Nie każdy powinien być programistą: aplikacje mobilne do niszczenia fabryk

Smartfony stały się podstawowym narzędziem pracy inżynierówodpowiedzialnych za nadzór produkcji. Ich głównym zastosowaniemnie jest jednak prowadzenie rozmów z zarządem przedsiębiorstwa czywydawanie poleceń podwładnych. Przede wszystkim służą douruchamiania aplikacji mobilnych – końcówek sterownia systemamiSCADA (Supervisory Control and Data Acquisition). W ten sposóbzdalnie można zmienić temperaturę wielkiego pieca czy szybkośćturbin. Albo np. wysadzić fabrykę w powietrze.

IOActive to działający na globalną skalę doradca w zakresiebezpieczeństwa przemysłowego. Firma Embedi zdobyła sławę narynku cyberbezpieczeństwa za sprawą zeszłorocznego odkrycialuki w systemach zdalnego zarządzania Intela. Teraz współpracabadaczy z tych firm przynosi kolejną rewelację, dotyczącąsystemów sterowania przemysłowego, a właściwie aplikacjimobilnych do nich stworzonych. Aleksander Bolszew i Iwan Juszkiewiczw ciągu ostatniego roku zbadali 34 takie aplikacje, tworzone zwykleprzez firmy trzecie dla takich potentatów jak Siemens czy SchneiderElectric. Wybrano je losowo ze sklepu Google Play – i jak sięokazało, jedynie dwie z nich były całkowicie bezpieczne.

W pozostałych znaleziono łącznie 147 luk bezpieczeństwa.Badacze odmówili wskazania, co to za luki i w których aplikacjachwystąpiły, ale podkreślili, że wiele z nich pozwala na wpłynięciena strumień danych między systemem SCADA a aplikacją mobilną, anawet uruchomienie w niej własnego złośliwego kodu. Można więcnp. ukryć przed ofiarą, że dochodzi właśnie do przegrzaniapieca, a nawet wydać polecenia, które zrujnują linię produkcyjną.

Mobilne oprogramowanie, często tworzone przez ludzi mającychnikłe pojęcie o dobrych praktykach w zakresie bezpieczeństwa,staje się w ten sposób kolejną furtką do Internetu Rzeczy. 59%procent aplikacji stosowało niebezpieczne techniki uwierzytelnienia,38% nie szyfrowało komunikacji, 94% pozwalało na modyfikowanie ichkodu, a 47% pozwalało innym aplikacjom na dostęp do ich wrażliwychdanych.

W wielu wypadkach programiści najwyraźniej nie rozumielipodstawowych zasad zabezpieczania Androida. Nic dziwnego, skoroniektóre z aplikacji były pisane na wieloplatformowy frameworkXamarin – i dostarczane ze starą wersją silnika, podatną napodmianęwewnętrznych plików DLL aplikacji w jej pliku APK.

Bolszew przyznaje, że zaszokował go ten stan rzeczy: woprogramowaniu mobilnym nie myśli się o bezpieczeństwie, nawetjeśli są to bramy do systemów przemysłowego sterowania. Gdy robakStuxnet zniszczył irańskie wirówki do wzbogacania uranu, izraelskiwywiad miał poważne wyzwanie – musiał dostarczyć szkodnika dofizycznie odizolowanych systemów. Dziś miałby znacznie łatwiej,nie trzeba mieć fizycznego dostępu do smartfonu, by wykorzystać tepodatności, poprzez nie uzyskać dostęp do przemysłowego sprzętui oprogramowania.

Badania zaowocowały odpowiedzialnym poinformowaniem producentówo problemach i wydaniem aktualizacji, jednak to tylko wierzchołekgóry lodowej. Trend „umobilniania” przemysłowego oprogramowaniajest coraz silniejszy. W 2015 roku Bolszew i Juszkiewicz pierwszy razprzeprowadzilitakie badania. Wtedy znaleźli 20 podatnych na atak aplikacji złącznie 50 podatnościami.

Atakowanie instalacji przemysłowych najwyraźniej budzi zaśzainteresowanie – szczególnie jeśli np. można zaatakować takelektrownię atomową. Niespełna dwa lata temu, w 30. rocznicękatastrofy w Czernobylu, „ze względów bezpieczeństwa” wyłączononiemiecką elektrownię atomową Gundremmingen po tym, jak w sieciinformatycznej jednego z bloków wykryto złośliwe oprogramowanie.

Na stronach IOActive znalazł się darmowy raport, podsumowujący przeprowadzone badania.