Zlonamerna programska oprema napadla ameriške elektrarne

Matej Huš

17. jan 2013 ob 01:58:51

Ena stvar so napredni kosi zlonamerne vohunske programske opreme, kot so (bili) Stuxnet, Flame ali Rdeči oktober, proti katerim pametne zaščite ni, ker jih pišejo vrhunsko usposobljeni strokovnjaki in ker izkoriščajo še neprijavljene ranljivosti v programski opremi. V povsem drugo kategorijo pa sodi običajna malomarnost, ko pomembne industrijske sisteme virusi okužijo zato, ker nimajo nameščenih osnovnih protivirusnih programov, ki bi jih bili zlahka zaznali. Zgodi se tudi v elektrarnam v ZDA.

Ameriški CERT je sporočil, da so odkrili okužbe nadzornih sistemov SCADA v dveh elektrarnah, a ju niso želeli imenovati. Scenarij je zelo običajen. Vektor okužbe je bil nezaščiten USB-vhod, v katerega je zaposleni vključil okužen USB-ključ in virus se je razširil po sistemu. Ker niso imeli nobene protivirusne zaščite, sploh niso vedeli, kaj se dogaja v sistemu. V eni elektrarni so okužbo odkrili šele, ko so je nekdo pritožil zaradi nedelujočega USB-ključa, na katerega je želel skopirati varnostno kopijo. Analiza ključa je pokazala, da je okužen s tremi primerki zlonamerne kode - dvema običajnima in enim prilagojenim. Nadaljnja analiza sistema je pokazala, da sta okuženi tudi dve delovni postaja in SCADA-sistem za nadzor delovanja. Varnostnih kopij sistema ni bilo, tako da so se morali serviserji lotiti napornega čiščenja sistema, ne da bi kar obnovili starejšo instanco iz varnostne kopije.

Podatkov o škodi k sreči ni, a to niti ni poanta. Problem je, da imajo vsi kritični industrijski sistemi USB-vhode in pomanjkljivo zaščito. Virusi in druga nesnaga se širijo kot v starih časih disket, zato CERT poziva industrijo, da razmisli o drugih načinih za prenos podatkov in zaščito - enkratno zapisljivi optični mediji, dosledno čiščenje USB-ključev pred vsako uporabo, namestitev in vzdrževanje protivirusnih programov itd. Večinoma tega ni, zato se lahko zgodi, da en okužen USB-ključ na kolena spravi celoten obrat. Pri tem so sistemi občutljivi tako na običajen malware kakor tudi na specializirano vohunsko programsko opremo. Prvi lahko povzroča škodo zaradi nerodnosti, drugi more izvajati premetene sabotaže.