С группой других экспертов в области информационной безопасности он смог установить инструментарий, необходимый для организации атаки, которая сочетала в себе приемы социальной инженерии со взломом браузеров на настольных системах энергетической компании. В результате подобной атаки, продолжавшейся один день, исследователи получили управление над несколькими машинами, что позволило группе взломать управляющую сеть, через которую осуществляется контроль за производством и распределением энергии.
Винклер пояснил, что его пригласили на работу в эту компанию, (название которой он не сообщил) для проверки уровня безопасности сети и той энергосистемы, для поддержки управления которой создана эта сеть. Компания отменила тестирование после того, как группа получила контроль над машинами.
"Мы должны были прекратить работу в течение нескольких часов, - пояснил Винклер, - поскольку работали слишком хорошо". Винклер не только консультант, но еще и автор книг Spies Among Us and Zen и Art of Information Security.
Проблема, по его словам, является общей для всей отрасли, поскольку она во многом обусловлена ходом развития сетей энергетических компаний. Сначала их системы диспетчерского управления и сбора данных ( Supervisory Control And Data Acquisition, SCADA) создавались как закрытые системы, но со временем к сетям SCADA были добавлены возможности доступа к Internet. Индивидуальные настольные системы имеют доступ к Internet и к бизнес-серверам, а также к сети SCADA, из-за чего системы управления оказываются подвержены Internet-угрозам. "Эти сети больше не являются замкнутыми. Они остаются открытыми более десяти лет", - подчеркнул Винклер.
Группа специалистов по устойчивости систем начала с получения доступа к спискам распространения для групп пользователей SCADA, откуда они смогли добыть адреса электронной почты тех людей, которые работают в избранной ими в качестве цели энергетической компании. Они послали этим сотрудникам сообщения по электронной почте о планах по уменьшению их вознаграждения и включили в текст ссылку на сайт, где последние могли найти более подробную информацию по этому вопросу.
Когда сотрудники щелкали по ссылке, то они оказывались на Web-сервере, настроенном Винклером и его группой. На машинах сотрудников появлялось сообщение об ошибке, но сервер загружал вредоносную программу, которая позволяла группе получить контроль над этой машиной. "После этого мы полностью взяли систему под свой контроль, - заметил Винклер. – Этого удалось добиться буквально за несколько минут".
Винклер отметил, что системы SCADA по природе своей небезопасны, поскольку они представляют собой программное обеспечение, работающее в стандартных операционных системах на стандартном серверном оборудовании, в силу чего они становятся уязвимыми в той же мере, в какой уязвимы эти стандартные компоненты.
По его словам, энергетические компании не хотят прерывать обслуживания своих клиентов в связи с модернизацией программного обеспечения, несмотря на то что такая модернизация могла бы повысить уровень безопасности по сравнению с тем, каким он является сейчас. "Энергосистема так плохо поддерживается, что ее намного легче атаковать, чем большинство других систем и сетей", - сказал он.
Винклер утверждает, что его слова ни в коей мере не повысят степень угрозы, которой подвергаются энергетические сети сейчас. "На самом деле настоящие злоумышленники уже знают то, о чем я сейчас говорю, - заметил он. – Риск серьезного ущерба вполне возможен".
По мнению Винклера, энергетические компании должны использовать программное обеспечение SCADA - в нем более тщательно протестированы все потенциальные слабые места и оно позволяет быстро установить "заплатку", если обнаружен изъян в защите. Компаниям также необходимо сегментировать свои сети таким образом, чтобы угроза, попавшая из Internet, не могла достигнуть сети SCADA.