Black Hat: все промышленные системы уязвимы

Недавнее раскрытие уязвимостей в программируемых логических контролерах (PLC) компании Siemens червем Stuxnet говорит о гораздо более серьезной проблеме в промышленных системах, заявляют эксперты.

Исследователь Диллан Бересфорд был одним из группы экспертов, администраторов и промышленных специалистов, которые выступали на конференции Black Hat с докладами, посвященными уязвимостям программируемых логических контроллеров.

Даже в свете атаки червя, экспертная группа считает, что Siemens является одним из лучших производителей программного обеспечения, когда речь идет об обеспечении безопасности своих PLC систем. Джонатан Полет, основатель и главный консультант по вопросам безопасности и тестирования в фирме Red Tiget, утверждает, что многие производители не в состоянии обеспечить даже минимальную защиту своих контроллеров.

«Он открыл ящик Пандоры, с которым мы имеем дело в течение уже долгого времени», — говорит Полет об исследовании Бересфорда.

«Я думаю, что Siemens является одной из немногих компаний, которые используют пароли для отправки команд PLC».

Основная проблема, по словам Полета, состоит в том, что большая часть промышленного оборудования основана на устаревших платформах, которые никогда не предназначались для работы со сложными сетевыми инфраструктурами. Что касается контроллеров, то многие из них в силу конструкции просты в доступе и легки в обращении.

Тим Рокси, директор отдела оценки рисков и технологий в North American Electric Reliability Corporation, рассказал репортерам о том, что решение проблемы будет требовать гораздо больше усилий, чем просто бюллетени по безопасности и рекомендации администраторам.

«Это займет много времени», — отметил Рокси. «Характер данного вопроса выходит за рамки электроэнергетического сектора, это все важнейшие объекты инфраструктуры не только в США, но и по всему миру».

Однако, эксперты говорили не только в негативных тонах. Исследователи отмечали, что хотя инфраструктура и уязвима, большое количество и разнообразие различных действующих PLC обеспечивает безопасность, и причинить вред объекту или региону в целом крайне сложно.

Том Паркер, директор службы безопасности Securicon, сказал, что в крайних случаях, таких как Stuxnet, хакеры обладали узкоспециализированными знаниями систем, которые они собирались атаковать, в том числе и о том, как они вписываются в общую инфраструктуру объекта.

«Было бы намного сложнее, чем представляют себе люди, вывести из строя все электрические сети», — заявил Паркер. «Бесспорно, все еще существует масса проблем, но их масштаб немного преувеличен».