Các hệ thống công nghiệp gặp rủi ro từ các đầu tư tội phạm cho Stuxnet

Industrialsystems at risk f-rom criminal Stuxnet investments

ByDarren Pauli on Jun 28, 2011 2:10 PM (21 hours ago), Filed underSecurity

Theo:http://www.crn.com.au/News/261943,industrial-systems-at-risk-f-rom-criminal-stuxnet-investments.aspx

Bàiđược đưa lên Internet ngày: 28/06/2011

Lờingười dịch: Theo nhà phân tích James Turner của IBRS, “Toànbộ nền công nghiệp tạo ra phần mềm độc hại - nhữngđứa trẻ viết script, tội phạm có tổ chức, và cácnhóm chiến tranh không gian mạng của nhà nước - đã chỉra thiết kế cho thứ tương tự như bom phá boongke trênInternet”. Ông nói cáccuộc tấn công như vậy (như của Stuxnet) đã dẫn tới“cái chết của an ninh thông qua sự tù mù”.Bạn còn muốn tin vào sự tù mù không??? Bạn có nhìnthấy mã nguồn trong các phần mềm nguồn đóng không???

Phầnmềm độc hại được xây dựng trên vai của Stuxnet.

Cácnhóm tội phạm có tổ chức với “hàng tỷ” để chitiền có thể sẽ là đầu tiên phát triển được phầnmềm độc hại từ thiết kế của Stuxnet, các nhà phântích công nghiệp đã cảnh báo.

Theonhà phân tích James Turner của IBRS, các mạng lưới thôngminh, giao thông và các hệ thống quét hành lý có thể làmục tiêu trong tương lai của các loại sâu phức tạp màchúng đã từng đánh què chương trình hạt nhân của Iranvào năm ngoái.

“Toànbộ nền công nghiệp tạo ra phần mềm độc hại - nhữngđứa trẻ viết script, tội phạm có tổ chức, và cácnhóm chiến tranh không gian mạng của nhà nước - đã chỉra thiết kế cho thứ tương tự như bom phá boongke trênInternet”, Turner nói trong một lưu ý nghiên cứu còn chưađược xuất bản.

“Stuxnetvề cơ bản đã dịch chuyển hệ biến hóa của những gìcó thể đạt được thông qua phần mềm độc hại. Nhữngảnh hưởng cho tương lai của phần mềm độc hại làkhủng khiếp”.

Cácnhà nghiên cứu về an ninh đã xuất bản những vật tìmra được về thông tin của Stuxnet sau khi hoàn tục cuộctấn công của mình vào chương trình làm giàu uranium củaIran.

Cácnhà nghiên cứu đã thấy rằng phần mềm độc hại cóchứa 4 lỗi ngày số không và đã sử dụng vô số cácvật trung gian để lan truyền sự lây nhiễm.

Nócũng chứa một cuộc tấn công kiểu người can thiệpgiữa đường mà đã mô phỏng lại những chức năngthông thường của các tín hiệu của các đầu dò đượcsử dụng tong qui trình làm giàu uranium, và đã ngăn cảncác hệ thống đang làm việc bất bình thường khỏi bịdừng làm việc.

Malwareto be built on the shoulders of Stuxnet.

Organisedcrime groups with "billions" to spend may be the first todevelop malware f-rom Stuxnet blueprints, industry analysts havewarned.

Accordingto IBRS analyst James Turner, smart grid networks, transport andbaggage scanning systems could be targeted by future variants of thecomplex worm that crippled Iran's nuclear program last year.

"Theentire malware-creating industry - script kiddies, organised crime,and nation-state cyber warfare groups - has been shown the blueprintfor the internet equivalent of a bunker-buster," Turner said inan as yet unpublished research note.

"Stuxnethas fundamentally shifted the paradigm of what is achievable throughmalware. The implications for the future of malware are dramatic."

Securityresearchers have published troves of information about Stuxnet afterde-constructing its attack on Iran's uranium enrichment program.

Researchersfound that the malware containedfour zero day vulnerabilities and used numerous vectors to spreadinfection.

Italso contained a man-in-the-middle attack which mimicked the normalfunctions of sensor signals used in the uranium enrichment process,and prevented malfuctioning systems f-rom shutting down.

“Cáctài nguyên được yêu cầu để tạo ra một sâu khác mànó nhân bản sức mạnh của Stuxnet đang thoát ra ngoài chohầu hết các nhà sáng chế phần mềm độc hại cá nhân.Tuy nhiên, các băng đảng tội phạm có tổ chức có hàngtỷ USD để đề xuất”, Turner nói.

“Việctạo ra một nhà máy phần mềm độc hại có thể là cáchcó hiệu quả đối với họ cả cho việc rửa tiền củahọ, cũng như để tạo ra tiền mới cho việc tiến hànhnhững việc liều lĩnh”.

EricByres, một chuyên gia về vấn đề này trong các hệ thốngkiểm soát công nghiệp mà Stuxnet đã nhằm tới, dự kiếnsẽ có một cuộc chạy đua đang nổi lên.

Ôngđã cảnh báo rằng các biến thể mới tàn khốc củaStuxnet có thể gây ra thiệt hại phụ còn lớn hơn nhiềuso với Stuxnet ban đầu.

Cácgiao thức giao tiếp sở hữu độc quyền không an ninh từnglà một trong những điểm có thể bị tổn thương nhiềunhất của các hệ thống kiểm soát công nghiệp và việcsửa vấn đề này đòi hỏi các hệ thống sẽ phải đượctách ra, Byres nói.

Nhưng“lỗ dò khí” hoặc việc ngắt kết nối các mạng kiểmsoát công nghiệp khỏi tiếp xúc với bên ngoài không phảilà câu trả lời.

Mộtlãnh đạo về an ninh cho một công ty cơ sở hạ tầng lớnđã yêu cầu dấu tên đã nói rằng những lợi ích củaviệc liên kết các hệ thống kiểm soát công nghiệp tớicác mạng bên ngoài đã làm cho những rủi ro trở nênđáng kể.

"Theresources required to cre-ate another worm which replicates the powerof Stuxnet is out of reach for most individual malware creators.However, organised crime gangs have billions of dollars at theirdisposal," Turner said.

"Creatinga malware factory would be an effective way for them to both laundertheir money, as well as generate new money making ventures."

How Stuxnet attacked

Hewarned that crude new variants of Stuxnet could cause much morecollateral damage than the original.

Insecureproprietary communication protocols were one of the most vulnerablepoints of industrial control systems and fixing the problem requiredsystems to be dissected, Byres said.

But"air gapping" or disconnecting industrial control networksf-rom the outside was not the answer.

Asecurity chief for a large utilities company who requested anonymitysaid the benefits of linking industrial control systems to externalnetworks made the risks worthwhile.

“Việccó lỗ hổng giữa SCADA và các mạng của doanh nghiệpkhông phải là giải pháp”, ông nói. “Việc giữ cho cómối liên kết đó, trong thực tế, mới là câu trả lời”.

Ôngnói các cuộc tấn công như vậy đã dẫn tới “cái chếtcủa an ninh thông qua sự tù mù” và các nhà vận hànhphải tăng cường cho các yếu tố sống còn nhất củacác hệ thống kiểm soát công nghiệp.

Turnernói các kỹ sư về an ninh nên “nghiêm túc về sự phânkhúc mạng” lưu ý rằng các hệ thống bị lây nhiễmvới Stuxnet đã có được những kiểm soát không đủ tạichỗ.

Ôngđã dự kiến sự dò tìm không bình thường sẽ trởthành một tính năng sống còn trong các hệ thống Quảnlý Sự cố và Sự kiện về An ninh (SIEM), và nói việchuấn luyện nhận thức về an ninh nên được thực hiệnvới ưu tiên cao hơn.

“Cáchệ thống an ninh có một cơ hội có khả năng để dòtìm ra các phần mềm độc hại tùy biến là các hệthống biết được tất cả hành vi thông thường trênmột mạng (hoặc thiết bị) và có thể bắt được nhữngsai lầm từ đó”, ông nói.

“Mộtsố các hệ thống này sẽ thậm chí không thấy phần mềmđộc hại; chúng sẽ chỉ thấy cái bóng thoảng qua củanó”, như ở dạng một hành vi lầm lạc của các giaothức được tin cậy.

“Airgapping between SCADA and corporate networks isn’t the solution,”he said. “Keeping that link is, in fact, the answer.”

Hesaid such attacks have led to the “death of security throughobscurity” and operators must instead harden the most criticalelements of industrial control systems.

Turnersaid security engineers should "get serious about networksegmentation" noting that the systems infected by Stuxnet hadinsufficient controls in place.

Heexpected anomaly detection to become a critical feature in SecurityIncident and Event Management (SIEM) systems, and said securityawareness training should be given a higher priority.

"Thesecurity systems that have a chance of being able to detect custommalware are the systems that know all the normal behaviour on anetwork (or device) and can spot aberrations f-rom this," hesaid.

"Someof these systems won’t even see the malware; they will just see theshadow of its passage (e.g. in the form of aberrant behaviour oftrusted protocols)."

Dịchtài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com