Các chuyên gia an ninh ép các nhà sản xuất hệ thống kiểm soát công nghiệp

Securityexperts put pressure on industrial control system makers

23 January 2012, 10:36

Theo:http://www.h-online.com/security/news/item/Security-experts-put-pressure-on-industrial-control-system-makers-1418921.html

Bài được đưa lênInternet ngày: 23/01/2012

Lờingười dịch: Sau vụ sâu Windows Stuxnet đánh vào chươngtrình hạt nhân của Iran, các chuyên gia an ninh đã tậptrung vào nghiên cứu các chỗ bị tổn thương trong các hệthống SCADA, và nay một nhóm các chuyên gia của ThreatLevel của Wired đã công bố hàng loạt chỗ bị tổnthương như vậy mà không cần báo trước cho các hãng cócác chương trình SCADA bị tổn thương. “Trườnghợp hiện hành có liên quan tới các trình kiểm soátlogic có khả năng lập trình được (PLC) của GeneralElectric, Rockwell Automation, Schneider Modicon, Koyo Electronics vàSchweitzer Engineering. Theo thông tin được đưa ra củanhóm này, những chỗ bị tổn thương bao gồm các cửahậu, các mật khẩu được lập trình cứng và sự thiếuxác thực khi tải mã nguồn lên. Một số thiết bịnhư mẫu từ GE, từng có trên thị trường 20 năm qua...Các nhà nghiên cứu nói rằng họ đã không thông báo chocác nhà cung cấp các chỗ bị tổn thương về an ninh màhọ đã phát hiện trước, vì họ muốn tránh dạng y hệtcác khó khăn mà Beresford đã trải qua với Siemens vào nămngoái. Beresfordtự thấy bị ép buộc phải hoãn một cuộc nói chuyệnvề những chỗ bị tổn thương trong các sản phẩm củaSiemens sau sự can thiệp của công ty này. Theo DalePeterson, các nhà sản xuất đã nhận thức được nhiềuchỗ bị tổn thương mà bây giờ đã bị phát hiện,nhưng đã đơn giản “chọn để sống chung với”chúng”. Có thể các công ty sản xuất muốn sốngchung với các chỗ bị tổn thương, còn khi các kháchhàng “ngớ ngẩn” bị ăn đòn vì những chỗ bị tổnthương đó thì các công ty sẽ “chạy làng” chăng???Các quốc gia như Việt Nam khi muốn xây dựng các nhà máyđiện hạt nhân phải thật lưu ý về việc này!

Theo một báo cáo trênblog về mức độ các mối đe dọa (Threat Level) củaWired, một nhóm các nhà cung cấp dịch vụ an ninh đã xuấtbản những khai thác đối với những chỗ bị tổn thươngvề an ninh trong các thành phần được sử dụng trong cáchệ thống kiểm soát công nghiệp có thể bị sử dụngđể gây tổn thương hoặc phá hủy các hệ thống đó.Còn gây tranh cãi, nhóm này đã không thông báo cho các nhàcung cấp về các lỗ hổng này trước khi thực hiện cáccông bố, vì thế không cho họ cơ hội để đưa ra chocác khách hàng của họ các bản vá đối với các chỗbị tổn thương đó.

Nhóm này, bao gồm cảnhững nhà nghiên cứu an ninh nổi tiếng như DillonBeresford, Ruben Santamara và Dale Peterson, nói rằng ý địnhcủa họ là để chỉ ra các công ty vận hành hạ tầngsống còn cách thật dễ dàng làm sao để thâm nhập đượcvào các hệ thống của họ. Các nhà nghiên cứu nói rằnghọ hy vọng tạo ra được một ý nghĩa gây sốc tươngtự đối với cộng đồng SCADA tiếp sau việc tung raFiresheep (con cừu lửa) vào năm ngoái. Firesheep từng làmột trình cài cắm của Firefox có khả năng ăn cắp cáccookies thuộc về những người sử dụng khác đang chia sẻmột mạng Wifi và sử dụng chúng để đăng nhập vào cácwebsite. Vì mức độ cao của nó về sự thân thiện vớingười sử dụng, nhiều website được cho là rủi ro đốivới việc sử dụng lan truyền rộng rãi đủ cao mà họcảm thấy buộc phải chuyển từ giao tiếp HTTP không đượcmã hóa sang HTTPS được mã hóa SSL.

Trườnghợp hiện hành có liên quan tới các trình kiểm soátlogic có khả năng lập trình được (PLC) của GeneralElectric, Rockwell Automation, Schneider Modicon, Koyo Electronics vàSchweitzer Engineering. Theo thông tin được đưa ra của nhómnày, những chỗ bị tổn thương bao gồm các cửa hậu,các mật khẩu được lập trình cứng và sự thiếu xácthực khi tải mã nguồn lên. Một số thiết bị như mẫutừ GE, từng có trên thị trường 20 năm qua.

Accordingto a reporton Wired's Threat Level blog, a group of security service providershave published exploits for security vulnerabilities in componentsused in industrial control systems that could be used to compromiseor disrupt these systems. Controversially, the group did not informthe vendors of these holes before making the announcement, thusgiving them no opportunity to provide their customers with patchesfor the vulnerabilities.

Thegroup, which includes such well-known security researchers as DillonBeresford, Ruben Santamarta and Dale Peterson, state that theirintention is to show companies operating critical infrastructure justhow easy it is to hack their systems. The researchers say that theyhope to generate a similar senseof shock to the SCADA community as followed the release ofFiresheep last year. Firesheep was a Firefox add-on which was able tosteal cookies belonging to other users sharing a Wi-Fi network anduse them to log onto web sites. Because of its high level of userfriendliness, many web sites considered the risk of widespread use tobe sufficiently high that they felt obliged to switchf-rom unencrypted HTTP communication to SSL encrypted HTTPS.

Thecurrent case involves programmable logic controllers manufactured byGeneral Electric, Rockwell Automation, Schneider Modicon, KoyoElectronics and Schweitzer Engineering. According to informationreleased by the group, the vulnerabilities include backdoors,hard-coded passwords and a lack of authentication when loading code.Some of these devices, such as the model f-rom GE, have been on themarket for 20 years.

Cácnhà nghiên cứu nói rằng họ đã không thông báo cho cácnhà cung cấp các chỗ bị tổn thương về an ninh mà họđã phát hiện trước, vì họ muốn tránh dạng y hệt cáckhó khăn mà Beresford đã trải qua với Siemens vào nămngoái. Beresford tự thấy bị ép buộc phải hoãn một cuộcnói chuyện về những chỗ bị tổn thương trong các sảnphẩm của Siemens sau sự can thiệp của công ty này. TheoDale Peterson, các nhà sản xuất đã nhận thức đượcnhiều chỗ bị tổn thương mà bây giờ đã bị pháthiện, nhưng đã đơn giản “chọn để sống chung với”chúng.

Nhóm này đã nhậnđược một số chỉ trích về việc xuất bản các chỗbị tổn thương. Người đứng đầu của Chương trình Anninh các Hệ thống Kiểm soát của Bộ An ninh Nội địađã lưu ý rằng, trong khi họ khuyến khích sự phát hiệncác chỗ bị tổn thương, thì họ tin tưởng rằng điềunày nên diễn ra chỉ khi một giải pháp cho vấn đề đólà có sẵn sàng. Chuyên gia an ninh về SCADA của Đức làRalph Langner đã nói cho giới truyền thông Mỹ rằng, trongkhi ông đã hy vọng về một kết quả tích cực cho sựkiểm thử, thì ông không muốn xuất bản những khai tháctheo cách đó.

Theresearchers said that they had not informed the vendors of thesecurity vulnerabilities they had discovered in advance, as theywanted to avoid the same kind of difficulties Beresford hadexperiencedwith Siemens last year. Beresford found himself forced to cancel atalk on vulnerabilities in Siemens products following intervention bythe company. According to Dale Peterson, the manufacturers werealready aware of many of the vulnerabilities which have now beenrevealed, but had simply "chosen to live with" them.

Thegroup has received some criticism for publishing the vulnerabilities.The head of the DHS' ControlSystems Security Programme noted that, while they promote thedisclosure of vulnerabilities, they believe that this should takeplace only once a solution to the problem is available. German SCADAsecurity specialist Ralph Langner told US media that, while he hopedfor a positive outcome to the experiment, he would not have publishedthe exploits in this way.

(crve)

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com