Alleged
water utility hack causes confusion
23 November 2011, 19:32
Theo:
http://www.h-online.com/security/news/item/Alleged-water-utility-hack-causes-confusion-1383976.html
Bài được đưa lên
Internet ngày: 23/11/2011
Lời
người dịch: Dù đều từ các nguồn tin chính thức, như
từ FBI hay DHS hay STIC, thì những thông tin về sự thâm
nhập trái phép và làm hỏng một bơm nước tại Illinois
lại ngược chiều nhau. Còn vụ tương tự ở Texas thì
còn đang được điều tra. Và dù thế nào đi nữa, thì
an ninh của các hệ thống SCADA cũng vẫn là có vấn đề.
Ví dụ: “Siemens SIMATIC được cho là đã đóng một vai
trò tiêu cực đặc biệt trong ngữ cảnh này - với các
dịch vụ Telnet có sử dụng một tập hợp tên và mật
khẩu được lập trình cứng, “basisk”, hoặc kết nối
mạng đưa ra mật khẩu mặc định, “100”. Sâu Stuxnet
đã thể hiện cách mà những tổn thương như vậy có thể
bị khai thác: trong các mạng cục bộ, nó đã sử dụng
các ủy quyền truy cập vào cơ sở dữ liệu MS SQL được
lập trình cứng để vào được các hệ thống WinCC và,
từ đó, nó đã tiếp tục phá hủy các máy li tâm làm
giàu Uranium”. Xem thêm [01],
[02].
Đội Phản ứng Khẩn
cấp Không gian mạng các Hệ thống Kiểm soát Công nghiệp
(ICS-CERT) đã đưa ra tất cả rõ ràng: lỗi của cơ sở
nước tại Illinois đã phá hủy một máy bơm có vẻ không
phải là do sự thâm nhập trái phép sau tất cả. Tuy
nhiên, có những lý do nghi ngờ đánh giá tái đảm bảo
này.
Trong một thư điện
tử gửi cho Nhóm Làm việc Chúng về các Hệ thống Kiểm
soát Công nghiệp (ICSJWG) nói rằng sau khi phân tích chi
tiết, Bộ An ninh Nội địa (DHS) và FBI “đã thấy không
có bằng chứng nào về một sự thâm nhập trái phép
trong không gian mạng vào hệ thống SCADA của Khu vực Nước
Công cộng Curran-Gardner tại Springfield, Illinois”. Tuy
nhiên, thông báo rằng một tin tặc đã thâm nhập trái
phép vào cơ sở nước cũng dường như xuất phát từ các
nguồn chính thống. Joe Weiss, người viết blog đã đưa ra
vụ này, nói rằng ông có thông tin từ Trung tâm Tình báo
và chống Khủng bố của Bang (STIC).
Blogger về an ninh
Brian Krebs trích từ báo cáo bí mật của STIC như sau:
“Đôi
lúc trong ngày 08/11/2011, một nhân viên khu nước đã lưu
ý thấy các vấn đề với một hệ thống SCADA. Một công
ty dịch vụ và sửa chữa về CNTT đã kiểm tra các lưu
ký của máy tính của hệ thống SCADA và đã xác định
hệ thống đã bị thâm nhập từ xa từ một địa chỉ
nhà cung cấp Internet nằm ở Nga”.
Nói với một trạm
TV địa phương, chủ tịch của Khu Nước Curran-Gardner bị
ảnh hưởng cũng nói rằng có bằng chứng về một sự
thâm nhập trái phép vào hệ thống SCADA đã cho phép các
máy bơm truy cập được từ xa (video cũng có sẵn trên
blog của Krebs). Weiss đã nghi ngờ cách mà các nguồn chính
thống này có thể đã đi tới nhưng phân tích đối chọi
nhau như vậy. Blogger này đã thể hiện sự lo ngại rằng
sự khó hiểu gây ra có thể làm chậm hơn các bước cần
thiết để bảo vệ các hạ tầng bị tác động tiềm
tàng này.
The
Industrial Control Systems Cyber Emergency Response Team (ICS-CERT)
has given the all-clear: the
Illinois water utility flaw which destroyed a pump was apparently
not caused by an intrusion after all. However, there are reasons to
doubt this reassuring assessment.
An
email to the Industrial Control Systems Joint Working Group (ICSJWG)
said that after detailed analysis, the US Department
of Homeland Security (DHS) and the FBI "have found no
evidence of a cyber intrusion into the SCADA system of the
Curran-Gardner Public Water District in Springfield, Illinois."
However, the notification that a hacker intruded into the water
utility also appeared to originate from official sources. Joe Weiss,
the blogger who publicised the incident, said that he got his
information from the Illinois State
Terrorism and Intelligence Center (STIC).
Security
blogger Brian Krebs quotes
from the following confidential STIC report:
"Sometime
during the day of Nov. 8, 2011, a water district employee noticed
problems with a SCADA system. An information technology service and
repair company checked the computer logs of the SCADA system and
determined the system had been remotely hacked into from an Internet
provider address located in Russia."
Talking
to a local TV station, the chairman of the affected Curran-Gardner
Water District also said that there is evidence of an intrusion into
the SCADA system that allowed the pumps to be accessed remotely (the
video is also available on Krebs' blog). Weiss wondered
how these official sources could have arrived at such conflicting
analyses. The blogger expressed concern that the resulting confusion
might further delay the steps necessary to protect potentially
affected infrastructures.
Tình trạng xung quanh
vụ thâm nhập trái phép thứ 2 vào cơ sở nước ở Texas
vẫn còn chưa rõ, dù tin tặc thậm chí đã đưa ra các
hình chụp hệ thống SCADA theo yêu cầu. ICS-CERT nói rằng
vụ việc đó vẫn còn đang được điều tra. Tuy nhiên,
bất chấp liệu thực sự có những vụ thâm nhập trái
phép hay thậm chí chỉ là sự phá hoại, thì thực tế là
an ninh các hệ thống SCADA vẫn trong hình hài tồi tệ là
không bàn cãi trong các chuyên gia.
Siemens
SIMATIC được cho là đã đóng một vai trò tiêu cực đặc
biệt trong ngữ cảnh này - với các dịch vụ Telnet có sử
dụng một tập hợp tên và mật khẩu được lập trình
cứng, “basisk”, hoặc kết nối mạng đưa ra mật khẩu
mặc định, “100”. Sâu Stuxnet đã thể hiện cách mà
những tổn thương như vậy có thể bị khai thác: trong
các mạng cục bộ, nó đã sử dụng các ủy quyền truy
cập vào cơ sở dữ liệu MS SQL được lập trình cứng
để vào được các hệ thống WinCC và, từ đó, nó đã
tiếp tục phá hủy các máy li tâm làm giàu Uranium.
The
situation surrounding the second intrusion into the Texas water
utility remains unclear, although the hacker even released
screenshots of the SCADA system in question. The ICS-CERT says that
the incident is still being investigated. However, regardless of
whether there really have been intrusions or even actual vandalism,
the fact that SCADA system security is in bad shape is undisputed
among experts.
Siemens
SIMATIC has repeatedly played a particularly negative role in this
context – with Telnet services using a hard-coded
user name and password combination, "basisk", or the
network connection being given the default
password, "100". The Stuxnet worm demonstrated how such
vulnerabilities can be exploited: on local networks, it used
hard-coded
MS-SQL database access credentials to get to WinCC systems and,
from there, it proceeded to destroy Uranium enrichment centrifuges.
(crve)
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.