Ipari és folyamatirányítási informatikai rendszerek biztonságáról magyarul.

ICS Cyber Security blog

ICS Cyber Security blog

ICS biztonság a WannaCry ransomware-támadások tükrében

2017. május 14. - icscybersec

Az elmúlt nagyjából 48 órában a szakmai és igen jelentős részben a mainstream sajtó is a WannaCry néven elhíresült ransomware-féreg támadásaitól volt hangos. Bár mindezidáig nem érkezett olyan hír, hogy ipari környezeteket vagy rendszereket is elértek volna a támadások, de kritikus infrastruktúrák (kórházak, telekommunikációs szolgáltató cégek, stb.) szerte a világon és részben Magyarországon is érintettek (amiről eddig tudni lehet, az a Telenor és a T-csoport egyes vállalatainak érintettségéről szólnak).

Arról, hogy mi is a WannaCry vagy WannaCrypt0r 2.0, csak röviden írok, ahogy a poszt végén található linkekből látszik, a szaksajtó és a különböző IT biztonsági cégek két napja nagyjából másról sem írnak. A támadások alapjául a Shadow Brokers nevű hackercsoport által az NSA-től ellopott, majd publikált sérülékenységek egyike, a Windows rendszereket érintő MS17-010-es biztonsági frissítésben részletezett, számos (már elavult vagy aktív támogatással rendelkező) Windows verziót érintő, SMBv1-et érintő hiba szolgált (egyes források szerint SMBv2 is érintett, de a Microsoft hibával kapcsolatos publikációja csak a v1-et említi). Egy forrásom szerint egyébként a hibát az MS17-008-as biztonsági és az MS17-006 havi összesített frissítések tartalmazzák. A támadások pénteken délután váltak egyre komolyabbá, 18:00 körül már 74 országból érkeztek hírek egyre komolyabb károkról, többek között a brit egészségügyi szolgálat (NHS) rendszereit is használhatatlanná tette.

A támadás olyan méreteket öltött, hogy a Microsoft, soron kívül és saját szabályait félretéve javítást adott ki a már nem támogatott operációs rendszereihez (Windows XP, Windows Server 2003 család, Vista, 8) is. Most (vasárnap este) úgy tűnik, hogy viszonylagos nyugalom van (miután egy brit biztonsági kutató mondhatni véletlenül elérte, hogy a WannaCry leálljon, miután regisztrálrta azt a domaint, amit aktívnak látva a WannaCry felfüggesztette a működését), de szakértők szerint a következő nagyobb támadási hullám a hétfő reggeli munkakezdéshez kapcsolódhat, amikor ismét tömegesen jelenhetnek meg a hálózatokon még nem frissített számítógépek, illetve a támadók (bárki is álljon e mögött a ransomware-kampány mögött) bármikor módosíthatják a kódjukat, hogy az eddigi védelmi intézkedések hatástalanok legyenek (kivéve persze az SMBv1 hiba javítását).

Hogy hogyan hat ez a támadás az ICS rendszerekre? Ezt egyelőre nehéz megmondani, de az alábbi, ICS biztonsági körökben rendszeresen hangoztatott problémák tökéletes terepet kínálnak egy ilyen szinten virulens féregnek:

1. Internetre csatlakoztatott ICS rendszerek: Bár hosszú évek óta nagyon sok ICS kiberbiztonsággal foglalkozó kutató hangoztatja, hogy az ipari rendszerek közvetlen Internet kapcsolatait minél előbb meg kell szüntetni (az már világos, hogy az ipari hálózatok teljes, fizikai szeparálása a legtöbb szervezetnél üzleti és/vagy technológiai okok miatt nem megoldható), tíz és százezrével találhatóak az Interneten ipari rendszerek.

2. Napjainkban az ipari rendszerek egyik legelterjedtebb operációs rendszere a Microsoft Windows, ennek a családnak is jellemzően a régebbi verziói (főként Windows XP és 2003 verziók, de a termelésirányításban sok helyen akár még Windows NT 4.0-val is találkozhatnak a bennfentesek), ami bizony azt jelenti, hogy ezeknél a rendszereknél az üzemeltetőknek szombatig esélyük sem volt telepíteni a hibajavítást.

3. Az, hogy már minden Windows 2000-nél újabb Windows verzióhoz van elérhető hibajavítás a célba vett SMBv1 sérülékenységhez, nem jelenti azt, hogy napokon (vagy akár heteken) belül védettek lehetnek az érintett ipari rendszerek. Pont az ICS rendszerek sajátos patch-menedzsment eljárása (illetve sok esetben a patch-menedzsment eljárás teljes hiánya) miatt akár hónapokra is szükség lehet, amíg egy-egy rendszerre felkerül a most kiadott frissítés.

Ha a fenti problémák nem lennének önmagukban is elég súlyosak és együtt egyenesen a tökéletes forgatókönyv egy ICS biztonsági incidenshez, az elmúlt évek tendenciája, hogy a különböző nemzetállamok  kormányai (és nem csak globális nagyhatalmak, hanem regionális hatalmak, sőt, akár kisebb országok is) ipari méretekben kezdték felhalmozni a különböző elterjedt operációs rendszerek sérülékenységeit és készítettek ezeket a sérülékenységeket kihasználó exploit-okat, amik most már lassan menetrendszerűen kerülnek nyilvánosságra, hogy utána a legkülönbözőbb hacker-csoportok használják fel ezeket a saját céljaikra, kifejezetten aggasztó kéne hogy legyen az ICS biztonságért és a kritikus infrastruktúrákért felelős vezetők számára.

Egyelőre nem látható, hogy a WannaCry-támadásoknak hol lehet a vége és milyen hatással lehet az egyes országok (kritikus) infrastruktúráira, de úgy gondolom, hogy az ICS biztonság helyzete minden ilyen, IT biztonsági incidenssel csak tovább romlik, a megoldás pedig messzebb van tőlünk, mint korábban bármikor.

Néhány alaposabb sajtócikk a WannaCry-ról:

Kaspersky Blog
TrendMicro Blog

A bejegyzés trackback címe:

https://icscybersec.blog.hu/api/trackback/id/tr3512505133

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Nincsenek hozzászólások.
süti beállítások módosítása