В начале сентября Финистерр опубликовал разработанный им образец кода, который делает возможным такое проникновение. Он пошел на такой шаг, чтобы предупредить об уязвимости подобных систем, поскольку разработчики систем промышленной автоматизации, по его мнению, часто предпочитают замалчивать проблему.
"Они уверяют своих клиентов об отсутствии проблем; между тем, их программное обеспечение используется в критически важных приложениях", - считает Финистерр, руководитель исследований в области информационной безопасности компании Netragard, специализирующейся на тестировании информационных систем.
Финистерр оформил свой код как дополнительный модуль для инструментария Metasploit, позволяющего выявлять неустраненные уязвимости в подключенных к сетям компьютерах, который широко применяется хакерами. Как считают эксперты по вопросам информационной безопасности, Финистерр, сделав это, значительно упростил для хакеров применение своего кода.
"Такой шаг поможет злоумышленникам осуществлять их атаки, - заявил Сет Бромбергер, менеджер по информационной безопасности корпорации Pacific Gas and Electric. – Теперь можно просто загрузить Metasploit и начать атаку".
Данный код использует дефект в CitectSCADA, системе диспетчерского управления и сбора данных (Supervisory Control And Data Acquisition, SCADA), который впервые был обнаружен специалистами Core Security Technologies. Информация об этой "находке" была опубликована в июне. Citect выпустила тогда заплату, и теперь, по словам представителей компании, риск существует только для тех предприятий, которые подключают свои системы к Internet напрямую, без межсетевых экранов, то есть работают в условиях, на которые это программное обеспечение никогда рассчитано не было. К тому же, атака будет успешной только в том случае, если активирована вполне определенная функция базы данных CitectSCADA.
Хакерам весьма не просто приобрести и анализировать программные комплексы управления промышленными процессами, а потому им трудно отыскивать в них дефекты защиты. Однако за последние годы системы SCADA все чаще создаются на основе хорошо известных операционных систем, таких как Windows и Linux, поэтому находить и использовать изъяны в системе их безопасности становится и проще, и дешевле.
К сотрудниками ИТ-подразделений нередко обращаются для того, чтобы установить заплаты, но промышленные компьютерные системы – это не ПК. Поскольку простой в работе водоочистительной станции или энергосистемы может привести к катастрофическим последствиям, инженеры весьма неохотно вносят изменения в соответствующее программное обеспечение или соглашаются отключить компьютер от сети, чтобы установить обновления программ.
Из-за этого часто возникают разногласия между ИТ-профессионалами, как Финистерр, которые понимают, что информация об уязвимых местах системы безопасности замалчивается, и инженерами промышленных предприятий, несущими ответственность за непрерывную работу вверенного им оборудования.
"Сохраняются глубокие культурологические противоречия между 'полевыми' инженерами, управляющими технологическими процессами, и специалистами по ИТ", - подчеркнул Боб Радвановски, независимый исследователь, поддерживающий Internet-форум по проблемам безопасности SCADA, на котором разгорелись весьма нешуточные споры по этому поводу.
В Citect утверждают, что ни одно предприятие не сообщило пока об удачной хакерской атаке, использующей данную уязвимость. Тем не менее, компания планирует в скором времени выпустить новую версию CitectSCADA с более развитыми функциями защиты. Эта версия появится не очень скоро. Финистерр уверен, что в программном обеспечении CitectSCADA есть и другие похожие ошибки.
И, несмотря на то, что системы SCADA можно изолировать от систем, работающих в других компьютерных сетях предприятий, они по-прежнему остаются уязвимыми. К примеру, в начале 2003 года сообщалось, что компьютеры атомной электростанции Davis-Besse были инфицированы червем SQL Slammer.
"Многие специалисты, работающие в промышленности, считают, что они вправе не придерживаться тех правил, которыми руководствуются в традиционных ИТ-системах, - заметил Финистерр. – В общем, в области промышленной автоматизации еще мало знают о хакерстве и хакерах".