Được cho là vụ thâm nhập cơ sở nước gây ra sự khó hiểu

Alleged water utility hack causes confusion

23 November 2011, 19:32

Theo: http://www.h-online.com/security/news/item/Alleged-water-utility-hack-causes-confusion-1383976.html

Bài được đưa lên Internet ngày: 23/11/2011

Lời người dịch: Dù đều từ các nguồn tin chính thức, như từ FBI hay DHS hay STIC, thì những thông tin về sự thâm nhập trái phép và làm hỏng một bơm nước tại Illinois lại ngược chiều nhau. Còn vụ tương tự ở Texas thì còn đang được điều tra. Và dù thế nào đi nữa, thì an ninh của các hệ thống SCADA cũng vẫn là có vấn đề. Ví dụ: “Siemens SIMATIC được cho là đã đóng một vai trò tiêu cực đặc biệt trong ngữ cảnh này - với các dịch vụ Telnet có sử dụng một tập hợp tên và mật khẩu được lập trình cứng, “basisk”, hoặc kết nối mạng đưa ra mật khẩu mặc định, “100”. Sâu Stuxnet đã thể hiện cách mà những tổn thương như vậy có thể bị khai thác: trong các mạng cục bộ, nó đã sử dụng các ủy quyền truy cập vào cơ sở dữ liệu MS SQL được lập trình cứng để vào được các hệ thống WinCC và, từ đó, nó đã tiếp tục phá hủy các máy li tâm làm giàu Uranium”. Xem thêm [01], [02].

Đội Phản ứng Khẩn cấp Không gian mạng các Hệ thống Kiểm soát Công nghiệp (ICS-CERT) đã đưa ra tất cả rõ ràng: lỗi của cơ sở nước tại Illinois đã phá hủy một máy bơm có vẻ không phải là do sự thâm nhập trái phép sau tất cả. Tuy nhiên, có những lý do nghi ngờ đánh giá tái đảm bảo này.

Trong một thư điện tử gửi cho Nhóm Làm việc Chúng về các Hệ thống Kiểm soát Công nghiệp (ICSJWG) nói rằng sau khi phân tích chi tiết, Bộ An ninh Nội địa (DHS) và FBI “đã thấy không có bằng chứng nào về một sự thâm nhập trái phép trong không gian mạng vào hệ thống SCADA của Khu vực Nước Công cộng Curran-Gardner tại Springfield, Illinois”. Tuy nhiên, thông báo rằng một tin tặc đã thâm nhập trái phép vào cơ sở nước cũng dường như xuất phát từ các nguồn chính thống. Joe Weiss, người viết blog đã đưa ra vụ này, nói rằng ông có thông tin từ Trung tâm Tình báo và chống Khủng bố của Bang (STIC).

Blogger về an ninh Brian Krebs trích từ báo cáo bí mật của STIC như sau:

“Đôi lúc trong ngày 08/11/2011, một nhân viên khu nước đã lưu ý thấy các vấn đề với một hệ thống SCADA. Một công ty dịch vụ và sửa chữa về CNTT đã kiểm tra các lưu ký của máy tính của hệ thống SCADA và đã xác định hệ thống đã bị thâm nhập từ xa từ một địa chỉ nhà cung cấp Internet nằm ở Nga”.

Nói với một trạm TV địa phương, chủ tịch của Khu Nước Curran-Gardner bị ảnh hưởng cũng nói rằng có bằng chứng về một sự thâm nhập trái phép vào hệ thống SCADA đã cho phép các máy bơm truy cập được từ xa (video cũng có sẵn trên blog của Krebs). Weiss đã nghi ngờ cách mà các nguồn chính thống này có thể đã đi tới nhưng phân tích đối chọi nhau như vậy. Blogger này đã thể hiện sự lo ngại rằng sự khó hiểu gây ra có thể làm chậm hơn các bước cần thiết để bảo vệ các hạ tầng bị tác động tiềm tàng này.

The Industrial Control Systems Cyber Emergency Response Team (ICS-CERT) has given the all-clear: the Illinois water utility flaw which destroyed a pump was apparently not caused by an intrusion after all. However, there are reasons to doubt this reassuring assessment.

An email to the Industrial Control Systems Joint Working Group (ICSJWG) said that after detailed analysis, the US Department of Homeland Security (DHS) and the FBI "have found no evidence of a cyber intrusion into the SCADA system of the Curran-Gardner Public Water District in Springfield, Illinois." However, the notification that a hacker intruded into the water utility also appeared to originate from official sources. Joe Weiss, the blogger who publicised the incident, said that he got his information from the Illinois State Terrorism and Intelligence Center (STIC).

Security blogger Brian Krebs quotes from the following confidential STIC report:

"Sometime during the day of Nov. 8, 2011, a water district employee noticed problems with a SCADA system. An information technology service and repair company checked the computer logs of the SCADA system and determined the system had been remotely hacked into from an Internet provider address located in Russia."

Talking to a local TV station, the chairman of the affected Curran-Gardner Water District also said that there is evidence of an intrusion into the SCADA system that allowed the pumps to be accessed remotely (the video is also available on Krebs' blog). Weiss wondered how these official sources could have arrived at such conflicting analyses. The blogger expressed concern that the resulting confusion might further delay the steps necessary to protect potentially affected infrastructures.

Tình trạng xung quanh vụ thâm nhập trái phép thứ 2 vào cơ sở nước ở Texas vẫn còn chưa rõ, dù tin tặc thậm chí đã đưa ra các hình chụp hệ thống SCADA theo yêu cầu. ICS-CERT nói rằng vụ việc đó vẫn còn đang được điều tra. Tuy nhiên, bất chấp liệu thực sự có những vụ thâm nhập trái phép hay thậm chí chỉ là sự phá hoại, thì thực tế là an ninh các hệ thống SCADA vẫn trong hình hài tồi tệ là không bàn cãi trong các chuyên gia.

Siemens SIMATIC được cho là đã đóng một vai trò tiêu cực đặc biệt trong ngữ cảnh này - với các dịch vụ Telnet có sử dụng một tập hợp tên và mật khẩu được lập trình cứng, “basisk”, hoặc kết nối mạng đưa ra mật khẩu mặc định, “100”. Sâu Stuxnet đã thể hiện cách mà những tổn thương như vậy có thể bị khai thác: trong các mạng cục bộ, nó đã sử dụng các ủy quyền truy cập vào cơ sở dữ liệu MS SQL được lập trình cứng để vào được các hệ thống WinCC và, từ đó, nó đã tiếp tục phá hủy các máy li tâm làm giàu Uranium.

The situation surrounding the second intrusion into the Texas water utility remains unclear, although the hacker even released screenshots of the SCADA system in question. The ICS-CERT says that the incident is still being investigated. However, regardless of whether there really have been intrusions or even actual vandalism, the fact that SCADA system security is in bad shape is undisputed among experts.

Siemens SIMATIC has repeatedly played a particularly negative role in this context – with Telnet services using a hard-coded user name and password combination, "basisk", or the network connection being given the default password, "100". The Stuxnet worm demonstrated how such vulnerabilities can be exploited: on local networks, it used hard-coded MS-SQL database access credentials to get to WinCC systems and, from there, it proceeded to destroy Uranium enrichment centrifuges.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com