ông nói trong một cuộc phỏng
vấn qua chat.
Edwards,
the man in charge of ICS-CERT, acknowledged that the group's workload
has exploded since it was started in 2009. "We've seen a 600
percent increase in the number of vulnerabilities that have been
coordinated and worked through the ICS-CERT," he said. The
allure of industrial control systems means more researchers are now
focusing on that area, he said.
The
situation is reminiscent of what happened to Windows a decade ago,
when hackers began picking apart Microsoft's products, McCorkle said.
Industrial vendors are "basically just 10 years behind the curve
on security. It's like we're going back to the '90s," he said.
When
researchers first turned to Microsoft in the late 1990s, the software
maker was caught flat-footed. It was only after several years of
antagonism between Redmond and the hackers ripping apart its software
that Microsoft figured out how to work with hackers.
Researchers
became so tired of the issues they uncovered being ignored that they
started to release the technical details in order to force Microsoft
to release a patch. The idea of this pattern happening over again in
industrial systems is worrying. It's an area where a security flaw
could lead to a chemical spill or a widespread power blackout, and
where it can take months to schedule and install patches.
Just
this week, a researcher named Luigi Auriemma sent the ICS-CERT team
scrambling when he published details on four new vulnerabilities in
industrial products, something he'd already done several times in the
past year. Auriemma, an independent researcher in Milan, believes
posting technical details is the quickest way to get things fixed.
"Full disclosure is the best way to get attention on this
matter," he said in an instant-message interview.
Một
cựu nhân viên của INL từng làm việc trong Chương trình
An ninh các Hệ thống Kiểm soát trong thời gian Finisterre
đã đưa ra mã nguồn của Citec nói rằng từng có những
vấn đề trong những ngày đầu. “Nền công nghiệp đã
có những tương tác khó khăn với văn hóa của các 'tin
tặc' khi ít chỗ bị tổn thương ban đầu đối với các
hệ thống kiểm soát công nghiệp nổi lên vài năm trước”,
Robert Huber, đồng sáng lập của Critical Intelligence, một
công ty ở Idaho tiến hành nghiên cứu trong các mối đe
dọa của các hệ thống công nghiệp. “Ngược về khi
đó, các nhà bán hàng đã hoàn toàn không được chuẩn
bị cho sự phơi lộ này”, ông nói trong một cuộc phỏng
vấn qua thư điện tử.
Nhưng
Huber nghĩ mọi thứ đang được cải thiện. “Nhiều nhà
nghiên cứu an ninh đã làm việc với các nhà bán hàng,
hoặc thông qua một trung gian, để phát hiện các chỗ bị
tổn thương”, ông nói. “Bây giờ, số lượng lớn quan
tâm có thể dẫn tới nhiều hơn các nhà nghiên cứu trong
môi trường này tạo ra một cái tên cho mình mà không
tuân theo qui trình tiết lộ, gây ra nhiều chỗ bị tổn
thương hơn nữa mà không được điều phối”.
“Chỉ
có thời gian sẽ trả lời”, ông nói.
One
former INL staffer who worked at the Control Systems Security Program
during the time Finisterre released his Citec code says that there
were problems in the early days. "Industry has already had
difficult interactions with the 'hacker' culture when these first few
vulnerabilities for industrial control systems surfaced a few years
ago," said Robert Huber, co-founder of Critical Intelligence, an
Idaho company that does research into industrial systems threats.
"Back then, the vendors were completely unprepared for these
disclosures," he said in an email interview.
But
Huber thinks things are improving. "Many security researchers
have worked with the vendors, or through an intermediary, to disclose
vulnerabilities," he said. "Now, that said, the sheer
number and interest may drive more researchers into the space to make
a name for themselves without following the disclosure process,
resulting in more vulnerabilities that are not coordinated.
"Only
time will tell," he said.
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.