Accélération des attaques sur les systèmes industriels en 2013

De plus en plus de chercheurs s'intéresseront aux systèmes de contrôle industriel (ICS) au cours de l'année à venir, mais les cyberattaques, estiment les experts en sécurité.

Systèmes de contrôle sont constitués d'un logiciel de supervision fonctionnant sur des postes de travail ou des serveurs dédiés et des dispositifs matériels programmables de type informatique qui sont connectés et contrôlent des processus électromécaniques. Ces systèmes sont utilisés pour surveiller et contrôler diverses opérations dans des installations industrielles, des installations militaires, des réseaux électriques, des systèmes de distribution d'eau et même des bâtiments publics et privés.

Certains sont utilisés dans des infrastructures critiques - les systèmes dont dépendent les grandes populations. l'électricité, l'eau potable, le transport, etc., de sorte que leur sabotage potentiel pourrait avoir de lourdes conséquences. D'autres, cependant, ne concernent que les entreprises de leurs propriétaires et leur dysfonctionnement n'aurait pas d'impact étendu

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Malware expose les failles

La sécurité de SCADA (contrôle de supervision et acquisition de données) et d'autres types de systèmes de contrôle industriels ont fait l'objet de nombreux débats dans l'industrie de la sécurité informatique depuis la découverte du malware Stuxnet en 2010.

Stuxnet a été le premier malware à cibler et infecter spécifiquement SCADA Stuxnet était une cyber-arme sophistiquée qui aurait été développée par des États-nations - apparemment des États-Unis et d'Israël - avec accès à des développeurs compétents, à des fonds illimités et à des informations détaillées sur les systèmes d'enrichissement d'uranium. à propos des faiblesses du système de contrôle.

S'attaquer aux systèmes de contrôle des infrastructures critiques nécessite une planification sérieuse, la collecte de renseignements et l'utilisation de méthodes d'accès alternatives. ds-Stuxnet a été conçu pour se propager via des périphériques USB car les systèmes informatiques de Natanz ont été isolés sur Internet, ont exploité des vulnérabilités auparavant inconnues et ciblé des configurations SCADA très spécifiques que l'on trouve uniquement sur le site. Cependant, les systèmes de contrôle qui ne font pas partie de l'infrastructure critique deviennent de plus en plus faciles à attaquer par des attaquants moins qualifiés.

C'est parce que beaucoup de ces systèmes sont connectés à Internet pour la commodité de l'administration à distance. les logiciels, les appareils et les protocoles de communication sont plus facilement accessibles que dans les jours précédant Stuxnet. Des détails sur des dizaines de vulnérabilités SCADA et ICS ont été divulgués publiquement par des chercheurs en sécurité au cours des deux dernières années, souvent accompagnés de codes d'exploitation de preuve de concept.

Nous verrons une augmentation de l'exploitation des dispositifs de contrôle accessibles sur Internet »Dale Peterson, chef de la direction de Digital Bond, une entreprise spécialisée dans la recherche et l'évaluation de la sécurité du SCI, par courriel.

Cependant, la majorité des systèmes de contrôle accessibles sur Internet ne font pas partie de La plupart des gens considéreraient l'infrastructure critique, a-t-il dit. «Ils représentent de petits systèmes municipaux, des systèmes d'automatisation de bâtiments, etc. Ils sont très importants pour l'entreprise qui les possède et les gère, mais n'affecteraient pas une grande partie de la population ou de l'économie.»

Les attaquants potentiellement intéressés en ciblant de tels systèmes, les hackers politiquement motivés tentent de faire une déclaration, les groupes hacktivistes désireux d'attirer l'attention sur leur cause, les criminels intéressés par le chantage des entreprises ou même les pirates informatiques qui se moquent ou se vantent

Un document cyberalert du FBI récemment divulgué daté du 23 juillet a révélé qu'au début de cette année, les pirates informatiques accédaient sans autorisation au système de chauffage, de ventilation et de climatisation (HVAC) de l'immeuble de bureaux d'une entreprise de climatisation du New Jersey. boîte connectée à elle - un système de contrôle de Niagara fait par Tridium. L'entreprise ciblée a installé des systèmes similaires pour les banques et autres entreprises.

La violation s'est produite après que des informations sur la vulnérabilité dans le système ICS de Niagara ont été partagées en ligne en janvier par un pirate informatique utilisant le surnom «@ntisec» (antisec). Opération AntiSec était une série d'attaques de piratage visant les organismes d'application de la loi et les institutions gouvernementales orchestrées par des pirates associés à LulzSec, Anonymous et d'autres groupes hacktivistes.

"Le 21 et le 23 Janvier 2012, un sujet inconnu posté des commentaires sur un site américain connu, intitulé « #US #SCADA #IDIOTS » et « #US #SCADA #IDIOTS partie II », « le FBI a dit dans le document divulgué.

» Ce n'est pas une question de savoir si les attaques contre les ICS sont réalisables ou non parce qu'ils », a déclaré Ruben Santamarta, chercheur en sécurité chez IOActive, un cabinet de conseil en sécurité, qui a découvert des vulnérabilités dans les systèmes SCADA par le passé. "Une fois que la motivation sera suffisamment forte, nous serons confrontés à de gros incidents … La situation géopolitique et sociale n'aide pas aussi certainement, il n'est pas ridicule de supposer que 2013 sera une année intéressante."

; Les logiciels malveillants SCADA sont également. Vitaly Kamluk, expert en chef des logiciels malveillants au fournisseur d'antivirus Kaspersky Lab, croit qu'il y aura certainement plus de logiciels malveillants ciblant les systèmes SCADA à l'avenir.

"La démonstration Stuxnet de la vulnérabilité ICS / SCADA sont ouverts une zone complètement nouvelle pour whitehat et blackhat chercheurs ", a-t-il déclaré par e-mail. «Ce sujet figurera en tête de liste pour 2013.»

Cependant, certains chercheurs en sécurité pensent que la création de tels logiciels malveillants dépasse toujours les capacités des attaquants moyens.

«Créer un logiciel malveillant qui réussira à attaquer un ICS », a déclaré Thomas Kristensen, chef de la sécurité chez Secunia, une société de renseignement et de gestion des vulnérabilités, par courrier électronique. "Cela limite aussi considérablement le nombre de personnes ou d'organisations qui sont capables de lancer une telle attaque."

"Nous ne doutons pas, cependant, que nous verrons des attaques contre ICS", a souligné Kristensen. des applications et du matériel déployé SCADA et DCS [système de contrôle distribué] ont été développés sans SDL (Security Development Lifecycle) - pensons à Microsoft à la fin des années 90 - et sont donc confrontés à des erreurs de programmation courantes qui entraînent des bogues, des vulnérabilités et exploits ", a déclaré Peterson. "Cela dit, les automates programmables et les autres appareils de terrain ne sont pas sûrs et ne nécessitent pas de vulnérabilité pour détruire un processus critique ou le modifier de manière malveillante à la Stuxnet."

La société Peterson, Digital Bond, a publié plusieurs exploits pour les vulnérabilités détectées dans de nombreux automates (contrôleurs logiques programmables) -composants matériels SCADA-de plusieurs fournisseurs en tant que modules pour le populaire framework de test de pénétration Metasploit, un outil open-source pouvant être utilisé par pratiquement tout le monde. Cela a été fait dans le cadre d'un projet de recherche appelé Project Basecamp, dont l'objectif était de montrer combien de PLCs sont fragiles et peu sûrs.

"La seule restriction à la découverte d'un grand nombre de vulnérabilités SCADA et DCS est l'accès aux équipements ", A déclaré Peterson. « Plus tentent et réussissent donc il y aura une augmentation des vulnérabilités qui seront divulgués de quelque manière que le chercheur juge approprié. »

a encore besoin de patches

Santamarta convenu qu'il est facile pour les chercheurs de trouver des vulnérabilités dans les logiciels SCADA aujourd'hui

Il existe même un marché pour les informations de vulnérabilité SCADA. ReVuln, une start-up basée à Malte et fondée par les chercheurs en sécurité Luigi Auriemma et Donato Ferrante, vend des informations sur les vulnérabilités logicielles aux agences gouvernementales et autres acheteurs privés sans les signaler aux fournisseurs concernés. Selon Donato Ferrante, plus de 40% des vulnérabilités du portefeuille de ReVuln sont actuellement des SCADA.

Selon Donato Ferrante, la tendance semble s'accroître tant pour les attaques que pour les investissements dans le domaine de la sécurité SCADA. "En fait, si nous pensons que plusieurs grandes entreprises sur le marché SCADA investissent beaucoup d'argent pour renforcer ces infrastructures, cela signifie que le sujet SCADA / ICS est et restera un sujet brûlant pour les années à venir", a déclaré Ferrante

Cependant, la sécurisation des systèmes SCADA n'est pas aussi simple que la sécurisation des infrastructures informatiques et des systèmes informatiques. Même lorsque des correctifs de sécurité pour les produits SCADA sont distribués par les fournisseurs, les propriétaires de systèmes vulnérables peuvent mettre très longtemps à les déployer.

Il existe très peu de solutions de déploiement de correctifs automatiques pour les systèmes SCADA, dit Luigi Auriemma. La plupart du temps, les administrateurs de SCADA doivent appliquer manuellement les correctifs appropriés, a-t-il dit.

"La situation est critique," a déclaré Kamluk. L'objectif principal des systèmes SCADA est le fonctionnement continu, qui ne permet normalement pas de correctifs ou de mise à jour - en installant des correctifs ou des mises à jour sans redémarrer le système ou le programme -

. être testé en profondeur avant d'être déployé dans des environnements de production car tout comportement inattendu pourrait avoir un impact significatif sur les opérations.

"Même dans les cas où un correctif existe, nous trouverons des systèmes vulnérables pendant longtemps", a déclaré Santamarta.

La plupart des experts en sécurité SCADA aimeraient que les dispositifs de contrôle industriels comme les automates soient réaménagés en gardant à l'esprit la sécurité.

«Ce dont nous avons besoin, ce sont des automates avec des mesures de sécurité basiques "Le scénario idéal est celui où les appareils industriels sont sécurisés par leur conception, mais nous devons être réalistes, cela prendra du temps", a déclaré M. Peterson. «Le secteur industriel est un monde à part, nous ne devrions pas le regarder strictement dans notre perspective informatique, mais tout le monde se rend compte que quelque chose doit être fait, y compris les fournisseurs industriels.»

En l'absence de sécurité par … Les propriétaires d'ICS devraient adopter une approche de défense en profondeur pour sécuriser ces systèmes, a déclaré M. Santamarta. "Considérant qu'il existe des protocoles industriels non sécurisés par défaut, il est logique d'ajouter des atténuations et différentes couches de protection."

"Déconnecter ICS de l'Internet, le placer dans un segment de réseau isolé et limiter / vérifier strictement "Les propriétaires d'infrastructures critiques devraient réaliser que des réseaux séparés, ou au moins des références distinctes, sont nécessaires pour accéder à l'infrastructure critique", a déclaré M. Kristensen. «Aucun administrateur sensé et conscient de la sécurité ne se connecterait à l'un de ses systèmes en utilisant des informations d'identification administratives et accéderait à l'Internet hostile et lirait des courriels, ce qui devrait également s'appliquer à ICS, utiliser un ensemble d'informations d'identification pour accéder à la session ICS. accéder à votre session de connexion Internet en utilisant une configuration de bureau virtuelle et / ou distante. "

Règlement débattu

La nécessité d'une réglementation gouvernementale qui obligerait les opérateurs d'infrastructures critiques à sécuriser leurs systèmes de contrôle industriel a été un sujet chaudement débattu. De nombreux experts en sécurité SCADA conviennent que ce pourrait être un bon point de départ. Cependant, peu de progrès ont été réalisés jusqu'à présent dans la réalisation de cet objectif.

"La réglementation gouvernementale la plus ambitieuse, NERC CIP pour le secteur nord-américain de l'électricité, a été un échec", a déclaré Peterson. «La plupart aimeraient une réglementation gouvernementale réussie mais ne peuvent pas identifier ce que cela serait.»

«Je voudrais simplement que le gouvernement soit honnête et déclare à haute voix que ces systèmes ne sont pas sûrs et que les organisations gèrent l'infrastructure critique. DCS devrait avoir un plan pour améliorer ou remplacer ces systèmes d'ici un à trois ans », a-t-il dit.

La réglementation gouvernementale serait extrêmement utile, a ajouté M. Kamluk. Certains fournisseurs SCADA sacrifient la sécurité pour des économies de coûts de développement sans tenir compte des risques de telles décisions et de leur impact potentiel sur les vies humaines, dit-il.

Plus tôt cette année, Kaspersky Lab a révélé des plans pour développer un OS sécurisé. environnement de conception pour l'exploitation de SCADA et d'autres systèmes ICS. L'idée derrière le système d'exploitation est de garantir qu'aucune fonctionnalité non déclarée ne pourra fonctionner dessus, ce qui empêcherait les pirates d'exécuter du code malveillant en exploitant des vulnérabilités non corrigées.

Bien que cela semble être un projet intéressant, il reste à voir comment la communauté SCADA et le secteur de l'industrie vont y réagir, dit Santamarta.

"Il n'y a pas assez de détails sur le nouvel OS pour évaluer ses caractéristiques". «Pour ce faire, nous devrons attendre une version officielle, mais le principal problème lors de l'adoption d'un nouveau système d'exploitation est qu'il doit pouvoir exécuter les systèmes SCADA existants sans avoir à réécrire leur code.»