Các nhà nghiên cứu nói thật dễ dàng cho một cuộc tấn công mới giống Stuxnet

Thứ ba - 10/04/2012 06:59

ResearchersShow How Easy a New Stuxnet-Like Attack Can Be

April 6, 2012 at 7:07 amPT

Theo:http://allthingsd.com/20120406/researchers-show-how-easy-a-new-stuxnet-like-attack-can-be/

Bài được đưa lênInternet ngày: 06/04/2012

Lờingười dịch: Các nhà nghiên cứu cho rằng, để có mộtcuộc tấn công giống sâu Windows Stuxnet đã làm là dễxảy ra và rất nguy hiểm. “Những gì thậm chí còn đángsợ hơn kết quả đó là thực tế rằng sự khai thác đólàm việc mà không có việc thâm nhập máy tính thực sựnào diễn ra trước đó. Dale Peterson, CEO của Digital Bond,nói cuộc tấn công làm việc vì PLC trước hết làkhông an ninh. Đã không có nhiều một mật khẩu theoyêu cầu để tải về logic cái thang hiện đang có, cũngkhông phải tải lên logic cái thang được sửa đổi. Vànếu PLC đó được kết nối tới Internet theo bất kỳcách gì, thì nó đề là mở cho cuộc tấn công”.

Một trong những mốiquan tâm thường trực về sâu máy tính Stuxnet đã từngtấn công chương trình hạt nhân của Iran từng là sựnghiên cứu các phương pháp của nó có thể dẫn tới cáccuộc tấn công khác giống như nó.

Những nỗi sợ hãivề lý thuyết đã từng có. Nếu bạn có thể tấn côngcác máy tính công nghiệp kiểm soát các máy li tâm hạtnhân và làm cho chúng nổ, như đã xảy ra trong trườnghợp của Stuxnet, thì bạn có thể, về lý thuyết, sửdụng cùng tiếp cận để tấn công các máy tính côngnghiệp kiểm soát hạ tầng sống còn tại Mỹ. Điều duynhất cần là tri thức về những chỗ bị tổn thương bịgiấu giếm trong các hệ thống đó.

Tin xấu là, như hômqua, những chỗ bị tổn thương đó không còn là lýthuyết nữa. Tin tốt là những người tốt đã thấychúng trước.

Hôm qua, các nhànghiên cứu cho một chương trình tự nguyện được gọilà Dự án Basecamp đã phát hiện 3 chỗ bị tổn thươngbên trong một mô hình chung các máy tính công nghiệp đượcbiết như là một trình kiểm soát logic lập trình được(PLC). Những PLC đó về cơ bản nằm giữa một máy tínhthông thường chạy Windows và một mẩu lớn các thiết bịcông nghiệp - một máy bơm hoặc một động cơ hoặc mộtmáy li tâm hạt nhân.

Các PLC là một phầncủa một tập hợp lớn hơn các máy tính công nghiệpđược biết như là các hệ thống SCADA. Nghiên cứu anninh trong các hệ thống SCADA đã gia tăng đột ngột kểtừ khi phát hiện ra sâu Stuxnet vào năm 2010.

Công việc đã đượccác nhà nghiên cứu tại Digitel Bond, một hãng nghiên cứuan ninh chuyên trong công việc các hệ thống SCADA, thựchiện. Những gì họ đã xây dựng là một module phần mềmgọi là “modiconstux”, nó triển khai một cuộc tấn cônggiống Stuxnet vào một thiết bị PLC gọi là một ModiconQuantum, được Schneider Electric chế tạo.

Mượn các kỹ thuậthọc được từ sâu Stuxnet, modiconstux làm 2 điều: Nó tảivề tập hiện hành các thâm nhập trái phép PLC đang sửdụng - một tập hợp các lệnh lập trình được biếttới như là “logic cái thang” - trao cho kẻ tấn công khảnăng hiểu được những gì PLC đang làm hàng ngày. Điềuchủ chốt là: Nếu bạn định tấn công một PLC để làmmáy mà nó đang kiểm soát phát nổ, thì bạn trước hếtphải hiểu qui trình mà bạn sẽ phá hoại.

Oneof the great residual concerns about the Stuxnet computer worm thatattacked the Iranian nuclear program has been that study of itsmethods would lead to other attacks like it.

Thosefears were theoretical for a while. If you could attack theindustrial computers controlling nuclear centrifuges and make themexplode, as happened in the case of Stuxnet, you could, in theory,use the same approach to attack industrial computers controllingcritical infrastructure in the U.S. The only thing needed isknowledge about vulnerabilities lurking in those systems.

Thebad news is that, as of yesterday, those vulnerabilities are nolonger a theory. The good news is that the good guys found themfirst.

Yesterday,researchers for a volunteer program called ProjectBasecamp have discovered three vulnerabilities inside a commonmodel of industrial computer known as a programmable logic controller(PLC). These PLCs basically sit between a regular computer runningWindows and a big piece of industrial equipment — say, a pump or agenerator or a nuclear centrifuge.

PLCsare part of a larger set of industrial computers known as SupervisoryControl And Data Acquisition (SCADA) systems. Security research intoSCADA systems has increased dramatically since the revelationof the Stuxnet worm in 2010.

Thework was done by researchers at DigitalBond, a security research firm specializing in work on SCADAsystems. What they built was a software module called “modiconstux,”which carries out a Stuxnet-like attack on a PLC device called aModicon Quantum, made by SchneiderElectric.

Borrowingtechniques learned f-rom the Stuxnet worm, modiconstux does twothings: It downloads the current set of instructions the PLC is using— a set of programming commands known as “ladder logic” —giving the attacker the ability to understand what the PLC is doingday in and day out. This is key: If you’re going to hijack a PLC tomake the machine it’s controlling explode, you have to firstunderstand the process you’re going to sabotage.

Điều thứ 2 làmodiconstux thực hiện việc tải lên logic cái thang mới.Ví dụ điển hình tôi nghĩ về khi giải thích điều nàytới từ những trình diễn công khai đầu tiên củaStuxnet mà các nhà nghiên cứu ở Symantec đã làm. Trongtrường hợp đó, một PLC của Siemens đã được lậptrình để thổi bay một quả bóng bằng việc ra lệnh chomáy bơm gửi một lượng nhất định không khi vào quảbóng và rồi dừng lại. Sau đó đang lúc bị tấn côngbằng Stuxnet, logic đó đã được thay đổi theo cách màmáy bơm không dừng được, và quả bóng bị nổ. Khôngquá đe dọa, nhưng nếu bạn sử dụng sự tưởng tượngcủa bạn, thì bạn có thể thấy quả bóng nổ như mộtphép ẩn dụ cho nhiều kết quả rất nguy hiểm.

Nhữnggì thậm chí còn đáng sợ hơn kết quả đó là thực tếrằng sự khai thác đó làm việc mà không có việc thâmnhập máy tính thực sự nào diễn ra trước đó. DalePeterson, CEO của Digital Bond, nói cuộc tấn công làm việcvì PLC trước hết là không an ninh. Đã không có nhiềumột mật khẩu theo yêu cầu để tải về logic cái thanghiện đang có, cũng không phải tải lên logic cái thangđược sửa đổi. Và nếu PLC đó được kết nối tớiInternet theo bất kỳ cách gì, thì nó đề là mở cho cuộctấn công.

Đội này cũng đãđưa ra 2 chỗ bị tổn thương khác. Một làm cho PLC y hệtcủa Schider Electric dừng, về cơ bản làm lạnh nó tạichỗ cho tới khi nó có thể được thiết lập lại. Cáithứ 3 là một chỗ bị tổn thương cho một dạng thiếtbị PLC được General Electric sản xuất.

Những chỗ bị tổnthương đã được đưa ra cho thế giới rộng lớn hơnqua Metasploit, một dịch vụ giám sát chỗ bị tổn thươngnguồn mở mà Rapid7 là chủ, một công ty có trụ sở ởMass, Cambridge mà chuyên trong việc giúp các công ty đứngvững được với các chỗ bị tổn thương mới về anninh máy tính. Những người thuê bao Metasploit có thể tảivề mã nguồn khai thác và kiểm thử nó trong các hệthống của riêng họ, và trình bày các cuộc tấn côngđược mô phỏng mà trong tất cả khả năng sẽ làm choông chủ của họ sợ hãi.

Thesecond thing that modiconstux does is upload new ladder logic. Theclassic example I think of in explaining this comes f-rom the firstpublic demonstrations of Stuxnet carried out by researchers atSymantec. In that case, a Siemens PLC had been programmed to blow upa balloon by instructing a pump to send a certain amount of air tothe balloon and then stop. After being hijacked by Stuxnet, the logicwas changed in such a way that the pump didn’t stop, and theballoon popped. Not very menacing, but if you use your imagination,you can see that popping balloon as a metaphor for a lot of verydangerous outcomes.

What’seven scarier than the outcome is the fact that the exploit workswithout any actual computer hacking having to take place beforehand.Dale Peterson, Digital Bond’s CEO, said the attack works becausethe PLC is insecure in the first place. There isn’t so much as apassword required to download the existing ladder logic, nor toupload the al-tered ladder logic. And if that PLC is connected to theInternet in any way, it is wide open to attack.

Theteam also released two other vulnerabilities. One tells the sameScheider Electric PLC to stop, essentially freezing it in place untilit can be reset. The third is a vulnerability for a type of PLCdevice made by General Electric.

Thevulnerabilities have been released to the wider world throughMetasploit, an open sourcevulnerability monitoring service that’s owned by Rapid7, aCambridge, Mass-based company that specializes in helping companiesstay ahead of new computer security vulnerabilities. Metasploitsubscribers can download the exploit code and test it on their ownsystems, and demonstrate simulated attacks that in all likelihoodwill scare the heck out of their bosses.

Cũng nên sợ đốivới những người điều chỉnh pháp luật và các nhà rachính sách, những người đã nói ngày một gia tăng vềnhu cầu chuẩn bị cho một “cuộc tấn công không gianmạng”. Các cơ hội là, lần xung đột nghiêm trọng sau,các cuộc tấn công được triển khai bằng cách của mộtmáy tính sẽ được sử dụng để phá hoại hạ tầng,gieo sự lúng túng, can thiệp vào hậu cầu và ... Stuxnetđã chứng minh những gì có thể làm được, và những gìđiểm đó đã được xam xét nói chung chỉ theo lý thuyết.

Được các bên khôngrõ tạo ra - dù đồng tiền thông minh nó đó là Israel,với một số trợ giúp từ Mỹ - thì sâu Stuxnet đã đàobới theo cách của nó trong các PLC tại cơ sở hạt nhâncủa Iran, đã làm cho các máy li tâm quay quá nhanh, và đãlàm cho một số máy bị nổ. Chương trình làm giàu hạtnhân của Iran đã được cho là bị lùi đi khoảng 2 năm.

Kể từ đó, các nhànghiên cứu đã tìm cho ra Stuxnet tiếp sau, giả thiết rằngmột con sâu thứ 2 có thể dễ dàng hơn để xây dựng.Họ cũng đã và đang nghiên cứu những điểm yếu củaInternet trong các hệ thống SCADA như PLCs. Những gì họthấy sẽ cho chúng ta tất cả điểm dừng.

Itshould also scare the heck out of legislators and policymakers whohave talked incessantly about the needto prepare for a “cyberattack.” Chances are, the next timethere’s a serious conflict, attacks carried out by way of acomputer will be used to sabotage infrastructure, sow confusion,interfere with logistics and so on. Stuxnet proved what could bedone, and what to that point had generally been considered only atheory.

Cre-atedby parties unknown — though the smart money saysit was Israel, with some help f-rom the U.S. — the Stuxnet wormburrowed its way into PLCs at an Iranian nuclear installation, madethe centrifuges spin too fast, and caused some of them to explode.The Iranian nuclear enrichment program was thought to be set back byanywhe-re f-rom one to two years.

Sincethen, researchers have been on the look out for the next Stuxnet,assuming that a second worm would be easier to construct. They’vealso been studying the inherent weaknesses in SCADA systems likePLCs. What they’re finding should give us all pause.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com