„Kontrolowane” hakerskie włamanie do systemu sterowania procesu produkcyjnego

    Widziałem to na własne oczy! Hakerzy, przy wykorzystaniu najprostszego laptopa, mogą – bez wiedzy właścicieli czy operatorów – zdalnie sterować pompami czy też uruchamiać zawory w zakładzie przemysłowym. Możliwe jest to pomimo zastosowania licznych zabezpieczeń w postaci tzw. firewalli oraz innych aktywnych zapór i filtrów pomiędzy lokalnymi sieciami sterowania, a globalną siecią Internet.
    Amerykański Departament Energii wraz z Departamentem Bezpieczeństwa Wewnętrznego, przy współpracy z Narodowym Laboratorium w Idaho, przeprowadziły kontrolowane włamanie do systemu sterowania zakładu przemysłowego, by uzmysłowić obserwatorom “włamania” konieczność wprowadzenia nowych, zaawansowanych zabezpieczeń.
    W modelowym systemie wykorzystanym w prezentacji nie występowały żadne dodatkowe środki bezpieczeństwa, a jedynie stosowane powszechnie odpowiednie tzw. warstwy ochronne. Jeden z inżynierów Laboratorium Narodowego pracował intensywnie przez trzy tygodnie, by włamać się do demonstracyjnego systemu, symulującego rzeczywisty sprzęt i oprogramowanie. Włamania natomiast dokonano do struktury rzeczywistych urządzeń.
    Okazało się, iż standardowe zabezpieczenia firmowych urządzeń sterowania (sterowniki PLC lub urządzenia rozproszonych systemów sterownia) również nie są w stanie powstrzymać potencjalnego włamywacza; niezależnie od tego jakim typem systemu operacyjnego dysponujemy – Microsoft, Linux, Unix.
    – Naszym celem nie jest załamywanie użytkowników stwierdzeniami w rodzaju: niestety, nic nie da się zrobić, ale pobudzenie ich do podjęcia właściwych działań – stwierdził John Hammer, inżynier/haker, pracownik działu cyber- -bezpieczeństwa w Laboratorium Narodowym. By każdy z czytelników mógł przekonać się, jak prosta może być procedura wejścia do sieci przemysłowej, poniżej opisano jeden z możliwych scenariuszy, jaki został zrealizowany w praktyce w czasie prezentacji. Otóż, w jednym z popularnych tzw. klipartów wykorzystywanych w prezentacjach programu PowerPoint zaimplementowano szkodliwy kod, mający na celu włamanie się do systemu sterowania. Tak go zakamuflowano, by nie został wykryty przez żadne z popularnych programowych narzędzi ochrony sieci, stosowanych powszechnie w przedsiębiorstwach. Włamujący się haker wykorzystał również różnorakie dostępne na rynku programy w celu pozyskania haseł i zezwoleń na przejście, wymaganych przez firewalle drugiego poziomu ochrony. Po wtargnięciu do systemu uzyskano swobodny dostęp do listy urządzeń w sieci sterowania, sterownik został przeprogramowany i w ten sposób haker przejął zdalną kontrolę nad systemem z poziomu zwykłego laptopa. Haker z Laboratorium Narodowego podłączył się również do interfejsu użytkownika w ten sposób, że mógł bez przeszkód zmieniać informacje wyświetlane na ekranie tegoż interfejsu; np. dokonywał zmian parametrów urządzeń pracujących w systemie i jednocześnie zmiany te nie przenosiły się na ekran interfejsu, wprowadzając w błąd obsługę i nie sygnalizując żadnych sytuacji awaryjnych. Jeżeli zmiany w systemie sterowania doprowadziłyby np. do zbiorowego zatrucia w zakładzie przemysłowym, trudno nawet wyobrazić sobie, jak należałoby to wyjaśnić mediom, akcjonariuszom, pełnomocnikom, szefom, a w szczególności rodzinom ofiar.
    Przeprowadzona na żywo w czasie konferencji Emerson Global Users Exchange 2005 prezentacja wtargnięcia do systemu sterowania przez hakerów z zewnątrz, wprowadziła większość obserwatorów w osłupienie. Nie wiedzieli oni wręcz, czy mają klaskać, czy też dzwonić na policję lub natychmiast wrócić do swoich zakładów, by poinformować innych współpracowników, iż realne zagrożenie jest większe, niż to się wydaje.
    Mark T. Hoske, redaktor naczelny CE
    mhoske@reedbusiness.com