Отключение оборудования от Интернета (и немного про iPhone)
Шумная история: после обновления iOS, некоторые аппараты iPhone, которые ремонтировались в неавторизованных мастерских, оказались нерабочими (вроде бы, причина – замена сенсора-считывателя отпечатка пальца). Есть множество историй, в которых “выкатка” обновления ПО убивает то или иное устройство. Но в этот раз опять вспомнили о том, что системное программное обеспечение используется и при управлении различными производствами (набравшая наконец популярность тема безопасности АСУ ТП). А раз “внешний” владелец ПО может отключить iPhone, то почему бы не проделать то же самое и с промышленными системами? Про станки, которые дистанционно получают обновления, а также могут быть дистанционно заблокированы разработчиком, если, например, не продлён срок договора обслуживания, – давно известно. Но ещё старше предлагаемое решение: мол, давайте отключим станки и оборудование от Интернета (а программное обеспечение, стало быть, всё равно оставим без изменений), чтобы обезопасить систему управления от отключения извне. В современной ситуации – неправильное решение, и очень наивное.
Зловред Stuxnet, портивший иранские центрифуги на урановом производстве, был занесён в промышленную сеть на “флешке”. Реальность информационной безопасности на производствах, в типичных корпоративных сетях, такова, что если сеть вообще работает, то сейчас для проведения атаки не так уж и важно, подключена она к Интернету или нет. Главное, чтобы компьютеры были соединены между собой, а точка проникновения через наивный “воздушный зазор” (air gap) – найдётся. На практике, из-за человеческого фактора, отсутствие подключения к Интернету и массовое перемещение “флешек” – делают ситуацию хуже, потому что для атаки со стороны USB системы гораздо более уязвимы, чем для атаки из Интернета. (Интернет, кстати – всё равно всегда находится рядом, буквально в одном “хопе”: будь то смартфон или “нелегально” пронесённый 4G-модем, который подключен к компьютеру на рабочем месте. Поделать с этим ничего нельзя, так как отказываться от глобальной Сети, мягко говоря, невыгодно в стратегическом смысле.)
Конечно, не следует делать вывод, что нужно все производственные системы подключить напрямую к Сети. Нет, подключать не нужно. Но в современной ситуации рассчитывать на то, что отсутствие такого подключения как-то защищает “чужую” систему от отключения в критической ситуации – наивно. От легитимного отключения, реализованного банально – да, защитит. Но уже чуть более продвинутое решение, подразумевающее закладку в оборудовании, срабатывающую по времени отсутствия обновлений, вопрос с таким отключением полностью снимает. Кроме того, если говорить о промышленных системах, там передача сигналов возможна иными методами. Если аппаратура, техпроцесс, или управляющее программное обеспечение, хотя бы один из этих элементов – что-то вроде чёрного ящика для тех, кто оборудование использует (а это, обычно, так, к сожалению), то “отключающая закладка” может быть активирована при помощи сигнала, полученного через тот или иной датчик, или, если хотите, даже через изменение химического состава сырья. Или производство останавливается из-за того, что смартфон одного из рабочих “пропищал” своим динамиком кодовую последовательность на высоких частотах, её принял ультразвуковой дальномер, измеряющий уровень масла в котле-смесителе, принял – и просигналил в центральную автоматическую систему управления, которая быстренько сломала весь цех и сама вырубилась (на всякий случай, вместе с телефонией и электричеством). Кажется фантастикой. Но это только кажется, да и казаться будет не долго: потому что к популярной теме “кибербезопасности” АСУ ТП подходят с навыками защиты офисного “домена Windows”, а с промышленными системами ситуация сложнее.
Адрес записки: https://dxdt.ru/2016/02/08/7828/
Похожие записки:
- Теги ключей DNSSEC: продолжение
- Реплика: внешние капча-сервисы и сегментация
- "Умные" колонки и смартфоны
- LibreSSL и поддержка криптосистем ГОСТ
- Правила пакетной фильтрации и "постквантовое" ClientHello
- Странные особенности Golang: комментарии и ассемблер
- Детектирование текстов, сгенерированных ИИ
- Рассылка SMS и распределённые сети под управлением Telegram
- Rowhammer-атака и код сравнения с нулём
- Техническое: связь SCT-меток с логами Certificate Transparency
- Постквантовый мир прикладной криптографии
Комментарии читателей блога: 4
1. 9th February 2016, 23:17 // Читатель sarin написал:
не могу в полной мере согласиться, что задачи противодействия атакам на АСУ промышленных объектов лежат в сфере ИБ. лежат, конечно, в какой-то мере. но я бы сказал так: если на пути кибератаки , приводящей к промышленной аварии последней преградой оказывается ИБ, то всё, хана.
если значительные участки и этапы производства являются тёмной материей для персонала, если специфический выходной сигнал с одного из датчиков может привести систему к катастрофе, то у завода явно серьёзные проблемы с надёжностью. что если ультразвуковой дальномер окажется в нерабочем состоянии? будет показывать полный бак, когда там пусто. АСУ должна выявить заведомо ложные показания датчика. например, сравнив с данными с расходомера. если же речь об активации закладки в ПО по очень своеобразному сигналу дальномера, то и на этот случай лучше иметь защиту. ведь введение производства в состояние, ведущее к катастрофе может произойти и из-за ошибки в софте. для этого, конечно, потребуется отдельная система, следящая за состоянием производства.
2. 11th February 2016, 15:12 // Читатель alex написал:
Все подобные идеи сводятся к одной глобальной парадигме заговора:
если прикинуть, каков процент деловых сетевых систем на винде и макоси, то невольно возникает мысль о “выключателе судного дня”. При этом вопрос о возможности аудита на совести настолько квалифицированных спецов, что в “кухонных” обсуждениях можно о нем и вовсе позабыть :).
Да, воспользоваться такой кнопкой можно лишь раз. Но последствия будут фатальны.
А если так, то есть ли смысл рассуждать о заговорах помельче ? :)
3. 11th February 2016, 15:49 // Читатель sarin написал:
конечно есть! :)
4. 12th February 2016, 03:52 // Читатель зашел в гости написал:
обычно контракты с поставщиками сложного оборудования включают гарантии и обслуживание на много лет вперед. Т.е., если в США “упадут” машины “Сименс”, то через пол-дня немецкие специалисты будут на месте, и все оборудование скоро будет опять в строю. Да, день-два будут списаны в убытки, но уязвимость найдут и залатают, и на общую картину эта атака не повлияет. Серьезная головная боль будет у тех, кто покупает оборудование б/у, через левых посредников, или вообще нелегально. Т.е. у и Ирана, Сев. Кореи и Ко.