Били Риос обича да хаква машините, които осигуряват функционирането на съвременното общество. Например Morpho Itemiser 3 – прототип на устройството, което Администрацията за сигурност на транспорта използва за проверка на пътниците на летищата за наличие на експлозиви и наркотици.
Един ден през 2013 г. Риос, изследовател в областта на сигурността, решава да провери устройството Itemiser 3, което TSA е тествала в лаборатория, но така и не е използвала. Той купува устройството онлайн, разглобява го и открива, че в него е кодирана парола. Този пряк път позволявал на техниците лесен достъп до машината, но също така потенциално я оставял жертва на хакери, които биха могли да я превземат от разстояние.
През август 2014 г., на ежегодната конференция Black Hat в Лас Вегас, Риос представя публично своите открития. „След като някой друг открие паролата на техника, тя се превръща в задна врата“, каза тогава Риос и нарече прекия път „опасен“ заради достъпа, който позволява на хакера.
В наши дни компаниите, които отговарят за някои от най-критичните инфраструктури на САЩ, наемат WhiteScope, фирмата за киберсигурност на Риос, за да пробият системите и след това да обяснят как са го направили, за да се подготвят за истинското нещо. Той и екипът му от изследователи са разглобили комуникационните системи, използвани от самолети и автомобили. Понякога обаче тестовете на Риос навлизат в непредвидена територия. Така например едва малко след като представил резултатите си от Itemiser преди четири години, той научил как устройството се използва в ядрения сектор.
При всички хардкор услуги, които WhiteScope предлага, Риос, ветеран от войната в Ирак и бивш ръководител на службата за реагиране при инциденти в Google, е започнал само да остъргва повърхността на сложната верига за доставки, която захранва хилядите цифрови компоненти, които влизат в едно ядрено съоръжение.
Критичните системи на ядрената електроцентрала са добре защитени от обикновени кибератаки, извършени извън централата. Това превръща веригата за доставки с нейните често отдалечени производствени обекти в логична цел за хакери с добри ресурси, които търсят място за проникване в съоръжението. В резултат на това щателните регулатори, опитните служители на ядрените централи и хитрите тестери за проникване като Риос играят своята роля в непрестанните усилия за повишаване на киберсигурността на веригата за доставки.
Веригата на доставките е „огромно сляпо петно в момента“, казва Риос. „Можем да тестваме сигурността на нечия среда и можем да тестваме сигурността на нечии устройства в тези среди. Но тестването на действителна атака по веригата за доставки е много трудно, защото включва координация между много различни участници.“
Според Джим Биърдсли, служител по киберсигурността в Комисията за ядрено регулиране на САЩ, в една типична американска ядрена централа има между 1000 и 2000 „критични цифрови активи“ или цифрови компоненти и системи за поддръжка, които оказват влияние върху безопасността, сигурността или готовността за извънредни ситуации. Тъй като много аналогови компоненти се изчерпват, върху ядрените оператори и техните доставчици пада тежестта да провеждат строги тестове, за да гарантират, че оборудването, инсталирано в централите, е без грешки.
В същото време, докато трае тази жизненоважна работа, хакерите работят по свой график, не бързат и се стремят да заразяват веригите за доставки на критична инфраструктура, където могат. Преди години Министерството на вътрешната сигурност предупреди, че руски правителствени хакери са се насочили към ядрената индустрия, наред с други, като част от широка двугодишна кампания, която се стреми да използва „доверени доставчици от трети страни с по-малко сигурни мрежи“.
Публично оповестените нарушения на сигурността на данните в ядрените съоръжения са рядкост. Обикновено нарушенията са ограничени до ИТ мрежи, които не засягат критични системи за безопасност и сигурност (с важно изключение на Stuxnet – печално известният, усъвършенстван компютърен червей, за който се смята, че е разработен от САЩ и Израел, за да удари съоръжение за обогатяване на уран в Иран през 2009 г. – повече за това след малко). Операторите на ядрени инсталации внимателно изолират критичните системи от мрежите, които са достъпни за обществеността; много от системите се намират зад „диод“, който позволява на данните да текат само в една посока, като по този начин ги предпазва от външни хакерски атаки.
Тъй като много ядрени електроцентрали са построени преди десетилетия, в отрасъла отдавна се използва аналогово оборудване – оборудване, което няма цифров компонент и следователно е имунизирано срещу хакерски атаки, каквито познаваме днес. Въпреки че такова оборудване ще продължи да присъства в централите от съображения за безопасност и кибернетична и физическа сигурност, все повече съоръжения имат цифрови характеристики, чиято киберсигурност операторите трябва да гарантират.
Международната агенция за атомна енергия, ядреният надзорник на ООН, предупреждава, че актуализираните компоненти за ядрените централи, като например сензори за налягане и разходомери, все по-често се предлагат с вграден софтуер. В някои случаи, както се посочва в ръководството на МААЕ, служителите на ядрените централи, които „определят и закупуват измервателна апаратура, може да не знаят, че продуктът на доставчика съдържа вграден софтуер“. МААЕ допълва, че в ръководствата за употреба на продуктите може да не е ясно посочено това.
Stuxnet показа какво е възможно, когато нападателите маскират своя зловреден софтуер като надеждна компютърна програма във веригата за доставки.
Както вече беше съобщено в WIRED, хакерите зад Stuxnet откраднаха цифровите сертификати на две тайвански хардуерни компании и ги използваха за подписване на компютърни драйвери. След това използването на автентични сертификати заблуждава защитите на операционните системи Windows, което позволява зареждането на зловредния код. С помощта на преносими носители за достигане до „въздушно затворена“ система без преки или непреки връзки с интернет нападателите успяха да унищожат около 1000 центрофуги в съоръжението за обогатяване на уран в Натанз.
Инцидентът илюстрира колко трудно може да бъде откриването на компрометиране на веригата за доставки – нещо, от което се възползваха по-новите хакерски операции, насочени към критичната инфраструктура.
Например през 2013 и 2014 г. членове на Dragonfly, напреднала руска хакерска група, проникнаха в уебсайтовете на доставчици на софтуер за индустриални системи за управление (ICS). Клиентите, които посещават уебсайта на доставчика, рискуват да изтеглят зловреден софтуер, който е бил включен в пакет с легитимна актуализация на софтуера. Въпреки че няма доказателства, че доставчиците имат клиенти в ядрената индустрия, експертите твърдят, че този вектор на атака – който използва публично достъпни софтуерни актуализации – е логичен във всяка индустрия. Устойчивостта на групи като Dragonfly напомня, че нападателите разполагат с време и могат да чакат с години, преди да използват задна вратичка, заровена във веригата за доставки.
Хакерите търсят нови пътища към мрежата, тъй като средата става все по-затворена – казва Лиъм О’Мърчу, специалист по сигурността в Symantec, който е един от първите анализатори на зловреден софтуер, разчел червея Stuxnet. „Атаките по веригата за доставки, които наблюдаваме в момента“, казва О’Мърчу, „са много лесен път в сравнение с някои от по-старите пътища, които са станали по-трудни.“
Ядрената индустрия отдавна обръща голямо внимание на сигурността на веригата за доставки. Загрижеността за киберсигурността, идеята, че чиповете, рутерите и други съоръжения могат да бъдат използвани по злонамерен начин, се засили през последните години покрай известни събития като Stuxnet, но също и след като властите в САЩ, Великобритания и други страни предприеха мерки за регулиране на веригата за доставки.
Набор от разпоредби на Комисията за ядрено регулиране на САЩ, инициирани през 2009 г., но които като цяло не трябваше да бъдат приложени изцяло до края на 2017 г., изискват от операторите на американски ядрени централи да демонстрират по-строг надзор върху киберсигурността на своите вериги за доставки. Според Джордж Липскомб, бивш инспектор на NRC, това е по-динамична програма от предишните практики за възлагане на обществени поръчки, тъй като регулаторите, операторите и доставчиците трябва непрекъснато да оценяват средата на киберзаплахи.
Преди новия кръг от инспекции на централите американските ядрени оператори провериха допълнително своите вериги за доставки. В продължение на три дни през април 2017 г. одиторът на АЕЦ „Купър“ Талиса Чеймбърс и нейните колеги от комуналната компания Nebraska Public Power District (NPPD) преминаха през редица проверки за сигурност в производствената площадка на доставчик на критично цифрово оборудване. В този процес, разказа ми Чеймбърс, те научили нови неща за средата за сигурност на доставчика.
Според Чеймбърс преди одита служителите на станция Купър не са знаели, че доставчикът е тествал повторно на място оборудването, което е пристигало от поддоставчици. Вместо тази практика, Cooper Station е можела да изиска от неназования доставчик да покаже, че тези поддоставчици са въвели контрол върху киберсигурността. С други думи, отстраняването на тези различия в политиките е от решаващо значение за свеждане до минимум на броя на слепите петна във веригата за доставки.
Алвин Хейс, половинвековен ветеран в ядрената индустрия и старши системен анализатор в NPPD, който участва в одита през април 2017 г., заяви, че доставчикът се е представил добре като цяло, но все още има някои пропуски в сигурността, които трябва да бъдат отстранени. „Имаше области, в които те не осъзнаваха, че трябва да имат политика“, казва Хейс. „Определено тя все още беше в чернова“.
В един случай, обясни Хейс, документиран контрол е имал дата на влизане в сила на одита, което означава, че е бил съставен специално за проверката. Хейс каза, че политиката на NPPD е да тества цялото оборудване, което получава, за уязвимости, дори ако оборудването идва от надежден доставчик.
Беърдсли, служителят на АЯР, казва, че комисията планира да преразгледа разпоредбите, които анализаторите определят като най-съвестните стандарти за киберсигурност в сектора на ICS, и да ги актуализира, където е необходимо. Но някои експерти по сигурността все още се притесняват от времето, което е изминало от създаването на тези разпоредби през 2009 г.
„Имате повече от осем години история на промишлената киберсигурност, която не е отразена в тези разпоредби“, казва Майкъл Тоекер, инженер по киберсигурност за промишлени системи. „Колкото по-дълго се отлагат тези правила, толкова повече противникът се адаптира.“
Въпреки строгите тестове на оборудването, извършвани в ядрените съоръжения, неуловимият характер на софтуерните грешки означава, че някои от тях неизбежно се промъкват през пукнатините. Степента, в която ядрената индустрия може да работи с външни изследователи, които идентифицират уязвимости, които служителите на централата пропускат, ще бъде от ключово значение за киберсигурността на веригата за доставки.
Няколко дни след представянето си на Black Hat през август 2014 г., на Риос, който е извършил пен-тест, се обажда служител от американско ядрено съоръжение и го моли за повече подробности относно задната врата за пароли на Itemiser.
„Нямах представа, че същите устройства, които се използват за откриване на експлозиви на летищата, се използват и в ядрени съоръжения“, разказва Риос.
Риос не е единственият изследовател в областта на сигурността, който посочва уязвимости в търговски устройства, използвани в ядрени съоръжения.
През юли миналата година Рубен Сантамарта, главен консултант по сигурността във фирмата за киберсигурност IOActive, показа, че атакуващият може да се възползва от уязвимостите в устройствата за радиационен мониторинг, за да фалшифицира показанията на радиацията. А за повече от десетилетие, през което е извършвал оценки на уязвимостите в електроцентрали, включително множество ядрени съоръжения, Брайън Л. Сингър, директор на услугите за индустриална киберсигурност на IOActive, казва, че винаги е откривал някаква уязвимост, независимо дали става дума за компютърни червеи или троянски вируси, маскирани като легитимен софтуер, която преди това не е била известна на служителите на централата. Според Сингър много от тези уязвимости са били въведени в началото на веригата за доставки.
Откриването на такива уязвимости не е непременно повод за безпокойство. Във всяка индустрия, от ядрената до търговията на дребно, добрият ловец на зловреден софтуер се стреми да открие нещо. Нежеланието да се търсят уязвимости обаче би било проблем. И макар че ядрената индустрия е постигнала напредък в по-активното проучване на мрежите за грешки, наблюдатели като Том Паркхаус казват, че както и в други индустрии, може да се направи още.
Паркхаус, висш служител в областта на киберсигурността в британския регулатор Office for Nuclear Regulation, заяви, че е попаднал на организация, работеща в ядрения сектор, която обвързва бонусите на служителите с това, че докладват за кибернетични уязвимости. Това означава, че ако не сте сигнализирали за уязвимости, може да имате право на бонус. Паркхаус отказа да каже дали става въпрос за доставчик или за друга организация, но подчерта, че тази практика е по-скоро изключение, отколкото норма, и че е постигнал успех в нейното премахване. (Този вид практика е наистина много рядка, защото, както казват вътрешни хора от индустрията, културата на ядрената сигурност насърчава хората да докладват за проблеми със сигурността, когато те възникнат.)
„Искам хората да разберат какъв е рискът, а не да отричат проблема или да го раздухват“, каза Паркхаус и добави, че ядреният сектор на Обединеното кралство постига това отчасти чрез споделяне на информация за заплахите, тъй като киберпространството се променя.
Тестването с пен-тестове може да запознае ядрените оператори с уязвимостите във веригата за доставки, въпреки че в крайна сметка операторът сам решава, ръководейки се от нормативната уредба, какво да направи по въпроса.
„Това е толкова просто, колкото: Дали хората разбират излагането си на риск?“ – казва Паркхаус, който по време на военната си кариера е бил разположен на обект за ядрена сигурност. „Имат ли гъвкавостта да реагират на неочакваното и имат ли културата да го подобрят или влошат?“
Той добави, че ядрената индустрия „така или иначе признава всички тези неща за свои присъщи отговорности, когато става въпрос за безопасност“.
От това доколко добре индустрията ще продължи да прилага този опит към киберсигурността, ще зависи способността ѝ да се адаптира към цифровата ера.
„Вече почти не може да се купи нещо, което да не е цифрово в някакво отношение“, каза Хейс. „И поради това трябва да бъдем особено бдителни.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.