Được cho là vụ thâm nhập cơ sở nước gây ra sự khó hiểu

Thứ hai - 28/11/2011 05:44

Allegedwater utility hack causes confusion

23 November 2011, 19:32

Theo:http://www.h-online.com/security/news/item/Alleged-water-utility-hack-causes-confusion-1383976.html

Bài được đưa lênInternet ngày: 23/11/2011

Lờingười dịch: Dù đều từ các nguồn tin chính thức, nhưtừ FBI hay DHS hay STIC, thì những thông tin về sự thâmnhập trái phép và làm hỏng một bơm nước tại Illinoislại ngược chiều nhau. Còn vụ tương tự ở Texas thìcòn đang được điều tra. Và dù thế nào đi nữa, thìan ninh của các hệ thống SCADA cũng vẫn là có vấn đề.Ví dụ: “Siemens SIMATIC được cho là đã đóng một vaitrò tiêu cực đặc biệt trong ngữ cảnh này - với cácdịch vụ Telnet có sử dụng một tập hợp tên và mậtkhẩu được lập trình cứng, “basisk”, hoặc kết nốimạng đưa ra mật khẩu mặc định, “100”. Sâu Stuxnetđã thể hiện cách mà những tổn thương như vậy có thểbị khai thác: trong các mạng cục bộ, nó đã sử dụngcác ủy quyền truy cập vào cơ sở dữ liệu MS SQL đượclập trình cứng để vào được các hệ thống WinCC và,từ đó, nó đã tiếp tục phá hủy các máy li tâm làmgiàu Uranium”. Xem thêm [01],[02].

Đội Phản ứng Khẩncấp Không gian mạng các Hệ thống Kiểm soát Công nghiệp(ICS-CERT) đã đưa ra tất cả rõ ràng: lỗi của cơ sởnước tại Illinois đã phá hủy một máy bơm có vẻ khôngphải là do sự thâm nhập trái phép sau tất cả. Tuynhiên, có những lý do nghi ngờ đánh giá tái đảm bảonày.

Trong một thư điệntử gửi cho Nhóm Làm việc Chúng về các Hệ thống Kiểmsoát Công nghiệp (ICSJWG) nói rằng sau khi phân tích chitiết, Bộ An ninh Nội địa (DHS) và FBI “đã thấy khôngcó bằng chứng nào về một sự thâm nhập trái phéptrong không gian mạng vào hệ thống SCADA của Khu vực NướcCông cộng Curran-Gardner tại Springfield, Illinois”. Tuynhiên, thông báo rằng một tin tặc đã thâm nhập tráiphép vào cơ sở nước cũng dường như xuất phát từ cácnguồn chính thống. Joe Weiss, người viết blog đã đưa ravụ này, nói rằng ông có thông tin từ Trung tâm Tình báovà chống Khủng bố của Bang (STIC).

Blogger về an ninhBrian Krebs trích từ báo cáo bí mật của STIC như sau:

“Đôilúc trong ngày 08/11/2011, một nhân viên khu nước đã lưuý thấy các vấn đề với một hệ thống SCADA. Một côngty dịch vụ và sửa chữa về CNTT đã kiểm tra các lưuký của máy tính của hệ thống SCADA và đã xác địnhhệ thống đã bị thâm nhập từ xa từ một địa chỉnhà cung cấp Internet nằm ở Nga”.

Nói với một trạmTV địa phương, chủ tịch của Khu Nước Curran-Gardner bịảnh hưởng cũng nói rằng có bằng chứng về một sựthâm nhập trái phép vào hệ thống SCADA đã cho phép cácmáy bơm truy cập được từ xa (video cũng có sẵn trênblog của Krebs). Weiss đã nghi ngờ cách mà các nguồn chínhthống này có thể đã đi tới nhưng phân tích đối chọinhau như vậy. Blogger này đã thể hiện sự lo ngại rằngsự khó hiểu gây ra có thể làm chậm hơn các bước cầnthiết để bảo vệ các hạ tầng bị tác động tiềmtàng này.

TheIndustrial Control Systems Cyber Emergency Response Team (ICS-CERT)has given the all-clear: theIllinois water utility flaw which destroyed a pump was apparentlynot caused by an intrusion after all. However, there are reasons todoubt this reassuring assessment.

Anemail to the Industrial Control Systems Joint Working Group (ICSJWG)said that after detailed analysis, the US Departmentof Homeland Security (DHS) and the FBI "have found noevidence of a cyber intrusion into the SCADA system of theCurran-Gardner Public Water District in Springfield, Illinois."However, the notification that a hacker intruded into the waterutility also appeared to originate f-rom official sources. Joe Weiss,the blogger who publicised the incident, said that he got hisinformation f-rom the Illinois StateTerrorism and Intelligence Center (STIC).

Securityblogger Brian Krebs quotesf-rom the following confidential STIC report:

"Sometimeduring the day of Nov. 8, 2011, a water district employee noticedproblems with a SCADA system. An information technology service andrepair company checked the computer logs of the SCADA system anddetermined the system had been remotely hacked into f-rom an Internetprovider address located in Russia."

Talkingto a local TV station, the chairman of the affected Curran-GardnerWater District also said that there is evidence of an intrusion intothe SCADA system that allowed the pumps to be accessed remotely (thevideo is also available on Krebs' blog). Weiss wonderedhow these official sources could have arrived at such conflictinganalyses. The blogger expressed concern that the resulting confusionmight further delay the steps necessary to protect potentiallyaffected infrastructures.

Tình trạng xung quanhvụ thâm nhập trái phép thứ 2 vào cơ sở nước ở Texasvẫn còn chưa rõ, dù tin tặc thậm chí đã đưa ra cáchình chụp hệ thống SCADA theo yêu cầu. ICS-CERT nói rằngvụ việc đó vẫn còn đang được điều tra. Tuy nhiên,bất chấp liệu thực sự có những vụ thâm nhập tráiphép hay thậm chí chỉ là sự phá hoại, thì thực tế làan ninh các hệ thống SCADA vẫn trong hình hài tồi tệ làkhông bàn cãi trong các chuyên gia.

SiemensSIMATIC được cho là đã đóng một vai trò tiêu cực đặcbiệt trong ngữ cảnh này - với các dịch vụ Telnet có sửdụng một tập hợp tên và mật khẩu được lập trìnhcứng, “basisk”, hoặc kết nối mạng đưa ra mật khẩumặc định, “100”. Sâu Stuxnet đã thể hiện cách mànhững tổn thương như vậy có thể bị khai thác: trongcác mạng cục bộ, nó đã sử dụng các ủy quyền truycập vào cơ sở dữ liệu MS SQL được lập trình cứngđể vào được các hệ thống WinCC và, từ đó, nó đãtiếp tục phá hủy các máy li tâm làm giàu Uranium.

Thesituation surrounding the second intrusion into the Texas waterutility remains unclear, although the hacker even releasedscreenshots of the SCADA system in question. The ICS-CERT says thatthe incident is still being investigated. However, regardless ofwhether there really have been intrusions or even actual vandalism,the fact that SCADA system security is in bad shape is undisputedamong experts.

SiemensSIMATIC has repeatedly played a particularly negative role in thiscontext – with Telnet services using a hard-codeduser name and password combination, "basisk", or thenetwork connection being given the defaultpassword, "100". The Stuxnet worm demonstrated how suchvulnerabilities can be exploited: on local networks, it usedhard-codedMS-SQL database access credentials to get to WinCC systems and,f-rom there, it proceeded to destroy Uranium enrichment centrifuges.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tags: công nghệ tin học, khác, security