Stuxnet
issues rumble on as vulnerabilities remain
By
Stewart Mitchell
Posted
on 9 Nov 2012 at 11:30
Theo:
http://www.pcpro.co.uk/news/security/378046/stuxnet-issues-rumble-on-as-vulnerabilities-remain
Bài
được đưa lên Internet ngày: 09/11/2012
Lời
người dịch: Hơn 2 năm sau khi phát hiện được Stuxnet
“phần mềm kiểm soát của Siemens bị ngắm trong cuộc
tấn công đó vẫn còn bị tổn thương, theo công ty
kiểm thử khả năng bị tổn thương Positive Technologies...
Các hệ thống ICS/SCADA hiện nay trong đoàn tàu và tàu
điện ngầm tốc độ cao, trong các đường ống dẫn dầu
và khí, các nhà máy hạt nhân, các nhà máy thủy điện,
các mạng quản lý cung cấp nước và điện... Trong giai
đoạn từ 2005-2010, chỉ có 9 chỗ bị tổn thương
trong các hệ thống kiểm soát công nghiệp đã được
phát hiện; trong khi trong năm 2011, sau khi dò tìm ra sâu
Stuxnet, 64 chỗ bị tổn thương đã được phát hiện.
Trong 8 tháng đầu năm 2012, 98 chỗ bị tổn thương mới
đã được báo cáo - còn nhiều hơn tổng các năm trước
đó cộng lại”. Lỗi thì ngày càng nhiều, mà sửa
thì lại rất chậm, là sự đáng sợ của các hệ thống
kiểm soát công nghiệp ngày nay.
Mưa
phóng xạ từ Stuxnet tiếp tục gầm rú, với các công ty
an ninh kêu các lỗi tương tự trong các kiểm soát các hệ
thống công nghiệp khác và nạn nhân khcacs của vũ khí
không gian mạng gốc ban đầu đang nổi lên.
Stuxnet
từng được nói rộng rãi như là vũ khí KGM đầu tiên
bám theo các cuộc tấn công vào chương trình hạt nhân
của Iran được tin là từng được các lực lượng Mỹ
và Israel tiến hành.
Vâng
hơn 2 năm sau công cụ đầu tiên này ra đời, phần mềm
kiểm soát của Siemens bị ngắm trong cuộc tấn công đó
vẫn còn bị tổn thương, theo công ty kiểm thử khả năng
bị tổn thương Positive Technologies.
WinCC
là một trình kiểm soát SCADA (Supervisory Control And Data
Acquisition), và bất chấp các vấn đề được phát hiện
tại Iran thì nhiều lổi vẫn còn. “Dễ dàng để thấy
một chỗ bị tổn thương trong WinCC - bạn có thể chỉ
vào nó”, Sergey Gordeychik, CTO của Positive Technologies đã
nói cho Computer World sau khi hoãn một cuộc nói chuyện kỹ
thuật để cho Siemens có nhiều thời gian hơn để sửa
các chỗ bị tổn thương mới được phát hiện.
Các
bình luận tới khi công ty đó đã phát hiện các sự việc
chỉ ra một sự gia tăng đáng kể số lược các chỗ bị
tổn thương của SCADA kể từ các cuộc tấn công vào
Iran.
“Các
hệ thống ICS/SCADA hiện nay trong đoàn tàu và tàu điện
ngầm tốc độ cao, trong các đường ống dẫn dầu và
khí, các nhà máy hạt nhân, các nhà máy thủy điện, các
mạng quản lý cung cấp nước và điện”, công ty này
nói.
“Dễ
tưởng tượng những gì có thể xảy ra trong trường hợp
một hệ thống hỏng trong một cơ sở xảy ra như một
kết quả của một cuộc tấn công của các tin tặc. Số
lượng các mối đe dọa như vậy đang gia tăng suốt theo
thời gian”.
“Trong
giai đoạn từ 2005-2010, chỉ có 9 chỗ bị tổn thương
trong các hệ thống kiểm soát công nghiệp đã được
phát hiện; trong khi trong năm 2011, sau khi dò tìm ra sâu
Stuxnet, 64 chỗ bị tổn thương đã được phát hiện.
Trong 8 tháng đầu năm 2012, 98 chỗ bị tổn thương mới
đã được báo cáo - còn nhiều hơn tổng các năm trước
đó cộng lại”.
Theo
Positive Technologies, các nhà sản xuất các hệ thống công
nghiệp quá chậm để sửa các chỗ bị tổn thương khi
chúng được chỉ ra, với 20% các lỗ hổng tiềm tàng còn
để lại chưa được sửa cho ít nhất là 1 tháng.
“Hầu
hết những khiếm khuyết về an ninh được sửa khá hiệu
quả từ các nhà cung cấp thành phần ICS trước khi chúng
trở nên được biết rộng rãi hoặc trong vòng 30 ngày
được mở ra không được phối hợp”, hãng này nói.
“Khoảng mỗi 1/5 chỗ bị tổn thương đã được sửa
với một sự chậm trễ đáng kể, hoặc từng không được
sửa trong những trường hợp nhất định. Ví dụ, Siemens
đã sửa và tung ra các bản vá cho 92% các chỗ bị tổn
thương, trong khi Schneider Electric đã sửa được chỉ 56%
các khiếm khuyết về an ninh”.
Mối
đe dọa lớn hơn
Mối
đe dọa được đặt ra bởi sự lây nhiễm tiếp tục như
một kết quả của các cuộc tấn công SCADA từng được
nhấn mạnh sau những tiết lội tươi mới mà phần mềm
độc hại đó cũng đã lây nhiễm cho các hệ thống của
công ty Chevron khi phần mềm độc hại Stuxnet đã thoát ra
môi trường hoang dã vào năm 2010.
“Tôi
không nghĩa chính phủ Mỹ thậm chí đã nhận thức được
nó đã lan truyền xa tới mức nào”, Mark Koelmel, tổng
giám đốc của phòng khoa học mặt đất của Chevron, nói,
theo Tạp chí Phố Uôn. “Tôi nghĩ sự hạ cánh của những
gì họ đã làm sẽ còn tệ hơn nhiều so với họ thực
sự hoàn thành”.
The
fallout
from Stuxnet
continues to rumble on, with security companies claiming similar
flaws in other industrial systems controls and another victim of the
original cyber weapon emerging.
Stuxnet
has been widely claimed as the first cyberwar weapon following
attacks on Iran's nuclear programme believed to have been undertaken
by US and Israeli forces.
Yet
more than two years after the tool first came to light, the Siemens
control software targeted in the attack remains vulnerable, according
to vulnerability testing company Positive Technologies.
The
company claims the ICS and SCADA software that controls industrial
hardware is riddled with problems, and the specific WinCC software
attacked in Iran still contains multiple vulnerabilities.
WinCC
is a SCADA (Supervisory Control And Data Acquisition) controller, and
despite the problems revealed in Iran many flaws remain. "It's
easy to find a vulnerability in WinCC - you can just point at it,”
Sergey Gordeychik, Positive Technologies CTO told Computer
World
after cancelling a technical talk to give Siemens more time to fix
newly revealed vulnerabilities.
The
comments come as the company revealed figures showing a significant
rise in the number of SCADA vulnerabilities since the Iranian
attacks.
“The
ICS/SCADA systems are present in high-speed trains and subway trains,
oil and gas pipelines, nuclear power plants, hydroelectricity plants,
electric power and water supply management networks,” the company
said.
“It
is easy to imagine what may happen in case a system failure in a
facility occurs as a result of a hacker attack. The number of such
threats is growing all the time."
“During
the period from 2005 to early 2010, only 9 vulnerabilities in
industrial control systems were discovered; while in 2011, after the
detection of the Stuxnet worm, 64 vulnerabilities were discovered.
For the first 8 months of 2012, 98 new vulnerabilities were reported
— more than during the previous years put together.”
According
to Positive Technologies, industrial systems manufacturers are too
slow to fix vulnerabilities when they are pointed put, with 20% of
potential holes left unfixed for at least a month.
“Most
security defects are fixed rather efficiently by the ICS component
vendors before they became widely known or within 30 days of
uncoordinated disclosure,” the company said. “Approximately every
fifth vulnerability was fixed with a significant delay, or was not
fixed in certain cases. For instance, Siemens fixed and released
patches for 92% of vulnerabilities, while Schneider Electric fixed
only 56% of security defects.”
Wider
threat
The
threat posed by further infection as a result of SCADA attacks has
been highlighted after fresh revelations that the malware also
infected US oil company Chevron's systems when the Stuxnet malware
escaped into the wild in 2010.
“I
don’t think the US government even realised how far it had spread,”
said Mark Koelmel, general manager of the earth sciences department
at Chevron, according to the Wall
Street Journal.
“I think the downside of what they did is going to be far worse
than what they actually accomplished."
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.