septembris 2011
P O T C P S Sv
« Aug   Okt »
 1234
567891011
12131415161718
19202122232425
2627282930  

SCADA tiešsaistē

Nesenais stāstiņš par industriālo vadības sistēmu ievainojamībām izsauca nelielu diskusiju, kurā izskanēja visai dažādi viedokļi par to, cik šie apdraudējumi ir aktuāli.

Rimtam diskusijas turpinājumam piedāvāju stāstiņu par SCADA izplatību.

Raksta autors 2000. gadā strādāja pie Sidnejas Olimpiādes sagatavošanas. Lai Olimpiāde notiktu gludi, štata valdība nolēma, ka visa veida vadības sistēmām jābūt vadāmām no centrālās vietas, uz kuru tika attiecīgi aizvilktas sekojošu sistēmu vadības:

  • Satiksme
  • Dzelzceļš
  • Ūdensvads
  • Elektrība
  • Ārkārtas situāciju reaģēšana/Policija
  • Notekūdeņi

Un tā bija tikai aisberga virsotne. Dzelzceļa sistēma bija izveidota tā, ka tā tikai ziņoja par kustību uz dzelzceļa. Tā izmantoja Java class failus, kuri nolasīja signalizācijas ierīces. Klase nebija aizsargāta, bet varēja tikai nolasīt saturu, kas toreiz tika uzskatīts par pietiekamu, kaut arī bija protesti no tiem, kas uzskatīja citādāk.

Šos kontroles klases failus varēja vienkārši izpētīt un bija viegli izmainī to funkcijas, lai tie tikpat labi varētu sūtīt signālus, kā toreiz nolasīt tos. Kad šo rindu autors par to ieminējās, komentārs bija — ne visiem ir tik augsta kvalifikācija, mēs nedomājam, ka citi to var izdarīt. Bet izpētīt javas klases failu joprojām ir vienkārši.

Kad beidzās Olimpiāde, beidzās arī nauda sistēmu uzturēšanai. Nekas netika darīts, lai likvidētu jauno savienojumu, jo tas tika uzskatīts par vērtīgu, bet tā kā tas netika uzturēts tāpat kā atsevišķās sistēmas, tas lēnām kļuva arvien mazāk un mazāk drošs.

Šīs sistēmas ir savstarpējis savienotas joprojām, kaut karī daudzi no cilvēkiem, kas bija iesaistīti to izveidošanā, jau ir no darba aizgājuši. Faktiski, daudzi no šiem tīkliem pat nav dokumentēti un šobrīd strādājošie cilvēki tos nepārzina.

Pirms diviem gadiem šo rindu autors bija iesaistīts projektā, kurā vajadzēja nodrošināt SCADA, kas vadīja virkni elektrostaciju. Tas neizdevās. Ne līdzekļu trūkuma dēļ, bet tādēļ, ka SCADA inženieri neuzticējās ugunsmūrim, kam vajadzēja aptvert viņu sistēmu, jo viņi neticēja, ka tas neradīs negatīvu efektu. Daļa no viņu sistēmām joprojām darbojas uz Windows 98.

Diemžēl, šīs organizācijas, kas darbina lielu daļu no štata elektrostacijām, datu tīkla uzbūve ir noplūdusi caur apakšuzņēmēju prezentācijām, tāpēc to nav grūti iegūt.

Apskatīsim dažas citas sistēmas

Kādu laiku atpakaļ šo rindu autors bija nolīgts testēt Boeing 747 sistēmas. Boeing bija ieviesis jaunu video sistēmu, kas strādāja caur IP. Viņi bija atdalījuši to no vadības sistēmas, izmantojot Layer 2 – VLAN. Pētniekiem izdevās ielauzties VLANā un piekļūt citām sistēmām, un pēc tam piekļūt arī dzinēja vadības sistēmai.

Atbilde bija — dzinēja vadības sistēma šoreiz netiek apskatīta!

Priekš tiem, kas nezina — Boeing 747 ir milzīgs lidojošs Unix. Tai pašā laikā, dzinēja vadības sistēma ir bāzēta uz Solaris. Pačošana ilgi nebija veikta, viņi lietotoja Telnet, jo SSH grāva izvēles, bet naudas labošanai nebija. Inženieri varēja piekļūt dzinēja vadības sistēmai pat lidojuma laikā, un ja tika pamanītas kļūmes, varēja reisa laikā pārskaņot dzinējus.

Būtisks trūkums šeit bija tas, ka viss, kas atdalīja dzinēja vadības sistēmu no atvērtā tīkla, bija NAT filtri. Tie filtrēja tikai ienākošo datu plūsmu, bet atļāva pilnīgi visu datu plūsmu pretējā virzienā. Priekš tiem, kas to saprot… man nav vairāk jāsaka — tā raksta autors.

Gandrīz visas SCADA sistēmas ir tiešsaistē. Vienkāršas NAT pievienošana nav atsaistīšana. Daudzas no šīm sistēmām darbojas bez labojumiem un dažas darbojas DOS, Win95, Win98 vai pat vecu Unix vidē. Dažas ir novecojušas VMS versijas. Viena raksta autoram zināma bija uz Cray un kāda cita uz PDP-11.

Pēdējā bija ar īpatnību, ka neviens neticēja, ka tā restartēsies, ja kādreiz apstāsies. Tāpēc šai PDP-11 neviens neskārās klāt. Kad pētnieki pirms gadiem skenēja šo sistēmu, tā sagāzās un kopš tā laika to nedrīkst pat pingot.

Raksta beigu daļā autors dalās savās bažās par IPv6 ieviešanu, kas Austrālijā notiks obligātā kārtā, jo tad SCADA sistēmas būs pieslēgtas IPv6.

Avots: FACT CHECK: SCADA Systems Are Online Now.

P.S. Kritiku par terminoloģiskām nepilnībām vai kā būtiska izlaišanu varu uzklausīt, bet ceru, ka tas neaizsegs pamatdomu, kas ir šajā rakstā.

1 comment to SCADA tiešsaistē