Stuxnet gầm rú khi những chỗ bị tổn thương vẫn còn

ByStewart Mitchell

Postedon 9 Nov 2012 at 11:30

Theo:http://www.pcpro.co.uk/news/security/378046/stuxnet-issues-rumble-on-as-vulnerabilities-remain

Bàiđược đưa lên Internet ngày: 09/11/2012

Lờingười dịch: Hơn 2 năm sau khi phát hiện được Stuxnet“phần mềm kiểm soát của Siemens bị ngắm trong cuộctấn công đó vẫn còn bị tổn thương, theo công tykiểm thử khả năng bị tổn thương Positive Technologies...Các hệ thống ICS/SCADA hiện nay trong đoàn tàu và tàuđiện ngầm tốc độ cao, trong các đường ống dẫn dầuvà khí, các nhà máy hạt nhân, các nhà máy thủy điện,các mạng quản lý cung cấp nước và điện... Trong giaiđoạn từ 2005-2010, chỉ có 9 chỗ bị tổn thươngtrong các hệ thống kiểm soát công nghiệp đã đượcphát hiện; trong khi trong năm 2011, sau khi dò tìm ra sâuStuxnet, 64 chỗ bị tổn thương đã được phát hiện.Trong 8 tháng đầu năm 2012, 98 chỗ bị tổn thương mớiđã được báo cáo - còn nhiều hơn tổng các năm trướcđó cộng lại”. Lỗi thì ngày càng nhiều, mà sửathì lại rất chậm, là sự đáng sợ của các hệ thốngkiểm soát công nghiệp ngày nay.

Mưaphóng xạ từ Stuxnet tiếp tục gầm rú, với các công tyan ninh kêu các lỗi tương tự trong các kiểm soát các hệthống công nghiệp khác và nạn nhân khcacs của vũ khíkhông gian mạng gốc ban đầu đang nổi lên.

Stuxnettừng được nói rộng rãi như là vũ khí KGM đầu tiênbám theo các cuộc tấn công vào chương trình hạt nhâncủa Iran được tin là từng được các lực lượng Mỹvà Israel tiến hành.

Vânghơn 2 năm sau công cụ đầu tiên này ra đời, phần mềmkiểm soát của Siemens bị ngắm trong cuộc tấn công đóvẫn còn bị tổn thương, theo công ty kiểm thử khả năngbị tổn thương Positive Technologies.

WinCClà một trình kiểm soát SCADA (Supervisory Control And DataAcquisition), và bất chấp các vấn đề được phát hiệntại Iran thì nhiều lổi vẫn còn. “Dễ dàng để thấymột chỗ bị tổn thương trong WinCC - bạn có thể chỉvào nó”, Sergey Gordeychik, CTO của Positive Technologies đãnói cho Computer World sau khi hoãn một cuộc nói chuyện kỹthuật để cho Siemens có nhiều thời gian hơn để sửacác chỗ bị tổn thương mới được phát hiện.

Cácbình luận tới khi công ty đó đã phát hiện các sự việcchỉ ra một sự gia tăng đáng kể số lược các chỗ bịtổn thương của SCADA kể từ các cuộc tấn công vàoIran.

“Cáchệ thống ICS/SCADA hiện nay trong đoàn tàu và tàu điệnngầm tốc độ cao, trong các đường ống dẫn dầu vàkhí, các nhà máy hạt nhân, các nhà máy thủy điện, cácmạng quản lý cung cấp nước và điện”, công ty nàynói.

“Dễtưởng tượng những gì có thể xảy ra trong trường hợpmột hệ thống hỏng trong một cơ sở xảy ra như mộtkết quả của một cuộc tấn công của các tin tặc. Sốlượng các mối đe dọa như vậy đang gia tăng suốt theothời gian”.

“Tronggiai đoạn từ 2005-2010, chỉ có 9 chỗ bị tổn thươngtrong các hệ thống kiểm soát công nghiệp đã đượcphát hiện; trong khi trong năm 2011, sau khi dò tìm ra sâuStuxnet, 64 chỗ bị tổn thương đã được phát hiện.Trong 8 tháng đầu năm 2012, 98 chỗ bị tổn thương mớiđã được báo cáo - còn nhiều hơn tổng các năm trướcđó cộng lại”.

TheoPositive Technologies, các nhà sản xuất các hệ thống côngnghiệp quá chậm để sửa các chỗ bị tổn thương khichúng được chỉ ra, với 20% các lỗ hổng tiềm tàng cònđể lại chưa được sửa cho ít nhất là 1 tháng.

“Hầuhết những khiếm khuyết về an ninh được sửa khá hiệuquả từ các nhà cung cấp thành phần ICS trước khi chúngtrở nên được biết rộng rãi hoặc trong vòng 30 ngàyđược mở ra không được phối hợp”, hãng này nói.“Khoảng mỗi 1/5 chỗ bị tổn thương đã được sửavới một sự chậm trễ đáng kể, hoặc từng không đượcsửa trong những trường hợp nhất định. Ví dụ, Siemensđã sửa và tung ra các bản vá cho 92% các chỗ bị tổnthương, trong khi Schneider Electric đã sửa được chỉ 56%các khiếm khuyết về an ninh”.

Mốiđe dọa lớn hơn

Mốiđe dọa được đặt ra bởi sự lây nhiễm tiếp tục nhưmột kết quả của các cuộc tấn công SCADA từng đượcnhấn mạnh sau những tiết lội tươi mới mà phần mềmđộc hại đó cũng đã lây nhiễm cho các hệ thống củacông ty Chevron khi phần mềm độc hại Stuxnet đã thoát ramôi trường hoang dã vào năm 2010.

“Tôikhông nghĩa chính phủ Mỹ thậm chí đã nhận thức đượcnó đã lan truyền xa tới mức nào”, Mark Koelmel, tổnggiám đốc của phòng khoa học mặt đất của Chevron, nói,theo Tạp chí Phố Uôn. “Tôi nghĩ sự hạ cánh của nhữnggì họ đã làm sẽ còn tệ hơn nhiều so với họ thựcsự hoàn thành”.

Thefalloutf-rom Stuxnetcontinues to rumble on, with security companies claiming similarflaws in other industrial systems controls and another victim of theoriginal cyber weapon emerging.

Stuxnethas been widely claimed as the first cyberwar weapon followingattacks on Iran's nuclear programme believed to have been undertakenby US and Israeli forces.

Yetmore than two years after the tool first came to light, the Siemenscontrol software targeted in the attack remains vulnerable, accordingto vulnerability testing company Positive Technologies.

Thecompany claims the ICS and SCADA software that controls industrialhardware is riddled with problems, and the specific WinCC softwareattacked in Iran still contains multiple vulnerabilities.

WinCCis a SCADA (Supervisory Control And Data Acquisition) controller, anddespite the problems revealed in Iran many flaws remain. "It'seasy to find a vulnerability in WinCC - you can just point at it,”Sergey Gordeychik, Positive Technologies CTO told ComputerWorldafter cancelling a technical talk to give Siemens more time to fixnewly revealed vulnerabilities.

Thecomments come as the company revealed figures showing a significantrise in the number of SCADA vulnerabilities since the Iranianattacks.

“TheICS/SCADA systems are present in high-speed trains and subway trains,oil and gas pipelines, nuclear power plants, hydroelectricity plants,electric power and water supply management networks,” the companysaid.

“Itis easy to imagine what may happen in case a system failure in afacility occurs as a result of a hacker attack. The number of suchthreats is growing all the time."

“Duringthe period f-rom 2005 to early 2010, only 9 vulnerabilities inindustrial control systems were discovered; while in 2011, after thedetection of the Stuxnet worm, 64 vulnerabilities were discovered.For the first 8 months of 2012, 98 new vulnerabilities were reported— more than during the previous years put together.”

Accordingto Positive Technologies, industrial systems manufacturers are tooslow to fix vulnerabilities when they are pointed put, with 20% ofpotential holes left unfixed for at least a month.

“Mostsecurity defects are fixed rather efficiently by the ICS componentvendors before they became widely known or within 30 days ofuncoordinated disclosure,” the company said. “Approximately everyfifth vulnerability was fixed with a significant delay, or was notfixed in certain cases. For instance, Siemens fixed and releasedpatches for 92% of vulnerabilities, while Schneider Electric fixedonly 56% of security defects.”

Widerthreat

Thethreat posed by further infection as a result of SCADA attacks hasbeen highlighted after fresh revelations that the malware alsoinfected US oil company Chevron's systems when the Stuxnet malwareescaped into the wild in 2010.

“Idon’t think the US government even realised how far it had spread,”said Mark Koelmel, general manager of the earth sciences departmentat Chevron, according to the WallStreet Journal.“I think the downside of what they did is going to be far worsethan what they actually accomplished."

Dịch:Lê Trung Nghĩa

letrungnghia.foss@gmail.com