Vírustámadás: készülhetnek az iparvállalatok és a közüzemek

3 hozzászólás
  • Komoly pusztítást végzett a pénteki zsarolóvírus világszerte. A vírus főleg céges hálózatokra kötött gépeket támadott meg.
  • A támadás ráirányítja a figyelmet arra, hogy a hekkertársadalom egyre jövedelmezőbb üzletnek tekinti a nagy rendszerek megzavarását és a zsarolást. 
  • A nagy iparvállalatok és közüzemek nagyon kiszolgáltatottak, mivel olyan rendszereket üzemeltetnek, amelyeket nem lehet minden nap frissíteni. 
  • Azok, aki ma az irodai rendszereket zsarolják, hamarosan a közüzemeket és az ipari létesítményeket is fogják. Nehezebb feladat, de nagy kárt okoz, így nagy váltságdíjat is lehet kérni érte.
  • Az IBM Security szerint tavaly több mint 100 százalékkal nőtt az ilyen támadások száma a világban.

Jelentős fennakadásokat okozott pénteken a világban egy meglehetősen egyszerű zsarolóvírus. Az IT-biztonsággal foglalkozó szakemberek szerint egységes támadásról volt szó, amelyben a WannaCry névre keresztelt kártevő különféle variánsai támadtak meg olyan Windows-os gépeket, amelyeken március óta nem frissítették az operációs rendszert, hiszen a vírusnak azóta létezik ellenszere.

A vírus előbb a brit egészségügyi intézmények rendszereit blokkolta, majd a világ számos országában, főleg céges hálózatokat támadott meg, mindenütt 300-600 dollárnak megfelelő Bitcoint (1 Bitcoin=1723 dollár) követelve a gépek működési rendjének visszaállításáért. A mostani támadás irodai rendszerek ellen irányult, de kaptunk némi ízelítőt abból, hogy mi történne, ha nagy iparvállalatokat, vagy közüzemeket érne célzott kibertámadás, hiszen a híradások szerint a WannaCry fennakadásokat okozott a német vasúti üzemben és több nagy autógyárban is.

Az információbiztonsági szakma régóta hangoztatja, hogy ezek a hálózatok jellemzően nagyon sérülékenyek, aminek a 2010-es stuxnet botrány az egyik élő bizonyítéka (akkor kártékony kóddal támadták az iráni urániumdúsító berendezéseket). Az ipari és közüzemi szolgáltatások kiszolgáltatottságának hátterében az áll, hogy a dolgok távvezérlése, extraneten keresztül megvalósuló kontrollja és a távolról történő beavatkozások lehetősége először az ipar területén terjedt el, hiszen itt volt rájuk a legnagyobb szükség: az iparban, logisztikában, városüzemeltetésben számtalan olyan pont van, ahova embernek bemenni egyáltalán nem ajánlatos, vagy komolyabb leállás nélkül eleve lehetetlen is, gondoljunk például egy kőolajvezetékre. Ugyanitt nagy jelentősége van a központból irányított gyors beavatkozásnak, erre kitűnő példa egy városi csomópont, ahol a kiszállás néha eleve lehetetlen, mert mire az üzemeltető járműve odaérne, addigra a terület megközelíthetetlenné válik a dugótól.

Nem véletlen tehát, hogy a távolból, szenzorok jelzései alapján vezérelt rendszerek az iparban és a közmű ellátásban jelentek meg először, Budapest ivóvíz ellátását például már a 80-as évektől vezérelte Máté Ágnes Tahitótfaluban felépített rendszere. (Ma ezeket PLC-nek, Programmable Logic Controllernek nevezzük.) A 80-as években azonban még nem volt internet, azt pedig végképp nem sejthették a fejlesztők, hogy a szenzorok adatainak áramlásához idővel nem kell majd vezeték, mi több, költséges magánhálózat. Maga a vezérlő központ pedig nem a saját géptermükben működik, hanem felhőbe lesz telepítve. A rendszerek tehát kiépültek, de zárt, szigetszerű hálózatok voltak, amelynek egységei kábeleken keresztül érintkeztek egymással.

Ez a felállás változott meg a 2000-es években, amikor a régi hálózatok részben elöregedtek, részben világossá vált, hogy hálózatot üzemeltetni messze az interneten keresztül lehet a leggyorsabban és legolcsóbban. A váltás sok esetben nem járt együtt a régi rendszerek (szenzorok, szelepek, fékek, relék stb.) lecserélésével, hiszen azok remekül működtek, cseréjük pedig bonyolult és költséges eljárás. Egyszerűen annyi történt, hogy az adatátvitel kiköltözött a vezeték nélküli internetre, és maga a PLC is felköltözött a felhőbe.

A felhő

A felhő gyors, olcsó és hatékony. A villás emelőtől, a vonatokon át számos eszköz jelenti a működési jellemzőit, hogy a gyártó preventív maintenance-el javítsa az adott eszköz élettartamát. A gazda gyakran észre sem veszi a hibát, a gyártó a gép jelzése alapján már ki is javította a kombájn hibáját. Egy GPS-el vezérelt kombájnt azonban a betakarítás idején senki nem fog szervizbe vinni rendszerfrissítésre pusztán azért, mert újabb cyber fenyegetésre találtak javítómegoldást a fejlesztők. Az ilyen résekbe hekkerek ezrei hatolhatnak be, bár nagy hasznot aligha hajtanak a támadóknak.

Az ilyen rendszerek sajátossága, hogy az üzemeltetők mindent az üzembiztonságnak rendelnek alá, okkal. Sok millió ember ellátása, közlekedése, óriási üzemek működése múlik azon, hogy ezek megbízhatóan működjenek. Ez egyúttal azt is jelenti, hogy nem lehet minden nap megvalósítani rajtuk a legújabb biztonsági fejlesztéseket, vagy telepíteni a szoftvereket. Mindent hónapokon át kell tesztelni, mielőtt bármit élesítenek a szakemberek, hiszen nagyon kevés az a karbantartásra szánt leállási idő, amit az üzemi működés sajátossága megenged.

A teszt maga ráadásul a szoftverfejlesztések legköltségesebb szakasza, egy ilyen rendszer egyszerű frissítésének költségeiből a tesztelés átlagosan 70, kiemelt biztonsági megoldásnál pedig inkább 80 százalékot tesz ki, ami miatt a fejlesztők, de az üzemeltetők sem lelkesednek az újabb és újabb frissítésekért. Ezzel ellentétben a hekkerszakma gyorsan fejlődik, amit jól mutatnak az elmúlt évek témával foglalkozó kutatásai.

Mindennek következtében a támadók és a potenciális célpontok közötti technológiai olló kinyílt, nyugodtan mondhatjuk, hogy a nagy iparvállalatok és a hálózatos közüzemek rendszerei biztonsági szempontból több éves lemaradásban vannak a hekkertámadásokra gyorsan reagáló információbiztonsági fejlesztésektől, vagyis rendkívüli módon sebezhetők.

Speciális rendszerek

Az iparban a stabil működés speciális szaktudást, és speciális rendszereket igényel. Nagyon kevés a PLC programozó és még kevesebb, akinek gyakorlata is van ebben. Nem elegendő ugyanis egy PC Java fejlesztői környezet. A PLC-k világában a fejlesztéshez komoly laboratóriumra van szükség, hogy a megírt vezérlő programokat letölthessék és kipróbálhassák a vezérlendő eszközön, hiszen az emulációs teszt itt csak egy pontig elegendő a stabil üzemelés biztosítására. Magánszemélyek eleve nehezen jutnak hozzá ilyen laborokhoz, vagy a gyártók adnak bérbe fejlesztő laboridőt, vagy az egyetemeken létesítenek laboratóriumi környezetet. A BME például most vásárolta be a legnagyobb gyártók modelljeit, hogy legyen min tanítani. Korábban az iparból levetett eszközökön lehetett tanulni.

A támadók alapvetően profitorientált közösségek, akik sokszor találnak jövedelmezőbb célpontokat ezeknél az üzemeknél, bár erről igazából kevés az információnk. Aligha fűződik kétség ahhoz, hogy az ilyen létesítmények és közüzemek elleni sikeres támadások egy része nem jut a tudomásunkra, mert a megzsarolt üzemeltető fizet, és ezt nem szívesen hozza a nagyérdemű publikum (és persze a többi hekker) tudomására.

Tavaly novemberben San Francisco közlekedési ügynöksége (MTA) arra kényszerült, hogy ingyen üzemeltesse járatait, miután 2200 számítógépét zárolták hekkerek egy régóta ismert zsarolóvírussal. A támadók összesen 100 Bitcoint kértek azért, hogy felszabadítsák a gépeket. A közelmúltban azonban találtak kémvírust a Siemens PLC-in, zsaroltak vírussal más gyárakat és egészségügyi intézményeket. Az IBM Managed Security Services jelentése szerint 2016-ban az ipari létesítmények ellen indított támadások száma 110 százalékkal nőtt a megelőző évhez képest. Miközben tehát a mobilunk, az okosóránk, a laptopunk és általában az Internet of Things, azaz a mindennapi életünk digitalizációja kapcsán mindenki a biztonságot emlegeti, az ipari létesítmények kitettek a külső behatolásoknak.

A problémát felismerte az Európai Unió is, amely most írt ki egy tendert az energetikai szektor kiber-érintettségének fejlesztésére , a kritikus infrastruktúrával pedig hatósági szinten foglalkoznak. A kiemelt üzemeknek jelentési kötelezettséget írtak elő minden külső behatolási kísérlet észlelése esetén. Ezen túlmenően az autógyárak, vagy nem kiemelt jelentőségű vegyi üzemek és sok más létesítmény üzembiztonsága kulcsfontosságú, ráadásul ezeknek a rendszereknek a felkészültsége ma már jól tesztelhető.

A kiberérettséget mérő megoldásokkal több szakmai cég is foglalkozik. Problémát jelent ugyanakkor, hogy a hibák felfedését és kijavítását szolgáló egyedi gépek, céleszközök és rendszerek összetett hálózata speciális szakértelmet igényel, ami elől sokszor elszívja a felkészült munkaerőt a hétköznapi élet digitalizációja. Ahogy javul az információbiztonság a hétköznapi eszközökön, úgy emelkedik a hekkerek költsége (praktikusan a sikerhez szükséges munka és gépidő), és arányaiban így válik egyre jobban megtérülő befektetéssé az elavult ipari és közüzemi rendszerek megtámadása. A pénteki még nem PLC-ket, vagy egy konkrét szervezet rendszerirányítását célozta, de arra világosan rámutatott, hogy ez folyamat megindult. Érdemes lesz figyelni.