Stuxnet gầm rú khi những chỗ bị tổn thương vẫn còn

Stuxnet issues rumble on as vulnerabilities remain

By Stewart Mitchell

Posted on 9 Nov 2012 at 11:30

Theo: http://www.pcpro.co.uk/news/security/378046/stuxnet-issues-rumble-on-as-vulnerabilities-remain

Bài được đưa lên Internet ngày: 09/11/2012

Lời người dịch: Hơn 2 năm sau khi phát hiện được Stuxnet “phần mềm kiểm soát của Siemens bị ngắm trong cuộc tấn công đó vẫn còn bị tổn thương, theo công ty kiểm thử khả năng bị tổn thương Positive Technologies... Các hệ thống ICS/SCADA hiện nay trong đoàn tàu và tàu điện ngầm tốc độ cao, trong các đường ống dẫn dầu và khí, các nhà máy hạt nhân, các nhà máy thủy điện, các mạng quản lý cung cấp nước và điện... Trong giai đoạn từ 2005-2010, chỉ có 9 chỗ bị tổn thương trong các hệ thống kiểm soát công nghiệp đã được phát hiện; trong khi trong năm 2011, sau khi dò tìm ra sâu Stuxnet, 64 chỗ bị tổn thương đã được phát hiện. Trong 8 tháng đầu năm 2012, 98 chỗ bị tổn thương mới đã được báo cáo - còn nhiều hơn tổng các năm trước đó cộng lại”. Lỗi thì ngày càng nhiều, mà sửa thì lại rất chậm, là sự đáng sợ của các hệ thống kiểm soát công nghiệp ngày nay.

Mưa phóng xạ từ Stuxnet tiếp tục gầm rú, với các công ty an ninh kêu các lỗi tương tự trong các kiểm soát các hệ thống công nghiệp khác và nạn nhân khcacs của vũ khí không gian mạng gốc ban đầu đang nổi lên.

Stuxnet từng được nói rộng rãi như là vũ khí KGM đầu tiên bám theo các cuộc tấn công vào chương trình hạt nhân của Iran được tin là từng được các lực lượng Mỹ và Israel tiến hành.

Vâng hơn 2 năm sau công cụ đầu tiên này ra đời, phần mềm kiểm soát của Siemens bị ngắm trong cuộc tấn công đó vẫn còn bị tổn thương, theo công ty kiểm thử khả năng bị tổn thương Positive Technologies.

WinCC là một trình kiểm soát SCADA (Supervisory Control And Data Acquisition), và bất chấp các vấn đề được phát hiện tại Iran thì nhiều lổi vẫn còn. “Dễ dàng để thấy một chỗ bị tổn thương trong WinCC - bạn có thể chỉ vào nó”, Sergey Gordeychik, CTO của Positive Technologies đã nói cho Computer World sau khi hoãn một cuộc nói chuyện kỹ thuật để cho Siemens có nhiều thời gian hơn để sửa các chỗ bị tổn thương mới được phát hiện.

Các bình luận tới khi công ty đó đã phát hiện các sự việc chỉ ra một sự gia tăng đáng kể số lược các chỗ bị tổn thương của SCADA kể từ các cuộc tấn công vào Iran.

“Các hệ thống ICS/SCADA hiện nay trong đoàn tàu và tàu điện ngầm tốc độ cao, trong các đường ống dẫn dầu và khí, các nhà máy hạt nhân, các nhà máy thủy điện, các mạng quản lý cung cấp nước và điện”, công ty này nói.

“Dễ tưởng tượng những gì có thể xảy ra trong trường hợp một hệ thống hỏng trong một cơ sở xảy ra như một kết quả của một cuộc tấn công của các tin tặc. Số lượng các mối đe dọa như vậy đang gia tăng suốt theo thời gian”.

“Trong giai đoạn từ 2005-2010, chỉ có 9 chỗ bị tổn thương trong các hệ thống kiểm soát công nghiệp đã được phát hiện; trong khi trong năm 2011, sau khi dò tìm ra sâu Stuxnet, 64 chỗ bị tổn thương đã được phát hiện. Trong 8 tháng đầu năm 2012, 98 chỗ bị tổn thương mới đã được báo cáo - còn nhiều hơn tổng các năm trước đó cộng lại”.

Theo Positive Technologies, các nhà sản xuất các hệ thống công nghiệp quá chậm để sửa các chỗ bị tổn thương khi chúng được chỉ ra, với 20% các lỗ hổng tiềm tàng còn để lại chưa được sửa cho ít nhất là 1 tháng.

“Hầu hết những khiếm khuyết về an ninh được sửa khá hiệu quả từ các nhà cung cấp thành phần ICS trước khi chúng trở nên được biết rộng rãi hoặc trong vòng 30 ngày được mở ra không được phối hợp”, hãng này nói. “Khoảng mỗi 1/5 chỗ bị tổn thương đã được sửa với một sự chậm trễ đáng kể, hoặc từng không được sửa trong những trường hợp nhất định. Ví dụ, Siemens đã sửa và tung ra các bản vá cho 92% các chỗ bị tổn thương, trong khi Schneider Electric đã sửa được chỉ 56% các khiếm khuyết về an ninh”.

Mối đe dọa lớn hơn

Mối đe dọa được đặt ra bởi sự lây nhiễm tiếp tục như một kết quả của các cuộc tấn công SCADA từng được nhấn mạnh sau những tiết lội tươi mới mà phần mềm độc hại đó cũng đã lây nhiễm cho các hệ thống của công ty Chevron khi phần mềm độc hại Stuxnet đã thoát ra môi trường hoang dã vào năm 2010.

“Tôi không nghĩa chính phủ Mỹ thậm chí đã nhận thức được nó đã lan truyền xa tới mức nào”, Mark Koelmel, tổng giám đốc của phòng khoa học mặt đất của Chevron, nói, theo Tạp chí Phố Uôn. “Tôi nghĩ sự hạ cánh của những gì họ đã làm sẽ còn tệ hơn nhiều so với họ thực sự hoàn thành”.

The fallout from Stuxnet continues to rumble on, with security companies claiming similar flaws in other industrial systems controls and another victim of the original cyber weapon emerging.

Stuxnet has been widely claimed as the first cyberwar weapon following attacks on Iran's nuclear programme believed to have been undertaken by US and Israeli forces.

Yet more than two years after the tool first came to light, the Siemens control software targeted in the attack remains vulnerable, according to vulnerability testing company Positive Technologies.

The company claims the ICS and SCADA software that controls industrial hardware is riddled with problems, and the specific WinCC software attacked in Iran still contains multiple vulnerabilities.

WinCC is a SCADA (Supervisory Control And Data Acquisition) controller, and despite the problems revealed in Iran many flaws remain. "It's easy to find a vulnerability in WinCC - you can just point at it,” Sergey Gordeychik, Positive Technologies CTO told Computer World after cancelling a technical talk to give Siemens more time to fix newly revealed vulnerabilities.

The comments come as the company revealed figures showing a significant rise in the number of SCADA vulnerabilities since the Iranian attacks.

“The ICS/SCADA systems are present in high-speed trains and subway trains, oil and gas pipelines, nuclear power plants, hydroelectricity plants, electric power and water supply management networks,” the company said.

“It is easy to imagine what may happen in case a system failure in a facility occurs as a result of a hacker attack. The number of such threats is growing all the time."

“During the period from 2005 to early 2010, only 9 vulnerabilities in industrial control systems were discovered; while in 2011, after the detection of the Stuxnet worm, 64 vulnerabilities were discovered. For the first 8 months of 2012, 98 new vulnerabilities were reported — more than during the previous years put together.”

According to Positive Technologies, industrial systems manufacturers are too slow to fix vulnerabilities when they are pointed put, with 20% of potential holes left unfixed for at least a month.

“Most security defects are fixed rather efficiently by the ICS component vendors before they became widely known or within 30 days of uncoordinated disclosure,” the company said. “Approximately every fifth vulnerability was fixed with a significant delay, or was not fixed in certain cases. For instance, Siemens fixed and released patches for 92% of vulnerabilities, while Schneider Electric fixed only 56% of security defects.”

Wider threat

The threat posed by further infection as a result of SCADA attacks has been highlighted after fresh revelations that the malware also infected US oil company Chevron's systems when the Stuxnet malware escaped into the wild in 2010.

“I don’t think the US government even realised how far it had spread,” said Mark Koelmel, general manager of the earth sciences department at Chevron, according to the Wall Street Journal. “I think the downside of what they did is going to be far worse than what they actually accomplished."

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com