Các chuyên gia an ninh ép các nhà sản xuất hệ thống kiểm soát công nghiệp

Security experts put pressure on industrial control system makers

23 January 2012, 10:36

Theo: http://www.h-online.com/security/news/item/Security-experts-put-pressure-on-industrial-control-system-makers-1418921.html

Bài được đưa lên Internet ngày: 23/01/2012

Lời người dịch: Sau vụ sâu Windows Stuxnet đánh vào chương trình hạt nhân của Iran, các chuyên gia an ninh đã tập trung vào nghiên cứu các chỗ bị tổn thương trong các hệ thống SCADA, và nay một nhóm các chuyên gia của Threat Level của Wired đã công bố hàng loạt chỗ bị tổn thương như vậy mà không cần báo trước cho các hãng có các chương trình SCADA bị tổn thương. “Trường hợp hiện hành có liên quan tới các trình kiểm soát logic có khả năng lập trình được (PLC) của General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics và Schweitzer Engineering. Theo thông tin được đưa ra của nhóm này, những chỗ bị tổn thương bao gồm các cửa hậu, các mật khẩu được lập trình cứng và sự thiếu xác thực khi tải mã nguồn lên. Một số thiết bị như mẫu từ GE, từng có trên thị trường 20 năm qua... Các nhà nghiên cứu nói rằng họ đã không thông báo cho các nhà cung cấp các chỗ bị tổn thương về an ninh mà họ đã phát hiện trước, vì họ muốn tránh dạng y hệt các khó khăn mà Beresford đã trải qua với Siemens vào năm ngoái. Beresford tự thấy bị ép buộc phải hoãn một cuộc nói chuyện về những chỗ bị tổn thương trong các sản phẩm của Siemens sau sự can thiệp của công ty này. Theo Dale Peterson, các nhà sản xuất đã nhận thức được nhiều chỗ bị tổn thương mà bây giờ đã bị phát hiện, nhưng đã đơn giản “chọn để sống chung với” chúng”. Có thể các công ty sản xuất muốn sống chung với các chỗ bị tổn thương, còn khi các khách hàng “ngớ ngẩn” bị ăn đòn vì những chỗ bị tổn thương đó thì các công ty sẽ “chạy làng” chăng??? Các quốc gia như Việt Nam khi muốn xây dựng các nhà máy điện hạt nhân phải thật lưu ý về việc này!

Theo một báo cáo trên blog về mức độ các mối đe dọa (Threat Level) của Wired, một nhóm các nhà cung cấp dịch vụ an ninh đã xuất bản những khai thác đối với những chỗ bị tổn thương về an ninh trong các thành phần được sử dụng trong các hệ thống kiểm soát công nghiệp có thể bị sử dụng để gây tổn thương hoặc phá hủy các hệ thống đó. Còn gây tranh cãi, nhóm này đã không thông báo cho các nhà cung cấp về các lỗ hổng này trước khi thực hiện các công bố, vì thế không cho họ cơ hội để đưa ra cho các khách hàng của họ các bản vá đối với các chỗ bị tổn thương đó.

Nhóm này, bao gồm cả những nhà nghiên cứu an ninh nổi tiếng như Dillon Beresford, Ruben Santamara và Dale Peterson, nói rằng ý định của họ là để chỉ ra các công ty vận hành hạ tầng sống còn cách thật dễ dàng làm sao để thâm nhập được vào các hệ thống của họ. Các nhà nghiên cứu nói rằng họ hy vọng tạo ra được một ý nghĩa gây sốc tương tự đối với cộng đồng SCADA tiếp sau việc tung ra Firesheep (con cừu lửa) vào năm ngoái. Firesheep từng là một trình cài cắm của Firefox có khả năng ăn cắp các cookies thuộc về những người sử dụng khác đang chia sẻ một mạng Wifi và sử dụng chúng để đăng nhập vào các website. Vì mức độ cao của nó về sự thân thiện với người sử dụng, nhiều website được cho là rủi ro đối với việc sử dụng lan truyền rộng rãi đủ cao mà họ cảm thấy buộc phải chuyển từ giao tiếp HTTP không được mã hóa sang HTTPS được mã hóa SSL.

Trường hợp hiện hành có liên quan tới các trình kiểm soát logic có khả năng lập trình được (PLC) của General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics và Schweitzer Engineering. Theo thông tin được đưa ra của nhóm này, những chỗ bị tổn thương bao gồm các cửa hậu, các mật khẩu được lập trình cứng và sự thiếu xác thực khi tải mã nguồn lên. Một số thiết bị như mẫu từ GE, từng có trên thị trường 20 năm qua.

According to a report on Wired's Threat Level blog, a group of security service providers have published exploits for security vulnerabilities in components used in industrial control systems that could be used to compromise or disrupt these systems. Controversially, the group did not inform the vendors of these holes before making the announcement, thus giving them no opportunity to provide their customers with patches for the vulnerabilities.

The group, which includes such well-known security researchers as Dillon Beresford, Ruben Santamarta and Dale Peterson, state that their intention is to show companies operating critical infrastructure just how easy it is to hack their systems. The researchers say that they hope to generate a similar sense of shock to the SCADA community as followed the release of Firesheep last year. Firesheep was a Firefox add-on which was able to steal cookies belonging to other users sharing a Wi-Fi network and use them to log onto web sites. Because of its high level of user friendliness, many web sites considered the risk of widespread use to be sufficiently high that they felt obliged to switch from unencrypted HTTP communication to SSL encrypted HTTPS.

The current case involves programmable logic controllers manufactured by General Electric, Rockwell Automation, Schneider Modicon, Koyo Electronics and Schweitzer Engineering. According to information released by the group, the vulnerabilities include backdoors, hard-coded passwords and a lack of authentication when loading code. Some of these devices, such as the model from GE, have been on the market for 20 years.

Các nhà nghiên cứu nói rằng họ đã không thông báo cho các nhà cung cấp các chỗ bị tổn thương về an ninh mà họ đã phát hiện trước, vì họ muốn tránh dạng y hệt các khó khăn mà Beresford đã trải qua với Siemens vào năm ngoái. Beresford tự thấy bị ép buộc phải hoãn một cuộc nói chuyện về những chỗ bị tổn thương trong các sản phẩm của Siemens sau sự can thiệp của công ty này. Theo Dale Peterson, các nhà sản xuất đã nhận thức được nhiều chỗ bị tổn thương mà bây giờ đã bị phát hiện, nhưng đã đơn giản “chọn để sống chung với” chúng.

Nhóm này đã nhận được một số chỉ trích về việc xuất bản các chỗ bị tổn thương. Người đứng đầu của Chương trình An ninh các Hệ thống Kiểm soát của Bộ An ninh Nội địa đã lưu ý rằng, trong khi họ khuyến khích sự phát hiện các chỗ bị tổn thương, thì họ tin tưởng rằng điều này nên diễn ra chỉ khi một giải pháp cho vấn đề đó là có sẵn sàng. Chuyên gia an ninh về SCADA của Đức là Ralph Langner đã nói cho giới truyền thông Mỹ rằng, trong khi ông đã hy vọng về một kết quả tích cực cho sự kiểm thử, thì ông không muốn xuất bản những khai thác theo cách đó.

The researchers said that they had not informed the vendors of the security vulnerabilities they had discovered in advance, as they wanted to avoid the same kind of difficulties Beresford had experienced with Siemens last year. Beresford found himself forced to cancel a talk on vulnerabilities in Siemens products following intervention by the company. According to Dale Peterson, the manufacturers were already aware of many of the vulnerabilities which have now been revealed, but had simply "chosen to live with" them.

The group has received some criticism for publishing the vulnerabilities. The head of the DHS' Control Systems Security Programme noted that, while they promote the disclosure of vulnerabilities, they believe that this should take place only once a solution to the problem is available. German SCADA security specialist Ralph Langner told US media that, while he hoped for a positive outcome to the experiment, he would not have published the exploits in this way.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com