2013 में औद्योगिक प्रणालियों पर अधिक हमलों के लिए ब्रेस

कमजोर पड़ने वाले शोधकर्ताओं की बढ़ती संख्या आने वाले वर्ष में औद्योगिक नियंत्रण प्रणाली (आईसीएस) पर अपना ध्यान केंद्रित करेगी, लेकिन साइबरटाकर्स भी होंगे, सुरक्षा विशेषज्ञों का मानना ​​है।

नियंत्रण प्रणाली समर्पित वर्कस्टेशंस या सर्वरों पर चल रहे पर्यवेक्षी सॉफ़्टवेयर से बने होते हैं और कंप्यूटर-जैसे प्रोग्राम करने योग्य हार्डवेयर डिवाइस जो विद्युत चुम्बकीय प्रक्रियाओं से जुड़े होते हैं और नियंत्रित करते हैं। इन प्रणालियों का उपयोग औद्योगिक सुविधाओं, सैन्य प्रतिष्ठानों, बिजली ग्रिड, जल वितरण प्रणाली और यहां तक ​​कि सार्वजनिक और निजी इमारतों में विभिन्न प्रकार के संचालनों की निगरानी और नियंत्रण के लिए किया जाता है।

कुछ महत्वपूर्ण बुनियादी ढांचे में उपयोग किए जाते हैं- जिन प्रणालियों में बड़ी आबादी निर्भर है बिजली, स्वच्छ पानी, परिवहन इत्यादि- इसलिए उनके संभावित सड़कों पर दूरगामी परिणाम हो सकते हैं। हालांकि, अन्य, केवल अपने मालिकों के व्यवसायों के लिए प्रासंगिक हैं और उनके खराब होने का व्यापक प्रभाव नहीं होगा।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

मैलवेयर त्रुटियों का खुलासा करता है

एससीएडीए की सुरक्षा (पर्यवेक्षी नियंत्रण और डेटा अधिग्रहण) और अन्य प्रकार के औद्योगिक नियंत्रण प्रणाली आईटी सुरक्षा उद्योग में बहुत बहस का विषय रहा है क्योंकि 2010 में स्टक्सनेट मैलवेयर की खोज हुई थी।

स्टक्सनेट विशेष रूप से लक्षित और एससीएडीए को संक्रमित करने वाला पहला ज्ञात मैलवेयर था सिस्टम और सफलतापूर्वक यूरेनियम संवर्धन केंद्र को नटानज़ में ईरान के परमाणु संयंत्र में नुकसान पहुंचाने के लिए उपयोग किया गया था।

स्टक्सनेट एक परिष्कृत साइबरवेपोन था जिसे राष्ट्र राज्यों द्वारा विकसित किया गया था-वर्तमान में अमेरिका और इज़राइल-कुशल डेवलपर्स, असीमित धन और विस्तृत जानकारी तक पहुंच के साथ नियंत्रण प्रणाली की कमजोरियों के बारे में।

महत्वपूर्ण बुनियादी ढांचे नियंत्रण प्रणालियों पर हमला करने के लिए गंभीर योजना, खुफिया सभा और वैकल्पिक पहुंच मेथो के उपयोग की आवश्यकता है डीएस-स्टक्सनेट को यूएसबी उपकरणों के माध्यम से फैलाने के लिए डिज़ाइन किया गया था क्योंकि नटानज़ कंप्यूटर सिस्टम इंटरनेट से अलग किए गए थे, पहले अज्ञात भेद्यता का शोषण किया था और केवल साइट पर पाए जाने वाले बहुत विशिष्ट एससीएडीए कॉन्फ़िगरेशन को लक्षित किया था। हालांकि, नियंत्रण प्रणाली जो महत्वपूर्ण बुनियादी ढांचे का हिस्सा नहीं हैं, कम कुशल हमलावरों द्वारा हमला करने के लिए तेजी से आसान हो रही हैं।

ऐसा इसलिए है क्योंकि इनमें से कई सिस्टम दूरस्थ प्रशासन की सुविधा के लिए इंटरनेट से जुड़े हुए हैं और आईसीएस में भेद्यता के बारे में जानकारी सॉफ्टवेयर, डिवाइस और संचार प्रोटोकॉल प्री-स्टक्सनेट दिनों की तुलना में अधिक आसानी से सुलभ है। एससीएडीए और आईसीएस भेद्यता के दर्जनों के बारे में विवरण पिछले दो वर्षों के दौरान सुरक्षा शोधकर्ताओं द्वारा सार्वजनिक रूप से खुलासा किया गया है, अक्सर प्रमाण-अवधारणा शोषण कोड के साथ।

"हम इंटरनेट सुलभ नियंत्रण प्रणाली उपकरणों के शोषण में वृद्धि देखेंगे क्योंकि शोषण स्वचालित हो जाते हैं, "डिजिटल बॉन्ड के चीफ एक्जीक्यूटिव ऑफिसर डेल पीटरसन ने कहा, एक कंपनी जो आईसीएस सुरक्षा अनुसंधान और आकलन में माहिर हैं, ईमेल के माध्यम से।

हालांकि, अधिकांश इंटरनेट सुलभ नियंत्रण प्रणाली उपकरण क्या नहीं हैं ज्यादातर लोग महत्वपूर्ण बुनियादी ढांचे पर विचार करेंगे, उन्होंने कहा। "वे छोटे नगरपालिका प्रणालियों का प्रतिनिधित्व करते हैं, स्वचालन प्रणाली का निर्माण करते हैं, आदि। वे कंपनी के लिए बहुत महत्वपूर्ण हैं जो उनका मालिक है और उन्हें चलाती है, लेकिन अधिकांश हिस्से के लिए बड़ी आबादी या अर्थव्यवस्था को प्रभावित नहीं करती है।"

हमलावर जो संभावित रूप से रुचि ले सकते हैं ऐसे प्रणालियों को लक्षित करने में राजनीतिक रूप से प्रेरित हैकर्स एक बयान देने की कोशिश कर रहे हैं, हैकटीविस्ट समूह उनके कारण पर ध्यान आकर्षित करने में रुचि रखते हैं, ब्लैकमेलिंग कंपनियों में दिलचस्पी रखने वाले अपराधियों या यहां तक ​​कि हैकर इसे मजेदार या उग्र अधिकार कर रहे हैं।

हैकर को लक्ष्य मिलते हैं

23 जुलाई को हाल ही में लीक किए गए एफबीआई साइबरलर्ट दस्तावेज़ से पता चला है कि इस साल के शुरू में हैकर्स ने न्यू जर्सी एयर कंडीशनिंग कंपनी के कार्यालय भवन में परिचालन में हीटिंग, वेंटिलेशन और एयर कंडीशनिंग (एचवीएसी) प्रणाली को अनधिकृत पहुंच प्राप्त की थी, जो नियंत्रण में पिछली भेद्यता का शोषण कर रही थी इसके साथ जुड़े बॉक्स - ट्रिडियम द्वारा बनाई गई एक नियाग्रा नियंत्रण प्रणाली। लक्षित कंपनी ने बैंकों और अन्य व्यवसायों के लिए समान प्रणालियों को स्थापित किया।

नियाग्रा आईसीएस सिस्टम में भेद्यता के बारे में जानकारी के बाद उल्लंघन हुआ, "मोंटेकर" @ntisec "(एंटीसेक) का उपयोग कर एक हैकर द्वारा जनवरी में ऑनलाइन साझा किया गया था। ऑपरेशन एंटीसेक कानून प्रवर्तन एजेंसियों और लुल्ज़सेक, बेनामी और अन्य हैकटीविस्ट समूहों से जुड़े हैकर्स द्वारा किए गए सरकारी संस्थानों को लक्षित करने वाले हैकिंग हमलों की एक श्रृंखला थी।

"21 और 23 जनवरी 2012 को, एक अज्ञात विषय ने एक ज्ञात अमेरिकी वेबसाइट पर टिप्पणियां पोस्ट कीं, एफबीआई ने लीक किए गए दस्तावेज़ में कहा, "#US #SCADA #IDIOTS 'और' #US #SCADA #IDIOTS भाग- II 'शीर्षक।

" यह कोई फर्क नहीं पड़ता कि आईसीएस के खिलाफ हमले संभव हैं या नहीं क्योंकि वे हैं, "सिक्योरिटी कंसल्टेंसी फर्म आईओएक्टिव के साथ एक सुरक्षा शोधकर्ता रूबेन संतमार्टा, जिन्होंने अतीत में एससीएडीए सिस्टम में कमजोरियों को पाया, ईमेल के माध्यम से कहा। "एक बार प्रेरणा पर्याप्त मजबूत हो जाने के बाद, हमें बड़ी घटनाओं का सामना करना पड़ेगा। भूगर्भीय और सामाजिक स्थिति इतनी मदद नहीं करती है, यह मानना ​​हास्यास्पद नहीं है कि 2013 एक दिलचस्प वर्ष होगा।"

लक्षित हमले एकमात्र चिंता नहीं हैं; एससीएडीए मैलवेयर भी है। एंटीवायरस विक्रेता कैस्पर्सकी लैब के मुख्य मैलवेयर विशेषज्ञ विटाली कमलुक का मानना ​​है कि भविष्य में एससीएडीए सिस्टम को लक्षित करने के लिए निश्चित रूप से अधिक मैलवेयर होगा।

"स्टुक्सनेट का प्रदर्शन कितना कमजोर आईसीएस / एससीएडीए व्हाइटहाट और ब्लैकहाट के लिए एक बिल्कुल नया क्षेत्र खोला गया है शोधकर्ताओं, "उन्होंने ईमेल के माध्यम से कहा। "यह विषय 2013 के लिए शीर्ष सूची में होगा।"

हालांकि, कुछ सुरक्षा शोधकर्ता मानते हैं कि ऐसे मैलवेयर बनाना अभी भी औसत हमलावरों की क्षमताओं से परे है।

"मैलवेयर बनाना जो आईसीएस पर हमला करने में सफल होगा कमजोर नहीं है और बहुत सारी अंतर्दृष्टि और योजना की आवश्यकता हो सकती है, "भेद्यता खुफिया और प्रबंधन फर्म सिकुनिया के मुख्य सुरक्षा अधिकारी थॉमस क्रिस्टेनसेन ने ईमेल के माध्यम से कहा। "यह उन लोगों या संगठनों की संख्या को भी सीमित करता है जो इस तरह के हमले को दूर करने में सक्षम हैं।"

"हमें संदेह नहीं है कि हम आईसीएस के खिलाफ हमलों को देखेंगे," क्रिस्टेनसेन ने जोर देकर कहा।

"अधिकांश तैनात एससीएडीए और डीसीएस [वितरित नियंत्रण प्रणाली] अनुप्रयोगों और हार्डवेयर को सुरक्षा विकास जीवन चक्र (एसडीएल) के बिना विकसित किया गया था - माइक्रोसॉफ्ट को 90 के उत्तरार्ध में लगता है - इसलिए यह सामान्य प्रोग्रामिंग त्रुटियों से प्रभावित है जो बग, भेद्यता, और शोषण, "पीटरसन ने कहा। "उस ने कहा, पीएलसी और अन्य फील्ड डिवाइसेज डिज़ाइन द्वारा असुरक्षित हैं और उन्हें एक गंभीर प्रक्रिया को कम करने या इसे ला स्टक्सनेट के दुर्भावनापूर्ण तरीके से बदलने की भेद्यता की आवश्यकता नहीं है।"

पीटरसन की कंपनी, डिजिटल बॉण्ड ने कई शोषण जारी किए कई पीएलसी (प्रोग्राम करने योग्य तर्क नियंत्रक) -एसएसएडीए हार्डवेयर घटकों में पाए जाने वाले कमजोरियों के लिए- लोकप्रिय विक्रेताओं के प्रवेश मॉड्यूल के लिए मॉड्यूल के रूप में कई विक्रेताओं से, एक ओपन-सोर्स टूल जिसका उपयोग लगभग किसी भी द्वारा किया जा सकता है। यह प्रोजेक्ट बेसकैम्प नामक शोध परियोजना के हिस्से के रूप में किया गया था, जिसका लक्ष्य यह दिखाने के लिए था कि कितने नाजुक और असुरक्षित कई मौजूदा पीएलसी हैं।

"बड़ी संख्या में एससीएडीए और डीसीएस भेद्यता खोजने के लिए एकमात्र प्रतिबंध शोधकर्ताओं को उपकरण तक पहुंच प्राप्त करना है "पीटरसन ने कहा। "अधिक कोशिश कर रहे हैं और सफल रहे हैं इसलिए कमजोरियों में वृद्धि होगी जो शोधकर्ता को उचित तरीके से प्रकट किया जाएगा।"

अभी भी पैच की जरूरत है

संतमर्ता इस बात पर सहमत हुए कि शोधकर्ताओं को आज एससीएडीए सॉफ्टवेयर में कमजोरियों को ढूंढना आसान है ।

एससीएडीए भेद्यता की जानकारी के लिए भी एक बाजार है। सुरक्षा शोधकर्ता लुइगी औरीमेमा और डोनाटो फेरांटे द्वारा स्थापित माल्टा स्थित स्टार्टअप सुरक्षा फर्म रीवुलन, सरकारी एजेंसियों और अन्य निजी खरीदारों को सॉफ़्टवेयर भेद्यता के बारे में जानकारी बेचती है, बिना प्रभावित विक्रेताओं को रिपोर्ट किए। इस समय रीवुलन के पोर्टफोलियो में कमजोरियों में से 40 प्रतिशत से अधिक स्काडा हैं।

डोनाटो फेरांटे के अनुसार, एससीएडीए सुरक्षा क्षेत्र में दोनों हमलों और निवेश के लिए प्रवृत्ति बढ़ रही है। "वास्तव में अगर हम सोचते हैं कि एससीएडीए बाजार में कई बड़ी कंपनियां इन बुनियादी ढांचे को सख्त करने पर बहुत पैसा कमा रही हैं, तो इसका मतलब है कि आने वाले सालों के लिए एससीएडीए / आईसीएस विषय एक गर्म विषय है और रहेगा," फेरांते ने ईमेल के माध्यम से कहा ।

हालांकि, नियमित आईटी बुनियादी ढांचे और कंप्यूटर सिस्टम को सुरक्षित करने के रूप में एससीएडीए सिस्टम को सुरक्षित करना उतना आसान नहीं है। यहां तक ​​कि जब एससीएडीए उत्पादों के लिए सुरक्षा पैच विक्रेताओं द्वारा जारी किए जाते हैं, तो कमजोर सिस्टम के मालिकों को उन्हें तैनात करने में बहुत लंबा समय लग सकता है।

एससीएडीए सिस्टम के लिए बहुत कम स्वचालित पैच परिनियोजन समाधान हैं, लुइगी औरीमेमा ने ईमेल के माध्यम से कहा। कमलुक ने कहा, ज्यादातर समय, एससीएडीए प्रशासकों को उचित पैच मैन्युअल रूप से लागू करने की जरूरत है।

"स्थिति गंभीर रूप से खराब है।" एससीएडीए सिस्टम का मुख्य लक्ष्य निरंतर संचालन है, जो सामान्य रूप से गर्म पैचिंग या अद्यतन करने की अनुमति नहीं देता है - सिस्टम या प्रोग्राम को पुनरारंभ किए बिना पैच या अपडेट इंस्टॉल करना -

इसके अतिरिक्त, एससीएडीए सुरक्षा पैच की आवश्यकता है उत्पादन वातावरण में तैनात होने से पहले पूरी तरह से परीक्षण किया जाना चाहिए क्योंकि किसी भी अप्रत्याशित व्यवहार से परिचालन पर महत्वपूर्ण प्रभाव हो सकता है।

"यहां तक ​​कि उन मामलों में जहां भेद्यता के लिए एक पैच मौजूद है, हम लंबे समय तक कमजोर सिस्टम पाएंगे," संतमर्तता ने कहा

अधिकांश एससीएडीए सुरक्षा विशेषज्ञ पीएलसी जैसे औद्योगिक नियंत्रण उपकरणों को सुरक्षा के साथ फिर से इंजीनियर करने के लिए पसंद करेंगे।

"बुनियादी सुरक्षा उपायों के साथ पीएलसी की आवश्यकता है और सबसे महत्वपूर्ण आधारभूत संरचना में इन्हें तैनात करने की योजना सैंटमार्टा ने कहा, "अगले एक से तीन वर्षों में," पीटरसन ने कहा।

"आदर्श परिदृश्य वह है जहां औद्योगिक उपकरण डिजाइन द्वारा सुरक्षित हैं, लेकिन हमें यथार्थवादी होना चाहिए, इसमें समय लगेगा।" "औद्योगिक क्षेत्र एक अलग दुनिया है। हमें अपने आईटी परिप्रेक्ष्य के माध्यम से इसे सख्ती से नहीं देखना चाहिए। उन्होंने कहा, सभी को पता चलता है कि औद्योगिक विक्रेताओं सहित कुछ किया जाना चाहिए।"

सुरक्षित-बाएं- संतोमारता ने कहा कि डिज़ाइन डिवाइस, आईसीएस मालिकों को इन प्रणालियों को सुरक्षित करने के लिए रक्षा-गहन दृष्टिकोण लेना चाहिए। "यह देखते हुए कि वहाँ औद्योगिक प्रोटोकॉल हैं जो डिफ़ॉल्ट रूप से असुरक्षित हैं, यह कमजोरियों और सुरक्षा की विभिन्न परतों को जोड़ने के लिए समझ में आता है।"

"इंटरनेट से आईसीएस डिस्कनेक्ट करें, इसे एक अलग नेटवर्क सेगमेंट में रखें और सख्ती से सीमित / ऑडिट करें इसका उपयोग, "कमलुक ने कहा।

" महत्वपूर्ण बुनियादी ढांचे के मालिकों को यह समझना चाहिए कि महत्वपूर्ण बुनियादी ढांचे तक पहुंचने के लिए अलग-अलग नेटवर्क, या कम से कम अलग-अलग प्रमाण-पत्रों की आवश्यकता है, "क्रिस्टेनसेन ने कहा। "कोई साधु और सुरक्षा जागरूक व्यवस्थापक प्रशासनिक प्रमाण-पत्रों का उपयोग करके अपने किसी भी सिस्टम पर लॉग ऑन नहीं करेगा और उसी सत्र में शत्रुतापूर्ण इंटरनेट तक पहुंच जाएगा और ईमेल पढ़ेगा। यह आईसीएस पर भी लागू होना चाहिए; आईसीएस सत्र तक पहुंचने के लिए प्रमाण-पत्रों का एक सेट उपयोग करें और शायद वर्चुअल और / या दूरस्थ डेस्कटॉप सेटअप का उपयोग करके अपने इंटरनेट कनेक्शन सत्र तक पहुंचें। "

विनियमन बहस

सरकारी विनियमन की आवश्यकता जो महत्वपूर्ण औद्योगिक आधारभूत संरचनाओं को सुरक्षित करने के लिए महत्वपूर्ण बुनियादी ढांचे के ऑपरेटरों को मजबूर करेगी, कई एससीएडीए सुरक्षा विशेषज्ञ सहमत हैं कि यह एक अच्छा प्रारंभिक बिंदु हो सकता है। हालांकि, इस लक्ष्य की दिशा में अब तक बहुत कम प्रगति हुई है।

"उत्तर अमेरिकी विद्युत क्षेत्र के लिए एनईआरसी सीआईपी सबसे महत्वाकांक्षी सरकारी विनियमन, एक विफलता रही है," पीटरसन ने कहा। "अधिकांश सफल सरकारी विनियमन चाहते हैं लेकिन यह पहचान नहीं सकते कि यह क्या होगा।"

"मैं सिर्फ सरकार को ईमानदार होना चाहूंगा और जोर से बताऊंगा कि ये सिस्टम डिजाइन और संगठनों द्वारा असुरक्षित हैं जो महत्वपूर्ण आधारभूत संरचना एससीएडीए चलाते हैं कमलुक ने कहा, और डीसीएस के पास अगले एक से तीन वर्षों में इन प्रणालियों को अपग्रेड या बदलने की योजना होनी चाहिए। "

सरकारी विनियमन बेहद सहायक होगा। कुछ एससीएडीए विक्रेताओं ने ऐसे फैसलों के जोखिम और मानव जीवन पर उनके संभावित प्रभाव पर विचार किए बिना विकास लागत बचत के लिए सुरक्षा का त्याग किया।

इस साल की शुरुआत में, कास्पर्स्की लैब ने एक ओएस विकसित करने की योजना का खुलासा किया जो सुरक्षित-द्वारा- एससीएडीए और अन्य आईसीएस सिस्टम के संचालन के लिए डिजाइन पर्यावरण। ओएस के पीछे विचार यह गारंटी देना है कि कोई भी अव्यवस्थित कार्यक्षमता उस पर चलने में सक्षम नहीं होगी, जिससे हमलावरों को बिना भेजी भेद्यताओं का शोषण करके दुर्भावनापूर्ण कोड निष्पादित करने से रोका जा सकेगा।

हालांकि यह एक दिलचस्प परियोजना की तरह लगता है, यह देखा जाना बाकी है कि एससीएडीए समुदाय और उद्योग क्षेत्र इस पर प्रतिक्रिया कैसे करेगा।

"नई सुविधाओं के मूल्यांकन के लिए नए ओएस के बारे में पर्याप्त जानकारी नहीं है," फेरांटे ने कहा । "ऐसा करने के लिए हमें एक आधिकारिक रिलीज की प्रतीक्षा करनी होगी। वैसे भी एक नई ओएस को अपनाने के दौरान मुख्य समस्या यह है कि इसे मौजूदा कोड को फिर से लिखने के बिना मौजूदा एससीएडीए सिस्टम चलाने में सक्षम होना चाहिए।"