Magyar ipari rendszerek százait hekkelték meg
További Tech-Tudomány cikkek
Hogy a technológiai fejlődés egyre nagyobb biztonsági kockázattal is jár, hatalmas közhely. Az életünk minél több részét kötjük rá az internetre, annál nagyobb támadási felületet adunk a jelszavunkra, bankkártyánkra vadászó kiberbűnözőknek. Abba viszont ritkábban gondolunk bele, hogy nemcsak a személyes életünk függ az internetre kötött eszközöktől, hanem a minket körülvevő világot működtető gépek is egyre ritkábban üzemelnek elszigetelten.
Ilyen ipari vezérlőrendszerek (Industrial Control Systems, ICS) nélkül elképzelhetetlen a gyárak, erőművek termelése, a közműszolgáltatók, tömegközlekedési hálózatok, irodák, lakóépületek üzemeltetése, sőt egyre inkább az otthonaink működése is. Ma már a hagyományosan idesorolt eszközök se csak a szó szoros értelmében vett ipari környezetben találhatók meg, ráadásul az utóbbi néhány évben a Dolgok Internete (IoT) okoskütyüinek elterjedése és az ipari környezetekbe integrálása (Industrial IoT, IIoT) még inkább kiterjesztette az eredeti kategóriát.
Azzal, hogy ezek az eszközök rácsatlakoztak a külvilágra, ugyanúgy sebezhetőbbé váltak, mint a személyes eszközeink – csak bizonyos szempontból még azoknál is sokkal védtelenebbek, mert eredetileg senkinek nem jutott eszébe, hogy egyszer ilyen típusú veszélynek lesznek kitéve.
Az ipari környezetben használt rendszerek világa az OT (Operational Technology), amely kiberbiztonsági szempontból a sokkal nagyobb figyelmet kapó IT elhanyagolt mostohatestvére. Jól jellemzi az OT-eszközök biztonsági állapotát az a hekkerverseny, amelynek az eredményéről nemrég mi is beszámoltunk: januárban a Miamiban rendezett S4 kiberbiztonsági konferencián hirdették meg a Pwn2own kihívást, ahol úgynevezett ipari vezérlőrendszereket támadhattak az etikus hekkerekből álló csapatok – és az összes célpontot különösebb gond nélkül fel is törték.
Egy 2016-os Kaspersky-jelentés [pdf] szerint a vizsgálat idején világszerte több mint 220 ezer ipari megoldás volt elérhető az internetről, 188 ezer eszközön. Ebből közel 173 ezer bizonyult sebezhetőnek, azaz az összes kívülről elérhető eszköz 92 százaléka.
Egy friss felmérés alapján úgy tűnik, a helyzet itthon se sokkal rózsásabb. A Black Cell magyar kiberbiztonsági cég kutatása megállapította, hogy több ezer hazai ipari vezérlőeszköz érhető el szabadon az interneten, ezek nagy része sebezhető is, és több százat már rég meg is hekkeltek.
Ezek az eszközök mindenhol ott vannak a mindennapjainkban is, a panelházak liftjeitől a metrók mozgólépcsőin át a vasúti sínek váltóiig mindent ipari vezérlők irányítanak. Ehhez képest arányaiban, darabszámra kevés az interneten megtalálható eszköz – ez a jó hír. A rossz meg az, hogy még ez is sokkal több, mint amennyinek lennie kéne, mert a teljesen védtelen vagy gyengén védett ipari eszközök komoly támadási felületet jelentenek
– mondta Kocsis Tamás, a Black Cell ipari vezérlők biztonságával foglalkozó üzletágának vezetője, a kutatás szerzője az Indexnek.
Persze az is rém kellemetlen, ha valakinek feltörik az emailfiókját vagy ellopják a bankkártyája adatait. De ha egy gyárban áll le a termelés egy támadás miatt, vagy valaki átveszi az irányítást a sífelvonók fölött, az már rövid idő alatt is sokmilliós anyagi kárt és akár emberi sérülést is okozhat. És az se szerencsés helyzet, ha egy áramszolgáltató meghekkelése miatt az ország ötödében elmegy az áram.
Veszélyes üzem
A Black Cell tavaly decemberben mérte fel, hány magyarországi ipari eszköz érhető el az internetről, milyen típusú eszközökről van szó, és ezek mennyire védettek a támadások ellen. Ehhez a Shodan nevű keresőt használták, amellyel az internetre kötött eszközök között lehet kutakodni. (Csak a Shodannál némileg tágabban értelmezték az ICS kategóriáját, a klasszikus ipari eszközök mellett például az IIoT területén gyakran használt rendszereket is bevették a merítésbe.) Ez volt az első ilyen jellegű vizsgálat a magyarországi ipari vezérlők és más OT-eszközök biztonságáról.
A felmérés fő megállapítása, hogy
legalább 2013 hazai ipari eszköz érhető el az interneten, ebből 364 már a felmérés idején is meg volt hekkelve, de a többinek a jelentős része is védtelen vagy legalábbis sérülékeny.
Nem biztonságos az Ügyfélkapu oldala
Nem léptek időben, ezért a Chrome már nem is engedi megnyitni az oldalt. A kormány honlapja meg egyáltalán nem titkosított. Veszélyes lehet, ha nem változik a helyzet. A NISZ szerint már folyamatban a megoldás.
Nézzük röviden, mik a legkomolyabb problémák az azonosított ipari eszközökkel:
- A megtalált eszközök 100 százaléka sérülékeny abból a szempontból, hogy már eleve nem lenne szabad, hogy bármiféle védelem nélkül, bárhonnan és bárki által elérhetők legyenek az internetről – hiszen minden más hibát, sérülékenységet emiatt van lehetőségük kihasználni a támadóknak. A minimum az lenne, hogy IP-cím alapján korlátozzák, ki érheti el ezeket a rendszereket, de egy VPN-kapcsolat beállítása sem volna ördöngös feladat.
- Az azonosított eszközök jelentős részén titkosítatlan kommunikáció folyik. Ez rendkívül kockázatos, mert így hozzáférhető, lehallgatható és adott esetben manipulálható is lehet az adatforgalom.
- Sok webes felület még csak hitelesítést se kér a hozzáféréshez, vagy már anélkül is olyan sok információt elárul az adott rendszerről, hogy arra már különösebb erőfeszítés nélkül fel lehet építeni egy támadást. Ahol mégis szükséges felhasználónév és jelszó, ott ezeket az adatokat gyakran titkosítatlanul továbbítják, így a támadóknak lehetőségük van ezeket megszerezni.
- A webes felületek 90 százaléka egyáltalán nem használ https/SSL titkosítást, amelyik mégis, annak az SSL tanúsítványa vagy évekkel ezelőtt lejárt, vagy alapból megbízhatatlan. Ez azért veszélyes, mert így jó eséllyel fel se tűnne senkinek, ha valaki lehallgatná a kommunikációt vagy belepiszkálna az adatokba. (Erről bővebben az Ügyfélkapu kapcsán írtunk.)
- Rengeteg elavult firmware (az eszközt vezérlő alapprogram) és szoftver fut ipari környezetben, illetve konkrétan a most azonosított eszközökön is. Ennek több oka van, amelyekre még visszatérünk, de a végeredmény összességében az, hogy frissítések híján az eszközök többsége akár évek óta ismert sérülékenységekkel rendelkezik, amelyeket csak az a támadó nem használ ki, aki nem akar. A jelentés említ olyan gyártót, amelynek mind a 134, internetről elérhető magyarországi eszközén sérülékeny program fut.
Az interneten elérhetővé tett ICS/OT eszközök magas fenyegetettség mellett üzemelnek. [...] Nemcsak az üzemi folyamatokra, de a mögöttes infrastruktúrára is kockázatot jelenthetnek. Egy kompromittált eszközről akár a mögöttes hálózat eszközei is hozzáférhetővé válhatnak
– olvasható a jelentésben.
Ki tudja, mióta meg vannak hekkelve
A kockázatok realitását az a több száz eszköz példázza legérzékletesebben, amelyek nem pusztán sebezhetők, hanem a vizsgálat idején már meg is voltak hekkelve. A Lantronix nevű gyártó egyes eszközeiről van szó: az eszközökön futó programverziónak 2012 óta ismert egy sebezhetősége, amelynek a kihasználásával az eszközökből kiolvasható a bejelentkezéshez használt jelszó. Ezt megszerezve aztán a támadó már minden további nélkül be tud lépni a rendszerbe, és kénye-kedve szerint módosítgatni azt.
A Lantronix 449 hazai eszköze érhető el az interneten, ebből 66 legalább frissebb firmware-rel fut, ezért a sérülékenység már nem használható ki rajtuk. 19 eszköz továbbra is sebezhető, de a kiszivárgott jelszavaikhoz egyelőre nem nyúlt senki. A maradék 364 viszont már kompromittálva van: a jelszavukat valamikor valaki megváltoztatta.
Azt nem lehet biztosan tudni, hogy ezeknél a már meghekkelt eszközöknél történt-e konkrét károkozás, de Kocsis Tamás szerint több jel arra utal, hogy inkább csak trollkodás vagy edukatív akció volt a jelszavak megváltoztatása.
Az a probléma, hogy ezek az eszközök azóta is így maradtak, és bármikor lehetne komolyabb kárt is okozni velük. Ráadásul még ahol nem is használták ki a rést, maga a Shodan fedi fel ezeket az eszközöket, és mindig megmutatja, hogy mi az aktuális jelszó rajtuk
– mondta Kocsis.
Fontos megjegyezni, hogy a felfedezett eszközök védtelensége alapvetően nem a gyártók felelőssége, hanem azoké, akik ezeket az eszközöket elavult szoftverrel és esetleg hibása beállítva használják.
Adódik a kérdés, hogy kik ezek az üzemeltetők. Kocsis Tamás szerint a legtöbb esetben a konkrét céget, intézményt nem lehet azonosítani az eszközök mögött, de annyi látszik, hogy a legkülönfélébb piaci cégektől magánemberek otthonain át oktatási intézményekig minden terület érintett. De találtak például komplett naperőművet kikötve az internetre, illetve távhőszolgáltatók, iskolák, családi házak és különféle gyárak eszközei is fellelhetők.
Találkoztak olyan gyárral, amelynek a teljes hűtés-fűtés vezérlése, több gyárcsarnokkal, irodákkal, gyártósorokkal, térképekkel egy az egyben elérhető, bármiféle hekkelés nélkül, mindössze az IP-cím megadásával. Módosítani legalább csak jelszóval lehet, az más kérdés, hogy ez a gyakorlatban mennyire jelent komoly akadályt, de ezt a Black Cell kutatói nyilván már nem próbálták ki. Ahol igazán komoly problémával találkoztak, és az eszközök mögött álló üzemeltetőt sikerült azonosítani, ott jelezték neki a problémát – mondta el Kocsis Tamás.
Az interneten szabadon elérhető ipari vezérlők között nem voltak jellemzők a kritikus infrastruktúrához köthető eszközök, de Kocsis szerint ez az elvárható minimum:
Az ipari vezérlők védelme nyilván nem csak abból áll, hogy kiengedjük-e őket az internetre vagy nem. Az, hogy a kritikus infrastruktúra eszközei nincsenek kint az interneten, jó, de ez a minimum. Ettől függetlenül azt, hogy a kritikus infrastruktúrának a belső védelme milyen állapotban van, nem tudjuk megmondani.
Erre magyar vonatkozásban frissebb nyilvános adatok híján a Hunguard 2015-ös auditja enged következtetni: akkor a vizsgált közműszolgáltatói rendszerek 56 százalékánál találtak magas, 78-nál közepes és 62-nél enyhe kockázatokat külső behatolások tekintetében, és csak a szolgáltatók 5 százaléka bizonyult ellenállónak.
A kritikus infrastruktúrák rendszereinek védelme már csak azért is különösen fontos, mert egyre inkább a kiberhadviselés bevett eszközévé válnak az ilyen jellegű támadások. Elég csak az ukrán áramellátás elleni 2015-ös és 2016-os orosz szabotázsakciókra gondolni, vagy akár az év elején felfokozódott amerikai-iráni konfliktus miatti szakértői jóslatokra arról, hogy az iráni hekkerek előbb-utóbb az amerikai kritikus infrastruktúrát is célba vehetik, pláne miután tavaly több jel is utalt ilyen támadások előkészítésére. A Világgazdasági Fórum (WEF) januári jelentése szerint 2020-ban a globális kockázatok rangsorában ötödik helyen áll a kritikus infrastruktúra elleni kibertámadások veszélye.
Évek óta javítatlan hibák
A Black Cell jelentése részletezi, hogy az ipari és IIoT vezérlők legismertebb gyártói közül melyiknek hány eszközét találták meg, illetve milyen problémákat azonosítottak náluk. Mi itt a cikkben most csak néhány érdekesebb részletet emelünk ki a fentebb már említett Lantronix-eszközök mellett.
- A legtöbb interneten elérhető eszköz szinte minden gyártó esetében Budapesten működik. Kivételt épp az ipari automatizálási piac legnagyobb szereplői közül kettő, a Siemens és az Omron jelent: mindkettőnek ugyanabban a vidéki városban található a legtöbb szabadon elérhető eszköze. Az Omron 85 azonosított eszközéből 54 üzemel itt. A 85-ből 60 eszköz abból a CJ-sorozatból való, amellyel kapcsolatban 2019-ben több súlyos sérülékenységet is találtak. A Siemens S7-sorozatából 75 eszközt találni a magyar interneten, ebből 59 ugyanazokhoz a vidéki IP-címekhez tartozik, mint az Omron eszközei. A 75-ből 65 eszköz S7-1200 típusú, és ezek 95 százaléka még mindig olyan firmware verziókkal működik, amelyek már 2011-2013 táján sérülékenynek számítottak.
- A maguk nemében rekordernek számítanak az épületautomatizálásra szakosodott Saia-Burgess Controls (SBC) és a napelemrendszerekkel is foglalkozó Fronius eszközei: az előbbiből 134, az utóbbiból 95 van, és mind egy szálig titkosítatlan kommunikációval érhetők el, illetve egyéb sérülékenységekkel is rendelkeznek.
- A Moxa egyik eszköze nyerte a legősibb tanúsítványért járó különdíjat: ezt még 2000. január 1-jén állította ki a gyártó. 20 évvel később, azaz most január elején le is járt.
- Az inkább az ipari IoT világához tartozó Etrel elektromos autókhoz gyárt töltési rendszereket. A cégnek világszerte 32 eszköze azonosítható az interneten, ebből 6 magyar, amivel világelsők vagyunk. Mindegyik hazai eszköz titkosítatlan kapcsolaton érhető el, ráadásul néhány semmiféle hitelesítést sem kér, így akár a beállításait is bárki módosíthatja.
- Jellemző az ipari eszközök kiberbiztonsági elhanyagoltságára két olyan gyártó esete, amelynek az eszközeit ipari környezetben is gyakran használják: a Ubiquiti wifirádiókat és -antennákat, a Mikrotik routereket gyárt. 2017-ben a Ubiquti 36 ezer eszközét hekkelték meg egy sérülékenység kihasználásával, 2018-ban pedig a Mikrotik több százezer routerét fertőzték meg a kiberbűnözők körében népszerűvé vált Coinhive kriptobányász kóddal. Hiába telt el mindkét eset óta több év, ugyanezek a sebezhetőségek ma is kihasználhatók a két gyártó internetről elérhető hazai eszközein. A kutatás 96 olyan Ubiquiti-eszközt azonosított, ahol még azzal se fáradtak az üzemeltetőik, hogy visszaírják a hekkerek által átírt eszközneveket: ezeket ma is olyan nevekkel találni meg, mint a “HACKED-ROUTER-HELP-SOS-HAD-DEFAULT-PASSWORD”, azaz “meghekkelt router, segítség, sos, alapértelmezett jelszava volt”. Mikrotik-routerből pedig 74 olyat találtak, amelyekben még mindig ott a Coinhive-fertőzés kódja – holott magát a Coinhive szolgáltatást a sorozatos visszaélések miatt már tavaly márciusban bezárták a fejlesztői.
- A jelentés kitér a hazai eszközökön használt gyakoribb protokollokra is, ezekkel most terjedelmi okból nem foglalkozunk, de a magyar vonatkozás miatt egyet mindenképp érdemes megemlíteni. A DNP3-at kifejezetten az energiaszektorhoz fejlesztették, ezért üzembiztonság terén rendkívül megbízható – az internettel viszont a fejlesztésekor még nem számoltak. A 2012-ben kiadott verziója már kiberbiztonsági szempontból is erősebb, de ez mégse nagyon terjedt még el, mert régebbi eszközök nem támogatják. Érdekesség, hogy bár a szektorspecifikus használata miatt ez egy kevésbé gyakori protokoll, Magyarország az első ötben van ilyen rendszereket az interneten elérhetővé tevő országok között: a Black Cell felmérése világszerte 440 ilyen DNP3 protokollon kommunikáló eszközt talált, ebből 12 darabbal holtversenyben a negyedikek vagyunk.
Régi problémákra új megoldás kell
Az ipari rendszerek védelme még mindig gyerekcipőben jár, főleg Magyarországon
– mondta Kocsis Tamás.
A terület viszonylagos védtelenségének történeti, technológiai és jogi okai is vannak.
Természetesen az ipari környezetben mindig is nagyon fontos szempont volt a biztonság. Az angol nyelvben viszont jól látszik egy magyarban elvesző megkülönböztetés: amit mi biztonságnak mondunk, az ott kettéválik a safety és a security szavakra. Ha nagyon minimalistán akarnánk visszaadni a különbséget, talán az épség és a biztonság lenne a két megfelelő fordítás, de a témánk szempontjából szerencsésebb lehet az üzembiztonság-kiberbiztonság felosztás – tehát az eszközök, az emberek és a környezet épségének, illetve a rendszerek bizalmasságának, sértetlenségének és rendelkezésre állásának biztosítása.
Mindig a rendelkezésre állás kapja a prioritást az ipari vezérlőknél, a bizalmasság kérdése háttérbe szorul. Egy mozgólépcső-vezérlő védelme nem arról szól jelenleg, hogy a hekker ne tudja megállítani vagy felgyorsítani, hanem arról, hogy ne romoljon el működés közben, és ne essenek le róla az emberek
– érzékeltette a különbséget Kocsis Tamás.
Ennek a történeti előzménye, hogy amikor az ipari rendszereket a hetvenes években elkezdték kiépíteni, úgy tervezték őket, hogy önállóan vagy maximum egy fizikailag kapcsolódó, zárt hálózaton működjenek megbízhatóan. Akkoriban még fel se merült, hogy egyszer majd valamilyen nagyobb, nyíltabb hálózatba is be kell kapcsolódniuk, ezért nem is volt szempont, hogy a külső hozzáféréstől kelljen védeni őket. Ezért amikor a távoli eszközök közötti kommunikáció először felmerült, még ez is bármiféle hitelesítés és titkosítás nélkül folyt. Idővel frissültek a protokollok, bekerültek új védelmi funkciók, de ezek jellemzően nagyon lassan szivárognak le a gyakorlati használat szintjére.
Ennek az attitűdök lassú változása mellett az is az oka, hogy technológiailag sem olyan egyszerű frissíteni egy ipari OT-rendszert, mint egy irodai IT-infrastruktúrát: a folyamatos rendelkezésre állás igénye miatt nem lehet csak úgy leállítani a rendszereket, amíg feltelepítik rájuk az új firmware- és szoftververziókat, illetve az sem biztos, hogy a régin futó vezérlőprogramok képesek lesznek az új verzión is futni. Ugyanígy a klasszikus IT-biztonsági megoldások se működnek egy az egyben, egy antivírus program például túlságosan nagy hatással lehet egy OT-rendszer működésére – lelassítja, belenyúl az adatforgalomba, blokkol egyes elemeket, stb –, ami az üzembiztonság szempontjából túl nagy áldozatot követelne.
A másik probléma az eszközök életciklusában keresendő. Ha veszünk egy számítógépet, jellemzően 3-5 éves életciklussal számolunk, ennyi idő után kell újat venni. Ezzel szemben az ipari vezérlés világában a húszéves eszközöknél már elkezdhetünk azok gondolkodni, hogy vajon ezt valamikor majd mire fogjuk lecserélni
– mondta Kocsis Tamás.
Ennek a hosszú élettartamnak a mellékhatásai a kompatibilitási problémák. Hiába jön ki egy frissítés, és hiába lenne még alkalom is telepíteni, ha olyan régi az – egyébként továbbra is üzembiztosan működő – ipari vezérlő, hogy egyszerűen nem fog már rajta futni az új verzió.
Végül pedig az is az ipari kiberbiztonság fejlődését hátráltatja, hogy a szabályozási környezet sincs felkészülve rá, mert a belső biztonsági szabályzatokat és eljárásrendeket nagyrészt az IT-ra írják, nem az OT-re.
A technológiai fejlődés következtében a két terület mára gyakorlatilag összenőtt, hiszen az OT-s szakemberek tulajdonképpen szakosodott IT-mérnökök, mégis a mai napig éles ellentét feszül a két oldal képviselői között. Az OT-sek gyakran úgy érzik, hogy az IT-s és IT-biztonsági szakemberek nem értik meg az OT-terület működését, az IT pedig a biztonság degradálását rója fel az OT-nak – mondta Kocsis. Szerinte a mai kiberbiztonsági előírások és szabályzatok túlságosan az IT-ra vannak optimalizálva, és az arra vonatkozó követelményeket akarják az OT-ra is rákényszeríteni, míg egy ideális szabályozásnak figyelembe kellene vennie az ipari környezetre jellemző működési sajátosságokat:
Amit lehet implementálni az IT-s szabályokból, azt valóban végre kell hajtani OT-s környezetben is, amit meg nem lehet, arra ki kell találni egyéb megoldást, amivel azt a sérülékenységet vagy hiányosságot, amire az adott szabályt hozták, kontrollálni lehet.
(Címlap és borítókép illusztráció: szarvas / Index)