r   e   k   l   a   m   a
r   e   k   l   a   m   a

Nie każdy powinien być programistą: aplikacje mobilne do niszczenia fabryk

Strona główna AktualnościBEZPIECZEŃSTWO

Smartfony stały się podstawowym narzędziem pracy inżynierów odpowiedzialnych za nadzór produkcji. Ich głównym zastosowaniem nie jest jednak prowadzenie rozmów z zarządem przedsiębiorstwa czy wydawanie poleceń podwładnych. Przede wszystkim służą do uruchamiania aplikacji mobilnych – końcówek sterownia systemami SCADA (Supervisory Control and Data Acquisition). W ten sposób zdalnie można zmienić temperaturę wielkiego pieca czy szybkość turbin. Albo np. wysadzić fabrykę w powietrze.

IOActive to działający na globalną skalę doradca w zakresie bezpieczeństwa przemysłowego. Firma Embedi zdobyła sławę na rynku cyberbezpieczeństwa za sprawą zeszłorocznego odkrycia luki w systemach zdalnego zarządzania Intela. Teraz współpraca badaczy z tych firm przynosi kolejną rewelację, dotyczącą systemów sterowania przemysłowego, a właściwie aplikacji mobilnych do nich stworzonych. Aleksander Bolszew i Iwan Juszkiewicz w ciągu ostatniego roku zbadali 34 takie aplikacje, tworzone zwykle przez firmy trzecie dla takich potentatów jak Siemens czy Schneider Electric. Wybrano je losowo ze sklepu Google Play – i jak się okazało, jedynie dwie z nich były całkowicie bezpieczne.

W pozostałych znaleziono łącznie 147 luk bezpieczeństwa. Badacze odmówili wskazania, co to za luki i w których aplikacjach wystąpiły, ale podkreślili, że wiele z nich pozwala na wpłynięcie na strumień danych między systemem SCADA a aplikacją mobilną, a nawet uruchomienie w niej własnego złośliwego kodu. Można więc np. ukryć przed ofiarą, że dochodzi właśnie do przegrzania pieca, a nawet wydać polecenia, które zrujnują linię produkcyjną.

r   e   k   l   a   m   a

Mobilne oprogramowanie, często tworzone przez ludzi mających nikłe pojęcie o dobrych praktykach w zakresie bezpieczeństwa, staje się w ten sposób kolejną furtką do Internetu Rzeczy. 59% procent aplikacji stosowało niebezpieczne techniki uwierzytelnienia, 38% nie szyfrowało komunikacji, 94% pozwalało na modyfikowanie ich kodu, a 47% pozwalało innym aplikacjom na dostęp do ich wrażliwych danych.

W wielu wypadkach programiści najwyraźniej nie rozumieli podstawowych zasad zabezpieczania Androida. Nic dziwnego, skoro niektóre z aplikacji były pisane na wieloplatformowy framework Xamarin – i dostarczane ze starą wersją silnika, podatną na podmianę wewnętrznych plików DLL aplikacji w jej pliku APK.

Bolszew przyznaje, że zaszokował go ten stan rzeczy: w oprogramowaniu mobilnym nie myśli się o bezpieczeństwie, nawet jeśli są to bramy do systemów przemysłowego sterowania. Gdy robak Stuxnet zniszczył irańskie wirówki do wzbogacania uranu, izraelski wywiad miał poważne wyzwanie – musiał dostarczyć szkodnika do fizycznie odizolowanych systemów. Dziś miałby znacznie łatwiej, nie trzeba mieć fizycznego dostępu do smartfonu, by wykorzystać te podatności, poprzez nie uzyskać dostęp do przemysłowego sprzętu i oprogramowania.

Badania zaowocowały odpowiedzialnym poinformowaniem producentów o problemach i wydaniem aktualizacji, jednak to tylko wierzchołek góry lodowej. Trend „umobilniania” przemysłowego oprogramowania jest coraz silniejszy. W 2015 roku Bolszew i Juszkiewicz pierwszy raz przeprowadzili takie badania. Wtedy znaleźli 20 podatnych na atak aplikacji z łącznie 50 podatnościami.

Atakowanie instalacji przemysłowych najwyraźniej budzi zaś zainteresowanie – szczególnie jeśli np. można zaatakować tak elektrownię atomową. Niespełna dwa lata temu, w 30. rocznicę katastrofy w Czernobylu, „ze względów bezpieczeństwa” wyłączono niemiecką elektrownię atomową Gundremmingen po tym, jak w sieci informatycznej jednego z bloków wykryto złośliwe oprogramowanie.

Na stronach IOActive znalazł się darmowy raport, podsumowujący przeprowadzone badania.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.