Sau Stuxnet, vội vã tìm các lỗi trong các hệ thống công nghiệp

AfterStuxnet, a Rush to Find Bugs in Industrial Systems

Oct 14, 2011 8:20 am, ByRobert McMillan, IDG News

Theo:http://www.pcworld.com/businesscenter/article/241907/after_stuxnet_a_rush_to_find_bugs_in_industrial_systems.html

Bài được đưa lênInternet ngày: 14/10/2011

Lờingười dịch: Sau sự kiện Stuxnet, nhiều nơi vội vã đitìm các lỗi của các hệ thống PLC, SCADA. Tuy nhiên, cũngnhiều nơi bình chân như vại và coi những thông kiểu nàychỉ là thứ phù phiếm cường điệu, kiểu của nhữngđám người “điếc không sợ súng”. Bài viết này nóivề những gì đang xảy ra tại phòng thí nghiệm của quânđội Mỹ tại Idaho và của ICS-CERT. Và đây là một vàitrích đoạn: “ICS-CERT đã được thành lập 2 năm trướcđể giải quyết dạng các lỗi mà Beresfond và Finisterrebây giờ đang phát hiện dễ dàng. Số lượng các vụviệc ngầm thông qua ICS-CERT đã gia tăng 6 lần trong vàinăm qua, từ vài vấn đề tới hàng trăm, theo MartyEdwards, giám đốc của Chương trình An ninh Hệ thống Kiểmsoát và người chịu trách nhiệm của ICS-CERT... ICS-CERThiện đang làm việc về khoảng 50 vấn đề được biết,nhưng 2 nhà nghiên cứu từ khu vực thương mại nói họthấy hàng trăm vấn đề hơn nữa, một số có lẽ khôngquan trọng, nhưng những vấn đề khác là nghiêm trọngtiềm tàng... họ đã tải về càng nhiều các gói phầnmềm công nghiệp mà họ có thể - gần 400 tất cả, từSiemens, Rockwell Automation, Iconics và những người bán hàngkhác... Họ tự đặt cho mình một mục tiêu, tìm 100 lỗitrong 100 ngày. Nhưng họ đã đạt được mục tiêu củahọ chỉ trong 3 tuần... Cuối cùng họ đã thấy 665vấn đề trong phần mềm máy chủ, các gói trình điềukhiển và phần mềm giao diện giữa người - máy HMI(Human - Machine Interface) dựa trên Windowsđược sử dụng để quản lý các máy trên các sàn củacác nhà máy. Rios và McCorkle xếp hạng hầu hết các lỗihọ đã tìm ra như là “không sống còn”, nhưng họ nóikhoảng 75 trong số chúng có thểđược bọn tội phạm sử dụng để gây thiệt hại chohệ thống công nghiệp... Cácnhà nghiên cứu đã trở nên quá mệt mỏi về các vấnđề họ đã phát hiện đang bị phớt lờ mà họ đã bắtđầu đưa ra các chi tiết kỹ thuật để ép Microsoft đưara bản vá. Ý tưởng về mẫu này xảy ra một lần nữatrong các hệ thống công nghiệp đang gây lo lắng. Đâylà một lĩnh vực nơi mà một lỗi về an ninh có thể dẫntới một sự tràn hóa chất hoặc một sự mất điệndiện rộng, và nơi mà nó có thể mất hàng tháng trờiđể lên kế hoạch và cài đặt các bản vá”

Kevin Finisterre khôngphải là dạng người mà bạn mong đợi nhìn thấy trongmột nhà máy điện hạt nhân. Với một bãi biển Afrokích cỡ sân bóng, các cặp kính râm của phi công và một“vẻ vênh vang” tự mô tả, ông ta trông giống ClarenceWilliams nhiều hơn từ chương trình "The Mod Squad"trên TV những năm 70 hơn là một kỹ sư điện tử.

Nhưng mọi ngườithích Finisterre, người không phù hợp với dạng truyềnthống của ông kỹ sư cài cúc dưới, đang đóng một vaitrò quan trọng ngày một gia tăng trong nỗ lực để khóacác máy chạy các hệ thống công nghiệp chủ chốt củathế giới. Finisterre là một cao thủ mũ trắng. Ông vậtlộn với các hệ thống máy tính, không phải để thâmnhập vào bên trong chúng, mà để phát hiện ra những chỗbị tổn thương quan trọng. Ông sau đó bán sự tinh thôngcủa mình cho các công ty muốn cải thiện an ninh của họ.

Hai năm trước,Finisterre, người sáng lập công ty kiểm thử an ninhDigital Munition, tự thấy việc trao đổi thư với mộtnhân sự ở Chương trình An ninh Hệ thống Kiểm soát củaPhòng thí nghiệm Quốc gia Idaho (INL), một dự án đượcBộ An ninh Nội địa Mỹ cấp vốn mà là tiền tuyến củasự phòng thủ chống lại một cuộc tấn công không gianmạng vào hạ tầng sống còn của quốc gia.

Finisterre đã chú ýtới INL vào năm 2008, khi ông đã tung ra mã nguồn tấncông đã khai thác một lỗi trong phần mềm CitectSCADA đượcsử dụng để quản lý các môi trường kiểm soát côngnghiệp. Ông đã nghe về chương trình của INL, giúp chuẩnbị cho các nhà bán hàng và các nhà vận hành nhà máychống lại các cuộc tấn công vào các hệ thống củahọ, và ông nghĩ ông có thể để cho họ một dòng đểtìm ra cách mà họ thực sự tốt thế nào.

KevinFinisterre isn't the type of person you expect to see in a nuclearpower plant. With a beach ball-sized Afro, aviator sunglasses and aself-described "swagger," he looks more like ClarenceWilliams f-rom the '70s TV show "The Mod Squad" than anelectrical engineer.

Butpeople like Finisterre, who don't fit the traditional mold ofbuttoned-down engineer, are playing an increasingly important role inthe effort to lock down the machines that run the world's majorindustrial systems. Finisterre is a white-hat hacker. He prods andprobes computer systems, not to break into them, but to uncoverimportant vulnerabilities. He then sells his expertise to companiesthat want to improve their security.

Twoyears ago, Finisterre, founder of security testing company DigitalMunition, found himself swapping emails with a staffer at IdahoNational Laboratory's Control Systems Security Program, a projectfunded by the U.S. Department of Homeland Security that is the firstline of defense against a cyberattack on the nation's criticalinfrastructure.

Finisterrecaught the attention of INL in 2008, when he releasedattack code that exploited a bug in the CitectSCADA softwareused to runindustrial control environments. He'd heard about the INL program,which helps prepare vendors and plant operators for attacks on theirsystems, and he thought he'd d-rop them a line to find out how goodthey really were.

Ông từng không có ấntượng

Liệu INL có sẵn sànglàm việc với một cộng đồng các tin tặc hay không?Finisterre đã muốn biết. Ông đã nhận được một câutrả lời khó chịu. Khái niệm “tin tặc” ngụ ý mộtngười “về bản chất tự nhiên tội phạm hoặc hồnghi” mà có thể “phòng thí nghiệm quốc gia không đượcthuê”, một nhân viên INL đã nói với ông qua thư điệntử.

“Về cơ bản ông đãdạy tôi về cách mà INL không tương tác với các tin tặcvà tôi nên cẩn thận khi tung ra câu từ đó”, Finisterrenhớ lại. “Tôi đã từng như, 'tôi thực sự hy vọnganh đang đùa, vì anh dường như là đang ở chiến tuyếncủa nghiên cứu về điều đó'”.

Hãy gọi nó là mộtcuộc cãi lý sớm trong sự va chạm văn hóa giữa 2 thếgiới: những người nghiên cứu độc lập về an ninh quenlàm việc với các hãng kỹ thuật như Microsoft và Adobe,những nguwofi đã học được ôm lấy những đặc tínhcủa tin tặc, và các công ty bảo thủ hơn mà họ pháttriển và kiểm thử các hệ thống kiểm soát công nghiệp,những người thường hành động giống như họ muốnnhững tin tặc mũ trắng nên phải biến đi.

Đầu năm nay, DillonBeresfond, một nhà nghiên cứu an ninh tại phòng thí nghiệmtư vấn NSSLabs, đã thấy một số lượng các lỗi trongcác trình kiểm soát logic lập trình được (PLC) củaSiemens. Ông đã không nói về nó cho Đội Phản ứng Khẩncấp về Không gian mạng đối với các Hệ thống Kiểmsoát Công nghiệp (ICS-CERT) của Bộ An ninh Nội địa, chạykhỏi INL. Nhưng ông đã nói cho Siemens đã làm một sựbáo hại cho các khách hàng của hãng bằng việc hạ thấpcác vấn đề mà ông đã phát hiện. “Tôi không vui vớicâu trả lời của họ”, Beresfond đã nói đầu năm nay.“Họ đã không cung cấp đủ thông tin cho công chúng”.

Hewas not impressed.

IsINL already working with the hacker community? Finisterre wanted toknow. He received an off-putting response. The term "hacker"denotes a person of a "dubious or criminal nature" whowould "not be hireable by a national laboratory," an INLstaffer told him via email.

"Hebasically lectured me about how INL doesn't interact with hackers andI should be very careful throwing that word around," Finisterrerecalled. "I was like, 'Dude, I really hope you're joking,because you're supposed to be at the forefront of the research onthis."

Callit an early skirmish in a culture clash between two worlds: theindependent securityresearchers accustomed to dealing with tech firms such as Microsoftand Adobe, who have learned to embrace the hacker ethos, and the moreconservativecompanies thatdevelop and test industrial control systems, who often act like theywish these white-hat hackers would go away.

Earlierthis year, Dillon Beresford, a security researcher at the consultancyNSSLabs, found a number of flaws in Siemens' programmable logiccontrollers. He had no complaints about the U.S. Department ofHomeland Security's Industrial Control Systems Cyber EmergencyResponse Team, run out of INL. But he said Siemens did a disserviceto its customers by downplaying the issues he'd uncovered. "I'mnot pleased with their response," Beresford said earlier thisyear. "They didn't provide enough information to the public."

ICS-CERTđã được thành lập 2 năm trước để giải quyết dạngcác lỗi mà Beresfond và Finisterre bây giờ đang phát hiệndễ dàng. Số lượng các vụ việc ngầm thông qua ICS-CERTđã gia tăng 6 lần trong vài năm qua, từ vài vấn đề tớihàng trăm, theo Marty Edwards, giám đốc của Chương trìnhAn ninh Hệ thống Kiểm soát và người chịu trách nhiệmcủa ICS-CERT.

“Lý do chúng tôithấy như sự gia tăng là vì, một cách thẳng thắn, SCADAvà các hệ thống kiểm soát công nghiệp [đã trở nên]khá thú vị”, ông nói. “Những thứ như Stuxnet đã làmnảy sinh mức độ chú ý mà các hệ thống kiểm soátcông nghiệp và các hệ thống hạ tầng sống còn đangcó”.

Đối với nhiều tintặc, các hệ thống công nghiệp là một mặt trận mớitrong những khai thác kỹ thuật của họ. Đối với nhữngngười khác, chúng là một sự thoái lui về những ngàyđầu của tin tặc, trước khi PC trở thành mục tiêu đầutiên. Finisterre đã bắt đầu trên hệ thống điện thoạinơi mà ông đã lớn lên trong một thị trấn nhỏ Sidney,Ohio. “Vào đầu những năm 90 mẹ tôi nghĩ tôi lăn lộnvới các điện thoại trong nhà chúng tôi, nhưng hóa ra làai đó đã thâm nhập vào bộ chuyển của điện thoại từở xa. Cuối cùng tôi đã đi tới câu hỏi để giúp mẹtôi chống lại công ty điện thoại nói rằng 'Con trai bàphải làm thứ gì đó gây ra tất cả những trách nhiệmnày'”, ông ta nói.

ICS-CERTwas set up twoyears ago to handle the kind of bugs that Beresford and Finisterreare now finding with ease. The number of incidents funneled throughICS-CERT has increased six-fold in the past few years, f-rom dozens ofissues to hundreds, according to Marty Edwards, director of theControl Systems Security Program and the person in c-harge ofICS-CERT.

"Thereason we're seeing such an increase is because, quite frankly, SCADAand industrial control systems [have become] cool," he said."Things like Stuxnet have raised the attention level thatindustrial control systems and critical infrastructure systems aregetting."

Formany hackers, industrial systems are a new frontier in theirtechnical explorations. For others, they're a throwback to the earlydays of hacking, before PCs became the primary target. Finisterrestarted out on the telephone system when he was growing up in thesmall town of Sidney, Ohio. "In the early '90s my mom thought Iwas messing with the phones at our house, but it turned out thatsomeone was tampering with the phone switch remotely. I ultimatelywent on a quest to help my mom fight the phone company claims that'Your son must be doing something to cause all these faultyc-harges,'" he said.

Gần 20 năm sau, nhưmột nhà nghiên cứu an ninh chuyên nghiệp, ông đã chánvới việc chạy quanh cối xay các lỗi phần mềm mà ôngđã tìm thấy và chuyển sang các hệ thống công nghiệp.Đó là những gì đã dẫn tới công việc của ông tìmcác lỗ hổng trong CitecSCADA. “Nó giống như là một sựchuyên chở tức thì ngược về những ngày ở trườngtrung học của tôi”, ông nói.

Cónhững dấu hiệu rằng ông không đơn độc và rằng lànsóng này sẽ mở. ICS-CERT hiện đang làm việc về khoảng50 vấn đề được biết, nhưng 2 nhà nghiên cứu từ khuvực thương mại nói họ thấy hàng trăm vấn đề hơnnữa, một số có lẽ không quan trọng, nhưng những vấnđề khác là nghiêm trọng tiềm tàng.

Billy Rios, một độido nhóm an ninh của Google dẫn dắt, và Terry McCorkle, mộtthành viên của Đội Đỏ về An ninh Thông tin ở Boeing,đã uống cùng nhau vào tháng 2 khi họ đã quyết địnhnhìn sâu hơn vào dạng phần mềm công nghiệp màFinisterre và những người khác từng thâm nhập. Họ đãmuốn thấy có bao nhiêu lỗi họ có thể thấy.

Làmviệc trong thời gian rỗi của họ, họ đã tải về càngnhiều các gói phần mềm công nghiệp mà họ có thể -gần 400 tất cả, từ Siemens, Rockwell Automation, Iconics vànhững người bán hàng khác. Tất cả chúng đều tự dosẵn có trên Internet. Họ tự đặt cho mình một mụctiêu, tìm 100 lỗi trong 100 ngày. Nhưng họ đã đạt đượcmục tiêu của họ chỉ trong 3 tuần. “Chúng tôi thậmchí không đi qua tất cả các phần mềm mà chúng tôi đãcó, thậm chí là gần”, McCorkle nói.

Cuốicùng họ đã thấy 665 vấn đề trong phần mềm máy chủ,các gói trình điều khiển và phần mềm giao diện giữangười - máy HMI (Human - Machine Interface) dựa trên Windowsđược sử dụng để quản lý các máy trên các sàn củacác nhà máy. Rios và McCorkle xếp hạng hầu hết các lỗihọ đã tìm ra như là “không sống còn”, nhưng họ nóikhoảng 75 trong số chúng có thể được bọn tội phạmsử dụng để gây thiệt hại cho hệ thống công nghiệp.“Không có lớp những chỗ bị tổn thương duy nhất nàochúng tôi găm giữ; tất cả chúng đều nằm khắp bảngmạch”, Rios nói.

“Bất kỳ ai cũng cóthể làm điều này, về cơ bản, nếu họ bỏ thời gianvào điều này và có được sự hiểu biết về cách màđiều này làm việc”, Rios bổ sung. “Điều này khônggiống việc bạn sẽ thấy một lỗi ở đây hay ở kia.Điều này giống nếu bạn đặt thời gian vào nó, khábuồn cười với những kết quả”.

Nearly20 years later, as a professional security researcher, he grew boredwith the run-of-the-mill software bugs he was finding and turned toindustrial systems. That's what led to his work finding holes inCitecSCADA. "It was like an instant transport back to my highschool days," he said,

Thereare signs that he is not alone and that the floodgates are about toopen. ICS-CERT is currently working on about 50 known issues, but tworesearchers f-rom the commercial sector say they've found hundredsmore, some perhaps unimportant, but others potentially serious.

BillyRios, a team lead in Google's security group, and Terry McCorkle, amember of the Information Security Red Team at Boeing, were havingdrinks together in February when they decided to take a close look atthe type of industrial software Finisterre and others have beenhacking. They wanted to see how many bugs they could find.

Workingon their spare time, they downloaded as many industrialsoftware packagesas they could -- nearly 400 altogether, f-rom Siemens, RockwellAutomation, Iconics and other vendors. All of them were freelyavailable on the Internet. They set themselves a goal, to find 100bugs in 100 days. But the pickings were so good they hit their targetin three weeks. "We didn't even go through all the software wehad, not even close,' McCorkle said.

Inthe end they found 665 issues in server software, driver packages andthe Windows-based HMI (human-machine interface) software used tomanage the machines on factory floors. Rios and McCorkle rate most ofthe bugs they've found as "non-critical," but they sayabout 75 of them could be used by criminals to damage an industrialsystem. "There's no single class of vulnerabilities that wenailed; it was just all over the board," Rios said.

"Anyonecan do this, basically, if they just put the time into this and getan understanding of how this works," Rios added. "It's notlike you'll find a bug here and there. It's just like if you put thetime into it, it's pretty ridiculous what the results are."

Edwards,người chịu trách nhiệm về ICS-CERT, đã nhận thức đượcrằng tải công việc của nhóm đã bùng nổ kể từ năm2009. “Chúng tôi đã thấy 600% gia tăng về số lượngcác chỗ bị tổn thương đã và đang được phối hợpvà làm việc thông qua ICS-CERT”, ông nói. Sự quyến rũcủa các hệ thống kiểm soát công nghiệp có nghĩa nhiềuhơn các nhà nghiên cứu bây giờ đang tập trung vào lĩnhvực đó, ông nói.

Tìnhhuống này làm gợi nhớ lại về những gì xảy ra vớiWindows một thập kỷ trước, khi các tin tặc đã bắt đầunhặt ra các sản phẩm của Microsoft, McCorkle nói. Nhữngngười bán hành công nghiệp “về cơ bản chỉ 10 năm đisau vấn đề về an ninh. Giống như việc chúng ta đi ngượclại về những năm 90”, ông nói.

Khicác nhà nghiên cứu đầu tiên nhằm vào Microsoft vào cuốinhững năm 1990, thì nhà sản xuất phần mềm này đã bìnhchân như vại. Chỉ sau vài năm phản kháng giữa Redmondvà các tin tặc xé toạc khỏi các phần mềm của hãngthì Microsoft đã chỉ ra cách để làm việc với các tintặc.

Cácnhà nghiên cứu đã trở nên quá mệt mỏi về các vấnđề họ đã phát hiện đang bị phớt lờ mà họ đã bắtđầu đưa ra các chi tiết kỹ thuật để ép Microsoft đưara bản vá. Ý tưởng về mẫu này xảy ra một lần nữatrong các hệ thống công nghiệp đang gây lo lắng. Đây làmột lĩnh vực nơi mà một lỗi về an ninh có thể dẫntới một sự tràn hóa chất hoặc một sự mất điệndiện rộng, và nơi mà nó có thể mất hàng tháng trờiđể lên kế hoạch và cài đặt các bản vá.

Ngaytrong tuần này, một nhà nghiên cứu tên là Luigi Auriemmađã gửi cho đội ICS-CERT gây xáo trộn khi ông xuất bảncác chi tiết về 4 chỗ mới bị tổn thương trong các sảnphẩm công nghiệp, thứ gì đó ông đã từng làm vài lầntrong năm ngoái. Auriemma, một nhà nghiên cứu độc lậptại Milan, tin tưởng việc đưa ra các chi tiết kỹ thuậtlà cách nhanh nhất để có mọi thứ được sửa. “Sựphơi bày hoàn toàn là cách tốt nhất để có được sựchú ý về vấn đề này”, ông nói trong một cuộc phỏngvấn qua chat.

Edwards,the man in c-harge of ICS-CERT, acknowledged that the group's workloadhas exploded since it was started in 2009. "We've seen a 600percent increase in the number of vulnerabilities that have beencoordinated and worked through the ICS-CERT," he said. Theallure of industrial control systems means more researchers are nowfocusing on that area, he said.

Thesituation is reminiscent of what happened to Windows a decade ago,when hackers began picking apart Microsoft's products, McCorkle said.Industrial vendors are "basically just 10 years behind the curveon security. It's like we're going back to the '90s," he said.

Whenresearchers first turned to Microsoft in the late 1990s, the softwaremaker was caught flat-footed. It was only after several years ofantagonism between Redmond and the hackers ripping apart its softwarethat Microsoft figured out how to work with hackers.

Researchersbecame so tired of the issues they uncovered being ignored that theystarted to release the technical details in order to force Microsoftto release a patch. The idea of this pattern happening over again inindustrial systems is worrying. It's an area whe-re a security flawcould lead to a chemical spill or a widespread power blackout, andwhe-re it can take months to schedule and install patches.

Justthis week, a researcher named Luigi Auriemma sent the ICS-CERT teamscrambling when he published details on four new vulnerabilities inindustrial products, something he'd already done several times in thepast year. Auriemma, an independent researcher in Milan, believesposting technical details is the quickest way to get things fixed."Full disclosure is the best way to get attention on thismatter," he said in an instant-message interview.

Mộtcựu nhân viên của INL từng làm việc trong Chương trìnhAn ninh các Hệ thống Kiểm soát trong thời gian Finisterređã đưa ra mã nguồn của Citec nói rằng từng có nhữngvấn đề trong những ngày đầu. “Nền công nghiệp đãcó những tương tác khó khăn với văn hóa của các 'tintặc' khi ít chỗ bị tổn thương ban đầu đối với cáchệ thống kiểm soát công nghiệp nổi lên vài năm trước”,Robert Huber, đồng sáng lập của Critical Intelligence, mộtcông ty ở Idaho tiến hành nghiên cứu trong các mối đedọa của các hệ thống công nghiệp. “Ngược về khiđó, các nhà bán hàng đã hoàn toàn không được chuẩnbị cho sự phơi lộ này”, ông nói trong một cuộc phỏngvấn qua thư điện tử.

NhưngHuber nghĩ mọi thứ đang được cải thiện. “Nhiều nhànghiên cứu an ninh đã làm việc với các nhà bán hàng,hoặc thông qua một trung gian, để phát hiện các chỗ bịtổn thương”, ông nói. “Bây giờ, số lượng lớn quantâm có thể dẫn tới nhiều hơn các nhà nghiên cứu trongmôi trường này tạo ra một cái tên cho mình mà khôngtuân theo qui trình tiết lộ, gây ra nhiều chỗ bị tổnthương hơn nữa mà không được điều phối”.

“Chỉcó thời gian sẽ trả lời”, ông nói.

Oneformer INL staffer who worked at the Control Systems Security Programduring the time Finisterre released his Citec code says that therewere problems in the early days. "Industry has already haddifficult interactions with the 'hacker' culture when these first fewvulnerabilities for industrial control systems surfaced a few yearsago," said Robert Huber, co-founder of Critical Intelligence, anIdaho company that does research into industrial systems threats."Back then, the vendors were completely unprepared for thesedisclosures," he said in an email interview.

ButHuber thinks things are improving. "Many security researchershave worked with the vendors, or through an intermediary, to disclosevulnerabilities," he said. "Now, that said, the sheernumber and interest may drive more researchers into the space to makea name for themselves without following the disclosure process,resulting in more vulnerabilities that are not coordinated.

"Onlytime will tell," he said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com