Security
experts put pressure on industrial control system makers
23 January 2012, 10:36
Bài được đưa lên
Internet ngày: 23/01/2012
Lời
người dịch: Sau vụ sâu Windows Stuxnet đánh vào chương
trình hạt nhân của Iran, các chuyên gia an ninh đã tập
trung vào nghiên cứu các chỗ bị tổn thương trong các hệ
thống SCADA, và nay một nhóm các chuyên gia của Threat
Level của Wired đã công bố hàng loạt chỗ bị tổn
thương như vậy mà không cần báo trước cho các hãng có
các chương trình SCADA bị tổn thương. “Trường
hợp hiện hành có liên quan tới các trình kiểm soát
logic có khả năng lập trình được (PLC) của General
Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics và
Schweitzer Engineering. Theo thông tin được đưa ra của
nhóm này, những chỗ bị tổn thương bao gồm các cửa
hậu, các mật khẩu được lập trình cứng và sự thiếu
xác thực khi tải mã nguồn lên. Một số thiết bị
như mẫu từ GE, từng có trên thị trường 20 năm qua...
Các nhà nghiên cứu nói rằng họ đã không thông báo cho
các nhà cung cấp các chỗ bị tổn thương về an ninh mà
họ đã phát hiện trước, vì họ muốn tránh dạng y hệt
các khó khăn mà Beresford đã trải qua với Siemens vào năm
ngoái. Beresford
tự thấy bị ép buộc phải hoãn một cuộc nói chuyện
về những chỗ bị tổn thương trong các sản phẩm của
Siemens sau sự can thiệp của công ty này. Theo Dale
Peterson, các nhà sản xuất đã nhận thức được nhiều
chỗ bị tổn thương mà bây giờ đã bị phát hiện,
nhưng đã đơn giản “chọn để sống chung với”
chúng”. Có thể các công ty sản xuất muốn sống
chung với các chỗ bị tổn thương, còn khi các khách
hàng “ngớ ngẩn” bị ăn đòn vì những chỗ bị tổn
thương đó thì các công ty sẽ “chạy làng” chăng???
Các quốc gia như Việt Nam khi muốn xây dựng các nhà máy
điện hạt nhân phải thật lưu ý về việc này!
Theo một báo cáo trên
blog về mức độ các mối đe dọa (Threat Level) của
Wired, một nhóm các nhà cung cấp dịch vụ an ninh đã xuất
bản những khai thác đối với những chỗ bị tổn thương
về an ninh trong các thành phần được sử dụng trong các
hệ thống kiểm soát công nghiệp có thể bị sử dụng
để gây tổn thương hoặc phá hủy các hệ thống đó.
Còn gây tranh cãi, nhóm này đã không thông báo cho các nhà
cung cấp về các lỗ hổng này trước khi thực hiện các
công bố, vì thế không cho họ cơ hội để đưa ra cho
các khách hàng của họ các bản vá đối với các chỗ
bị tổn thương đó.
Nhóm này, bao gồm cả
những nhà nghiên cứu an ninh nổi tiếng như Dillon
Beresford, Ruben Santamara và Dale Peterson, nói rằng ý định
của họ là để chỉ ra các công ty vận hành hạ tầng
sống còn cách thật dễ dàng làm sao để thâm nhập được
vào các hệ thống của họ. Các nhà nghiên cứu nói rằng
họ hy vọng tạo ra được một ý nghĩa gây sốc tương
tự đối với cộng đồng SCADA tiếp sau việc tung ra
Firesheep (con cừu lửa) vào năm ngoái. Firesheep từng là
một trình cài cắm của Firefox có khả năng ăn cắp các
cookies thuộc về những người sử dụng khác đang chia sẻ
một mạng Wifi và sử dụng chúng để đăng nhập vào các
website. Vì mức độ cao của nó về sự thân thiện với
người sử dụng, nhiều website được cho là rủi ro đối
với việc sử dụng lan truyền rộng rãi đủ cao mà họ
cảm thấy buộc phải chuyển từ giao tiếp HTTP không được
mã hóa sang HTTPS được mã hóa SSL.
Trường
hợp hiện hành có liên quan tới các trình kiểm soát
logic có khả năng lập trình được (PLC) của General
Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics và
Schweitzer Engineering. Theo thông tin được đưa ra của nhóm
này, những chỗ bị tổn thương bao gồm các cửa hậu,
các mật khẩu được lập trình cứng và sự thiếu xác
thực khi tải mã nguồn lên. Một số thiết bị như mẫu
từ GE, từng có trên thị trường 20 năm qua.
According
to a report
on Wired's Threat Level blog, a group of security service providers
have published exploits for security vulnerabilities in components
used in industrial control systems that could be used to compromise
or disrupt these systems. Controversially, the group did not inform
the vendors of these holes before making the announcement, thus
giving them no opportunity to provide their customers with patches
for the vulnerabilities.
The
group, which includes such well-known security researchers as Dillon
Beresford, Ruben Santamarta and Dale Peterson, state that their
intention is to show companies operating critical infrastructure just
how easy it is to hack their systems. The researchers say that they
hope to generate a similar sense
of shock to the SCADA community as followed the release of
Firesheep last year. Firesheep was a Firefox add-on which was able to
steal cookies belonging to other users sharing a Wi-Fi network and
use them to log onto web sites. Because of its high level of user
friendliness, many web sites considered the risk of widespread use to
be sufficiently high that they felt obliged to switch
from unencrypted HTTP communication to SSL encrypted HTTPS.
The
current case involves programmable logic controllers manufactured by
General Electric, Rockwell Automation, Schneider Modicon, Koyo
Electronics and Schweitzer Engineering. According to information
released by the group, the vulnerabilities include backdoors,
hard-coded passwords and a lack of authentication when loading code.
Some of these devices, such as the model from GE, have been on the
market for 20 years.
Các
nhà nghiên cứu nói rằng họ đã không thông báo cho các
nhà cung cấp các chỗ bị tổn thương về an ninh mà họ
đã phát hiện trước, vì họ muốn tránh dạng y hệt các
khó khăn mà Beresford đã trải qua với Siemens vào năm
ngoái. Beresford tự thấy bị ép buộc phải hoãn một cuộc
nói chuyện về những chỗ bị tổn thương trong các sản
phẩm của Siemens sau sự can thiệp của công ty này. Theo
Dale Peterson, các nhà sản xuất đã nhận thức được
nhiều chỗ bị tổn thương mà bây giờ đã bị phát
hiện, nhưng đã đơn giản “chọn để sống chung với”
chúng.
Nhóm này đã nhận
được một số chỉ trích về việc xuất bản các chỗ
bị tổn thương. Người đứng đầu của Chương trình An
ninh các Hệ thống Kiểm soát của Bộ An ninh Nội địa
đã lưu ý rằng, trong khi họ khuyến khích sự phát hiện
các chỗ bị tổn thương, thì họ tin tưởng rằng điều
này nên diễn ra chỉ khi một giải pháp cho vấn đề đó
là có sẵn sàng. Chuyên gia an ninh về SCADA của Đức là
Ralph Langner đã nói cho giới truyền thông Mỹ rằng, trong
khi ông đã hy vọng về một kết quả tích cực cho sự
kiểm thử, thì ông không muốn xuất bản những khai thác
theo cách đó.
The
researchers said that they had not informed the vendors of the
security vulnerabilities they had discovered in advance, as they
wanted to avoid the same kind of difficulties Beresford had
experienced
with Siemens last year. Beresford found himself forced to cancel a
talk on vulnerabilities in Siemens products following intervention by
the company. According to Dale Peterson, the manufacturers were
already aware of many of the vulnerabilities which have now been
revealed, but had simply "chosen to live with" them.
The
group has received some criticism for publishing the vulnerabilities.
The head of the DHS' Control
Systems Security Programme noted that, while they promote the
disclosure of vulnerabilities, they believe that this should take
place only once a solution to the problem is available. German SCADA
security specialist Ralph Langner told US media that, while he hoped
for a positive outcome to the experiment, he would not have published
the exploits in this way.
(crve)
Dịch tài liệu: Lê
Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.