Tấn công SCADA kiểu Stuxnet giữ im lặng sau các cuộc kiểm thử của chính phủ Mỹ

Stuxnet-styleSCADA attack kept quiet after US gov tests

'Phầnmềm độc hại mức công nghiệp mà không có sự hỗ trợcủa nhà nước'

'Industrialgrade malware without nation state backing'

By JohnLeyden • Getmore f-rom this author

Posted in Malware,19th May 201112:26 GMT

Theo:http://www.theregister.co.uk/2011/05/19/scada_vuln_talk_cancelled/

Bài được đưa lênInternet ngày: 19/05/2011

Lờingười dịch: “Các nhà nghiên cứu an ninh đã quyết địnhhủy bỏ một cuộc trình diễn đã được lên kế hoạchvề các lỗ hổng an ninh trong các hệ thống kiểm soát từSiemens sau các yêu cầu từ nhà sản xuất Đức và mộtđội phản ứng về an ninh”, trong đó có cả Phòngthí nghiệm Quốc gia (Mỹ) tại Idaho. “Các hệthống SCADA kiểm soát mọi thứ từ các van trong đườngống dẫn dầu và khí cho tới các mạng lưới điện, cáccảm biến đo sức nóng trong các nhà máy điện và cácmáy rửa chai trong các nhà máy sản xuất đồ uống”.Một trong những lý do hoãn được đưa ra là: “Vì ảnhhưởng nghiêm trọng về vật lý, tài chính nên các vấnđề này có thể có trên nền tảng toàn cầu, các chitiết xa hơn sẽ được làm cho sẵn sàng tại thời điểmphù hợp. Những chủ nhân/các nhà vận hành hợp pháp cácPLC SCADA hàng đầu có thể liên hệ với chúng tôi đểcó thêm các thông tin”.

Các nhà nghiên cứuan ninh đã quyết định hủy bỏ một cuộc trình diễn đãđược lên kế hoạch về các lỗ hổng an ninh trong cáchệ thống kiểm soát từ Siemens sau các yêu cầu từ nhàsản xuất Đức và một đội phản ứng về an ninh.

Dillon Beresford, mộtnhà phân tích an ninh tại Phòng thí nghiệm NSS, và nhànghiên cứu an ninh độc lập Brian Meixell từng được giaotrách nhiệm tiến hành một cuộc trình diễn - với đầuđề Chuỗi Các phản ứng - Thâm nhập SCADA - tại Hộinghị TakeDown tại Dallas hôm thứ tư.

Họđã chia sẻ nghiên cứu của họ sẵn sàng trước vớiSiemens, Đội Phản ứng nhanh Sự cố Không gian mạng cácHệ thống Kiểm soát Công nghiệp ICS-CERT, và Phòng thínghiệm Quốc gia Idaho. Siemens đã đề nghị 2 nhà nghiêncứu kìm lại trong bài nói chuyện, bao trùm các cơ chếcó thể để tấn công các hệ thống kiểm soát côngnghiệp cùng với một trình bày thực tế.

Beresford và Meixell đãđồng ý hoãn trình bày của họ. “Chúng tôi đã đượcđề nghị rất dễ chịu nếu chúng tôi có thể kìm lạikhông đưa ra thông tin đó lần này”, Beresford đã nóicho CNET. “Tôi đã tự quyết định rằng điều đó cóthể là có lợi nhất về an ninh nếu không đưa ra cácthông tin”.

Sau đó, khi nói choWired, Beresford đã bổ sung thêm rằng “Bộ An ninh Nộiđịa DHS đã không kiểm duyệt bài trình bày”. Beresfordnói rằng ông đã thấy nhiều chỗ bị tổn thương trongcác hệ thống SCADA mà ông đã kiểm thử, không nói cáclỗii nào có thể. Ít nhất một trong những lỗi có thểảnh hưởng tới nhiều nhà cung cấp.

Phòng thí nghiệm NSSđã nhấn mạnh rằng không có áp lực pháp lý nào đãđặt ra để Beresford đình hoãn cuộc nói chuyện, mà ôngta đã hoãn vì các kỹ thuật giảm nhẹ được đề xuấtđược gợi ý từ Siemens đã không đủ để làm việcvới các mối đe dọa mà cuộc nói chuyện có thể đãnhấn mạnh.

Securityresearchers decided to cancel a planned demonstration of securityholes in industrial control systems f-rom Siemens following requestsf-rom the German manufacturer and a security response team.

DillonBeresford, a security analyst at NSS Labs, and independent securityresearcher Brian Meixell were due to make a presentation – entitledChain Reactions–HackingSCADA – at theTakeDown Conference in Dallas on Wednesday.

Theyshared their research beforehand with Siemens, ICS-CERT (IndustrialControl Systems Cyber Emergency Response Team – a division of theDepartment of Homeland Security), and the Idaho National Lab. Siemensasked the two researchers to hold fire on the talk, which coveredpossible mechanisms to attack industrial control systems along with apractical demonstration.

Beresfordand Meixell agreed to delay their presentation. "We were askedvery nicely if we could refrain f-rom providing that information atthis time," Beresford toldCNET. "I decided on my own that it would be in the best interestof security to not release the information."

Later,speaking to Wired,Beresford added that the "DHS in no way tried to censor thepresentation". Beresford saidthat he had found multiple vulnerabilities in the SCADA systems hetested, without saying what these bugs might be. At least one of thesecurity flaws may affect multiple vendors.

NSSLabs stressed that no legal pressure had been placed on Beresford tocancel the talk, which he postponed because the proposed mitigationtechniques suggested by Siemens were insufficient to deal withthreats the talk would have highlighted.

Một tóm tắt cuộcnói chuyện bị hoãn giải thích:

Nhữngkhai thác SCADA gần đây đã chiếm vị trí trung tâm trongcộng đồng quốc tế. Các dạng các chỗ bị tổn thươngnày đặt ra những mối đe dọa đáng kể cho hạ tầngsống còn. Kết hợp với các khai thác truyền thống vớicác hệ thống kiểm soát công nghiệp cho phép các kẻ tấncông vũ khí hóa mã độc, như được trình diễn vớiStuxnet. Các cuộc tấn công chống lại các cơ sở hạtnhân của Iran đã được bắt đầu bằng một loạt cácsự kiện làm chậm lại sự tăng nhanh của các vũ khíhạt nhân.

Chúng tôi sẽ trìnhbày cách mà những kẻ tấn công có động cơ có thểthâm nhập được thậm chí vào các cơ sở được phòngvệ mạnh nhất trên thế giới, mà không có sự hỗ trợcủa một nhà nước quốc gia. Chúng tôi cũng sẽ trìnhbày cách để viết phần mềm độc hại ở mức độcông nghiệp mà không có sự truy cập trực tiếp tới cácphần cứng đích. Sau tất cả, nếu sự truy cập vật lýđược yêu cầu, thì những gì có thể sẽ là điểm thâmnhập vào một hệ thống kiểm soát công nghiệp chăng?

Những khiếm khuyếtvề an ninh trong các Trình kiểm soát Logic Có thể lậptrình được PLC (Programmable Logic Controllers) bên trong cáchệ thống SCADA từ Siemens từng là mục tiêu của sâu nổitiếng Stuxnet, mà các nhà chức trách Iran đã thừa nhậnchúng đã thâm nhập vào các cơ sở hạt nhân của họ vàđã phá hoại các hệ thống đó. Cáchệ thống SCADA kiểm soát mọi thứ từ các van trong đườngống dẫn dầu và khí cho tới các mạng lưới điện, cáccảm biến đo sức nóng trong các nhà máy điện và cácmáy rửa chai trong các nhà máy sản xuất đồ uống.

Trong một bài trênblog giải thích quyết định hoãn nói chuyện an ninh SCADA,Phòng thí nghiệm NSS đã giải thích rằng: “những chỗbị tổn thương thêm đáng kể trong các hệ thống kiểmsoát công nghiệp đã được xác định, được tiết lộvà được làm cho hợp lệ một cách có trách nhiệm bởicác bên bị ảnh hưởng”.

Nó còn bổ sung thêm:“Vì ảnh hưởng nghiêm trọng về vậtlý, tài chính nên các vấn đề này có thể có trên nềntảng toàn cầu, các chi tiết xa hơn sẽ được làm chosẵn sàng tại thời điểm phù hợp. Những chủ nhân/cácnhà vận hành hợp pháp các PLC SCADA hàng đầu có thểliên hệ với chúng tôi để có thêm các thông tin”.

Asynopsisof the cancelled talk explains:

SCADAexploits have recently taken center stage in the internationalcommunity. These types of vulnerabilities pose significant threats tocritical infrastructure. Combining traditional exploits withindustrial control systems allows attackers to weaponize maliciouscode, as demonstrated with Stuxnet. The attacks against Iran’snuclear facilities were started by a sequence of events that delayedthe proliferation of nuclear weapons.

Wewill demonstrate how motivated attackers could penetrate even themost heavily fortified facilities in the world, without the backingof a nation state. We will also present how to write industrial grademalware without having direct access to the target hardware. Afterall, if physical access was required, what would be the point ofhacking into an industrial control system?

Securityshortcomings in the Programmable Logic Controllers within SCADAsystems f-rom Siemens were the target of the infamous Stuxnet worm,which Iranian authorities have admitted infiltrated its nuclearfacilities and sabotaged systems. SCADA systems control everythingf-rom valves on oil and gas pipeline to energy grids, heat sensors inpower plants and bottle washers in beverage manufacturing factories.

Ina blogpost explaining the decision to postpone the SCADA security talk,NSS Labs explained that "significant additional vulnerabilitiesin industrial control systems have been identified, responsiblydisclosed and validated by affected parties".

Itadded: "Due to the serious physical, financial impact theseissues could have on a worldwide basis, further details will be madeavailable at the appropriate time. Legitimate owners/operators ofleading SCADA PLCs may contact us for further information." ®

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com