Киберфизические атаки — это особая категория кибератак, которые преднамеренно или нет также негативно влияют на физическое пространство нацеливаясь на вычислительную и коммуникационную инфраструктуру позволяющую людям и системам контролировать и контролировать датчики и исполнительные механизмы. Киберфизические атаки обычно рассматриваются в связи с киберфизическими системами и уязвимостью их вычислительных и коммуникационных элементов. Например, злоумышленник взявший под контроль вычислительные или коммуникационные компоненты водяных насосов, медицинских имплантатов автомобилей и клапанов газопроводов может использовать их для воздействия на физическое пространство, нанося ущерб имуществу или окружающей среде и подвергая риску жизни людей. В результате безопасность повсеместно рассматривается как одна из важнейших задач при проектировании надежных киберфизических систем. В дальнейшей работе цель состоит в том, чтобы получить более глубокое понимание угроз, с которыми сталкивается инфраструктура киберфизических систем, а также определить вероятность и последствия угроз для киберфизических систем.
История инцидентов киберфизической безопасности
Хотя концепция киберфизической атаки не нова, в последние годы мы стали настолько зависимы от компьютерных и сетевых систем, что такие атаки теперь считаются ключевой угрозой для критических национальных инфраструктур и реальной угрозой для частных автомобилей, устройств домашней автоматизации и даже кардиостимуляторов. Инциденты кибер-физической безопасности могут быть несчастными случаями, вызванными неправильной конфигурацией и явным невезением, или они могут быть спонсируемыми государством атаками в течение нескольких месяцев подготовки.
В 1980-х годах началось широкое внедрение систем диспетчерского управления и сбора данных (SCADA), производство и поставка энергии контролируются дистанционно и в значительной степени автоматизированным способом, в результате дефект программного кода действительно может повлиять на электростанции и трубопроводы.
До недавнего времени опасные для жизни системные сбои в секторе здравоохранения были вопросом техники безопасности. Например, отказы компьютеризированных аппаратов лучевой терапии Therac-25, которые привели к четырем смертям в 1980-х годах, были результатом плохого проектирование программного обеспечения. Его разработчики не дублировали в программном обеспечении все механизмы безопасности, которые предыдущие менее компьютеризированные версии машины обеспечивали в аппаратном обеспечении. В результате несколько раз аппарат выходил из строя и доставлял пациентам смертельные дозы радиации. В течение следующих двух десятилетий киберфизические инциденты в секторе здравоохранения по-прежнему были результатом ошибок в программном обеспечении или неправильной конфигурации медицинского оборудования, а не преднамеренных атак.
Первый заметный инцидент в водном секторе произошел в 1994 году, когда хакер с помощью коммутируемого модема получил доступ к компьютерной сети проекта Солт-Ривер в Аризоне. Вторжение включало по меньшей мере один 5-часовой сеанс, где хакер имел доступ к данным мониторинга воды и электроэнергии. Этот инцидент часто неправильно сообщают и связывают с предполагаемым инцидентом взлома плотины Рузвельта в Аризоне, но расследование пришло к выводу, что не было никакой угрозы для каких-либо плотин, и вообще не было никаких признаков какого-либо намерения, кроме хвастовства или удовлетворения, которое дает успешный взлом. Согласно отчету Национальной лаборатории штата Айдахо, преступник был профильным хакером, который считал, что он имеет право добиваться своей интеллектуальной свободы посредством своей хакерской деятельности.
В 1998 году подросток из Массачусетса стал первым несовершеннолетним в Соединенных Штатах, которому в Федеральном суде было предъявлено обвинение в хакерстве. Годом ранее он ворвался в сеть телефонной компании и вызвал аварию, которая вывела из строя системы Digital loop carrier (DLC) в региональном аэропорту Вустера. Эти системы используются для интеграции передачи голоса и данных с нескольких телефонных линий для цифровой передачи по одному кабелю высокой емкости. Это намного эффективнее, чем иметь сотни линий из каждой части инфраструктуры аэропорта отдельно подключен к диспетчерской вышке, но если DLC отключен, то все связанные с ним коммуникации тоже отключены. Конкретные DLC были доступны для внешних модемов, так что технические специалисты компании могли поддерживать обслуживание удаленно. Подросток определил их телефонные номера и подключился к ним с помощью модема своего персонального компьютера. Затем он отключил передатчик, отвечающий за включение огней взлетно-посадочной полосы, а также связь с диспетчерской вышкой, пожарной службой, Службой безопасности аэропорта и метеорологической службой в течение 6 часов. Хотя отключение не вызвало каких-либо серьезных проблем, Секретная служба США рассматривала инцидент как вопрос национальной безопасности.
В 1999 году трубопровод в Беллингхеме, штат Вашингтон, разорвался из-за замедления системы SCADA, управляющей им [1]. До этого подрядчик нанес внешнее повреждение трубопроводу, устанавливая поперек него водопроводные линии. Из-за этого повреждения и неправильной конфигурации некоторых недавно установленных клапанов давление начало расти. Обычно это обнаруживалось и смягчалось с помощью системы SCADA, но последняя перестала реагировать. Хотя он был настроен на сбор последних данных от удаленных терминальных блоков (RTU) каждые несколько секунд, HMI оператора не будет отображать обновление в течение нескольких минут. Более позднее расследование показало, что в то время системный администратор программировал новые программы. Отчеты по базе данных системы SCADA без предварительного тестирования их в автономном режиме. Еще одна ошибка заключалась в том, что для всех пользователей существовала одна учетная запись входа, и это была учетная запись администратора с настройкой приоритета, которая позволяла назначать ей все доступные вычислительные ресурсы. В результате ошибка программирования может не только непосредственно повлиять на работу системы SCADA, но и поглотить все ее ресурсы. Поскольку он не реагировал, контроллеры не могли управлять насосами удаленно, чтобы вовремя смягчить воздействие повышения давления. Последовавшее за этим возгорание бензина привело к гибели трех человек и нанесло значительный ущерб окружающей среде.
Расследование после события в Беллингхеме показало еще несколько недостатков кибербезопасности, которые могли бы способствовать инциденту, а также сделали невозможным точное определение цепи событий, приведших к нему. Например, имелся прямой доступ к телефону, доступный извне, и любой человек , знавший пароль одной учетной записи, мог быть вовлеченным пользователем. Там же был и сетевой мост подключение сети диспетчерской SCADA к административной компьютерной сети компании, и последняя даже имела некоторое подключение к интернету. Хотя не было никакой защиты от вирусов и вообще никаких признаков наличия программы кибербезопасности или какой-либо такой подготовки для операторов, нет никаких сомнений в том, что все это событие было чем-то иным, кроме несчастного случая. Тем не менее, это иллюстрировало, насколько легко было бы злоумышленнику, получившему доступ к сети компании по управлению трубопроводами, умышленно нанести катастрофический ущерб.
В 2000 году произошел подтвержденный инцидент в Австралии, явно связанный со злым умыслом. Сегодня он известен как атака Маручи. Район природной красоты с несколькими водными каналами, парками и примерно 120 000 жителей. В 2000 году его совет только недавно установил комплексную SCADA-инфраструктуру для управления своими 880 километрами канализационных коллекторов и 142 насосными станциями, когда его инженеры начали замечать необычное поведение. О неисправностях оборудования не всегда сообщали вовремя, насосы не реагировали на удаленные команды, а связь с центральным управлением часто терялась. Поначалу считалось, что это временные проблемы новой инфраструктуры, но постепенно она стала разрушаться. Стало очевидно, что здесь, должно быть, есть какое-то человеческое участие. Даже после того, как все программное обеспечение было переустановлено, конфигурация насосов неожиданно менялась таким образом, который мог быть приписан только человеку-пользователю. Подозрения подтвердились, когда инженер, вызванный для расследования, обнаружил неизвестное беспроводное оборудование, подключенное к системе.
Инженер пришел к выводу, что пользователь подключается к насосы с ноутбуком, быстро перемещающиеся от станции к станции. Нападения продолжались два с половиной месяца, пока полиция не остановила мужчину за нарушение правил дорожного движения возле одной из насосных станций и не арестовала его после того, как в его автомобиле было обнаружено подозрительное компьютерное и радиосвязное оборудование. Задержанным оказался Витэк Боден, ранее работавший внештатным подрядчиком в качестве начальника участка по монтажу коммуникационной инфраструктуры проекта Maroochi SCADA. Уйдя в отставку с этого поста, Боден искал работу в Совете графства Маручи, но ему дважды отказывали. Именно тогда начали наблюдать необычное поведение SCADA системы. Имея специальные знания и опыт работы с внешним подрядчиком, Витэк Боден был инсайдером. Он имел доступ к специализированному программному обеспечению, используемому для управления насосами, знал, как подключиться к насосным станциям, и хорошо понимал процедуры, связанные с управлением сточными водами на основе SCADA.Основываясь главным образом на доказательствах, найденных в его ноутбуке, он был приговорен к 2 годам тюремного заключения за то, что вызвал выброс 800 000 литров неочищенных сточных вод в парки, общественные водные пути и территорию отеля.
Исключением стал необычный случай порчи веб-сайта некоммерческого фонда по борьбе с эпилепсией в 2008 году. Хакеры заменили часть контента веб-сайта мигающими анимациями, выбранными для того, чтобы вызвать мигрень или припадок у посетителей, страдающих эпилепсией. По крайней мере, некоторые из посетителей действительно пострадали. Этот инцидент имеет большое значение для демонстрации возможности захвата веб-сайта таким образом, что он может физически повлиять на человека.
Ещё одна авария Сан-Бруно, Калифорния, в 2010 году. Взрыв трубопровода природного газа, в результате которого погибли восемь человек и еще 60 получили ранения, также частично объяснялся ошибочными и недоступными показаниями давления SCADA. Сбой питания привел к ошибочному сообщению значений низкого давления, что в свою очередь привело к полному открытию регулирующих клапанов и повышению давления в трубопроводе.Системы управления также могут быть затронуты вредоносными программами, и таких примеров в энергетическом секторе предостаточно.
Киберфизические атаки на промышленные системы управления
Наиболее часто обсуждаемыми угрозами для промышленных систем управления таких систем и связанных с угрозами безопасности (первый раздел, SCADA-системы), самое главное реальный пример на сегодняшний день (Следующий раздел, "Стакснет"), и целевой, который повсеместно рассматривается как Святой Грааль, спонсируемые государством, нападения (в последнем разделе, электрической сети).
Ранние системы SCADA отличались проводными панелями со счетчиками и кнопками, но по существу имели большую часть функциональности, наблюдаемой в современных системах, включая интерфейс между человеком оператором и машиной, механизм отображения тенденций в собранных данных, набор сигналов тревоги, указывающих различные условия, и двустороннюю связь с RTU. В прошлом обработка, необходимая для большинства из них, выполнялась централизованно на одной главной станции, подключенной к RTU по выделенным линиям, в так называемой монолитной (первое поколение, рисунок 1).
С тех пор системы SCADA приняли распределенную архитектуру (второе поколение, рисунок 2), включающую несколько серверов, каждый из которых отвечает за свой аспект системы. Переход от проприетарных протоколов конкретных производителей к открытым протоколам, которые позволяют использовать компоненты COTS(готовые аппаратные и программные технологии открытого типа) способствует смене архитектуры (третье поколение, рисунок 1). Связь системы посредством локальных сетей позволило работать на больших географических территориях и в разнообразных сетевых инфраструктурах, включая глобальные сети и Интернет. В четвертом поколении (рисунок 1) систем SCADA делается упор на взаимосвязанность и взаимодействие различных технологий. Для контроля отображается полноценная сетевая среда устройств, отправляющие отчеты напрямую через Интернет и без необходимости в RTU и человеко-машинных интерфейсах (HMI), которые не ограничены центральным местом, но доступны из любого места через мобильные устройства
Рисунок 1 - Поколения SCADA и их архитектура
Этапы киберфизической атаки
Успешное выполнение атаки требует предварительных исследований, разведки и способности обнаруживать эксплуатируемые уязвимости и соответствующие точки входа в процесс, позволяющий скрыть свои следы и избежать обнаружения.
Исследование - предварительный этап атаки, во время которого пытаемся узнать полезную информацию о цели. Это может быть IP-адреса, топология сетевой инфраструктуры, типы и версии используемого программного и аппаратного обеспечения и т. д. Обычно это начинается с поиска любой общедоступной информации о цели в Интернете.
Источники информации:
сайт поставщиков ПО или оборудования поможет узнать оборудование, используемое в киберфизических системах организации;
объявления о вакансиях могут раскрыть программное обеспечение, оборудование и сетевые технологии, используемые при листинге желаемые навыки и опыт, ожидаемые от претендентов;
инструкции по установке веб-сайте компании, которые могут включать имена пользователей и пароли по умолчанию, которые часто остаются неизменными операторами.
Интернет также можно использовать для поиска и покупки схожей с целью киберфизической системы, чтобы испытать его и определить способы нарушения его безопасности.
Социальная инженерия - распространенный механизм разведка киберфизических систем и особенно промышленных системы пробного контроля. Даже самые сильные технические средства защиты могут быть обойдены, если пользователя системы заставить ввести пароли или нажать вредоносную web-ссылку. Конфиденциальную информацию содержат выбрасываемые в мусор ненужные банковские выписки, USB-накопители, черновики проектных предложений, письма и другие материалы (метод dumpster diving). Крайняя форма dumpster diving - это покупка утилизированных копировальных аппаратов организации, чтобы получить их внутренние жесткие диски[2]. Их владельцы часто не протирают их, хотя они содержат отсканированные документы за многие годы.
Социальная инженерия может быть нетехнической. Это может начаться с поддельного удостоверения личности или простой телефонный звонок. Можно представиться представителем из отдела поддержки, поставщика программного обеспечения или назвать коллегу или авторитетного лица.
В последнее время социальная инженерия становится все более техническим и предполагает использование человеко-машинный интерфейс. К инженеру киберфизической системы отправляется поддельное электронное письмом от лица финансового отдела с просьбой проверить приложенный файл к письму. Письмо составлено так что не вызывает подозрения, но вложенный документ может быть запрограммирован на запись нажатия клавиш инженера или, возможно, разрешение удаленного доступа к киберфизической системе. Этот тип атаки известен как Fishing.
Watering Hole - стратегия атаки, при которой злоумышленник наблюдает или угадывает какой веб-сайт посещает конкретная цель часто, а затем внедряет вредоносное ПО на этот веб-сайт [3]. Последствие: несанкционированное получение важной информации, включая учетные данные для входа / пароля, а также передача вредоносного ПО, которое облегчит атаку.
После получения некоторой предварительной информации о цели,злоумышленник пытается расширить эту информацию путем сканирования на предмет конкретных уязвимостей. Три самых популярных инструмента для сканирования сети используются Nmap [4], Несс [5] и Wireshark [6]. В совокупности они могут определить работающую операционную систему у цели, прослушивать сетевой трафик и сканировать на предмет открытых сетевые портов, неправильная конфигурация, пароли по умолчанию и т.п..
Всем пользователям известны такие поисковые системы как Google, Яндекс, Рамблер, Yahoo, Bing и можно перечислять еще множество как отечественных, так и зарубежных поисковиков. Такие поисковые службы ищут в сети веб-страницы, картинки, видео, документы и новости. Но в узких кругах, например служб специализирующихся на разведке, кибербезопасности и кибератаках пользуются Shodan.
В основе Shodan лежит поисковый робот, который накапливает технические сведения обо всех узлах сети, откликнувшихся хотя бы на один запрос. Персональные компьютеры и мобильные гаджеты конечных пользователей обычно маскирует файрвол, поэтому гораздо чаще в поле зрения Shodan попадают всевозможные сетевые устройства, формирующие так называемый интернет вещей. Поисковик Shodan позволяет заглянуть в скрытый от глаз мир интернета вещей. С его помощью можно увидеть малоизученную сторону глобальной сети, понять ее структуру, обнаружить уязвимые места и провести множество других практических исследований [7].
Через сканирование уязвимостей злоумышленник может узнать о потенциальных уязвимостях целевой системы. В отличие от обычных компьютерных систем, где опубликованные уязвимости исправляются с помощью регулярных обновлений, уязвимости в промышленных системах управления и встроенных системах могут оставаться не обновленными в течение длительного времени.
Глушение связи (communication jamming)
Преднамеренное создание помех, затрудняющих прием сигнала. В простейшей форме, когда пользователь A общается с пользователем B по беспроводному каналу, злоумышленник должен находиться поблизости от A или B и передавать достаточно сильный беспроводной сигнал в том же диапазоне частот. Глушители беспроводного сигнала. недорогие и относительно простые в использовании. Блокирование может быть проактивным, и в этом случае злоумышленник блокирует беспроводной канал непрерывно, или реактивным, и в этом случае злоумышленник перехватывает беспроводной канал и блокирует его только при обнаружении законной связи. Данный метод нарушает связь, которое, в свою очередь, может повлиять на физический процесс. Происходит задержка или предотвращение срабатывания физических процессов, требующих беспроводной связи. В зависимости от конструкции системы также возможно неправильное / несанкционированное срабатывание. Например, потеря беспроводной связи с центром управления может вызвать автоматическое действие, такое как переход БПЛА в режим «возврата на базу».
Подача команд (command injection)
При атаке используются команды, заложенные производителем системы. Может вызвать нарушение целостности работы целевой системы, несанкционированное срабатывание, неправильное срабатывание, отложенное срабатывание или предотвращенное срабатывание. Если команда активирует датчик или передает данные датчика, то также возможно нарушение физической конфиденциальности.
Ввод ложных данных (false data injection)
False data injection - интеллектуальная сеть и в целом любая киберфизическая система, которая полагается на данные датчиков, полученные через уязвимый канал связи. Злоумышленник взламывает канал связи, используемый для сообщения измерений датчиков, блокирует правильные и вместо этого передает ложные данные. Если связь осуществляется по сети, злоумышленник может добиться этого, взяв промежуточный узел, используемый для передачи данных в центр управления. Киберсистемам нарушает целостность данных, вызывающее неправильное срабатывание физического оборудования.
Атака посредника (man-in-the-middle)
Противник соединяется независимо с двумя компьютерами с целью ретрансляции любых отправленных сообщений между ними. Два компьютера считают, что они общаются напрямую и конфиденциально, но в действительности противник может активно подслушивать их общение и вводить или управлять сообщениями (Рисунок 2).Обычный подход состоит в том, чтобы сначала взломать существующий узел или подключить мошеннический узел к сети целевых компьютеров, а затем использовать слабые места используемого механизма коммуникации. Самый простой и один из наиболее эффективных методов является протокол разрешения адресов (ARP), при котором злоумышленник рассылает ложные ответы на запросы ARP о физическом адресе легитимного узла, заставляя другие узлы в сети полагать, что он имеет адрес мошеннический узел. Данный метод нацелен на нарушение конфиденциальности, подлинности и целостности. По сути, неавторизованный пользователь маскируется под авторизованный. Нарушение доступности также возможно, если злоумышленник выборочно отбрасывает сообщения, которыми обмениваются два компьютера. Возможны все формы физического воздействия.
Рисунок 2 - Атака типа "man-in-the-middle"
Повторная атака (replay attack)
Противник наблюдает и записывает коммуникационную последовательность, чтобы воспроизвести ее позже. При воспроизведении сообщений, содержащих измерения датчиков, это атака обмана, которая влияет на актуальность данных, от которых зависит киберфизическая система. Stuxnet широко использовал такую атаку, чтобы не дать диспетчерам ядерной установки замечать аномальное состояние системы. Если воспроизводится коммуникация, содержащая управляющие команды, такие как “close the valve,” “deliver insulin,” “unlock the door», повторная атака эффективно позволяет управлять исполнительными механизмами киберфизической системы без необходимости полного понимания того, как каждый сетевой пакет и каждая команда структурирована, в этом и заключается большое преимущество. Это не требует детального знания внутренней работы целевой системы; только наблюдение, что за определенной коммуникационной последовательностью следует конкретное действие. Его недостатком является то, что он не может производить измерение датчика или команду управления, которая не была передана и захвачена ранее.
Атака этого типа нарушает подлинность и целостность. Фактически, неавторизованный пользователь маскируется под авторизованного. Несанкционированное срабатывание при воспроизведении команды срабатывания и неправильное срабатывание при воспроизведении измерений данных старых датчиков. Он также может предотвратить (и, возможно, задержать) срабатывание, если это является целью команды, которую он воспроизводит.
Внедрение кода / модификация прошивки (Code injection/firmware modification)
Тип атаки киберфизических систем, которые полагаются на универсальные компьютеры и базы данных, а также на встроенные системы, на которых работает плохо спроектированное программное обеспечение.
Злоумышленник расширяет предполагаемую работу компьютерной программы, вводя дополнительные инструкции в ее код со злым умыслом. Самая известная атака с внедрением кода - это SQL-инъекция, которая использует типичные недостатки проектирования веб-сайтов, управляемых базами данных, для обеспечения неограниченного доступа к базе данных. Поскольку промышленные сети управления во многом полагаются на базы данных и часто имеют доступ к Интернету, защита от внедрения кода SQL имеет большое значение.
Атака несёт нарушение конфиденциальности и целостности. Для хорошо известных атак путем внедрения кода наиболее эффективной защитой является устранение уязвимостей путем исправления соответствующих недостатков конструкции.
Заражение вредоносным ПО (malware infection)
Термин «вредоносное ПО» используется совместно для обозначения вирусов, логических бомб, червей, троянских коней, руткитов,регистраторов ключей и любого другого программного обеспечения, которое выполняет намеренно вредоносные намерения злоумышленника [8], например несанкционированный доступ, повреждение или нарушение работы системы и кража данных.
Вирусы - это программы-паразиты, которые заражают другие программы вредоносным кодом и активируются только тогда, когда пользователи запускают эти зараженные хост-программы. Они также распространяются только в результате действий человека (например, прикрепляются к электронному письму, передаются по сети, переносятся на USB-накопитель и т. д.).
Черви очень похожи на вирусы, но также могут самовоспроизводиться без вмешательства человека и автоматически заражать другие компьютеры в той же сети. Они могут сделать это, отправив свою копию по электронной почте каждому из списка контактов зараженного компьютера, удаленно, взломав законную сетевую службу, предоставив общий доступ на съемные носители и т. д. Черви часто вызывают серьезные нарушения в физическом пространстве (Stuxnet).
Бэкдоры разрешают несанкционированный доступ к системам, в которых они установлены. Фактически, было несколько сообщений и широко распространенных предположений о том, что поставщики намеренно внедряют бэкдоры в свои электронные микросхемы и телекоммуникационное оборудование, особенно в те, которые поставляются крупным корпорациям, иностранным правительствам и военным организациям.
Боты устанавливаются на взломанные компьютеры для запуска флуда (распределенный отказ в обслуживании, спам по электронной почте и т. д.) или других атак при активации. Хакеры часто взламывают большое количество компьютеров, чтобы сформировать
Сеть ботов (botnet), который они затем могут сдать в аренду другим киберпреступникам. Сеть ботов из примерно 10 000 ботов, которого достаточно, чтобы нарушить работу крупного веб-сайта с помощью атаки типа «DoS», можно арендовать всего за 200 долларов в день. [9]
Руткиты - это наборы программных инструментов, которые в основном направлены на сокрытие присутствия злоумышленника, который уже взломал систему.
Помимо того, что Stuxnet был первым червем, специально разработанным для сети SCADA, он также нес первый руткит, специально разработанный для ПЛК. Регистраторы ключей записывают нажатия клавиш на компьютерах, на которых они установлены.
Троянский конь - это программное обеспечение, которое кажется полезным и действительно может иметь полезную функцию, но также имеет скрытую вредоносную функцию, такую ??как руткит или регистратор ключей.
Все вышесказанное - вредоносные программы настроены на нарушение целостности системы с последующим потенциальным нарушением всех других свойств в зависимости от типа вредоносного ПО.
Отказ в обслуживании (denial of service)
В некотором смысле киберэквивалент глушения, отказ в обслуживании (DoS) - это кибератака, направленная на ограничение доступности сети путем бомбардировки сетевого устройства или системы большими объемами бессмысленного сетевого трафика. Если цель подключена к Интернету, она можно найти через специализированные поисковые системы, такие как Shodan. Затем злоумышленник может арендовать на черном рынке большое количество скомпрометированных компьютеров (ботов) и дать им указание одновременно отправлять сетевой трафик, например запросы на соединение, одной и той же цели.
При необходимости принимать и обрабатывать сетевые пакеты, поступающие с очень высокой скоростью, целевая система может быть перегружена и оказаться неспособной отвечать на любые законные запросы на соединение, полученные одновременно.
К 2013 году самая крупная атака уже достигла 400 Гбит / с. Чтобы скрыть свою личность и затруднить защиту, злоумышленники обычно подделывают свой исходный адрес, указывая поддельный адрес в заголовках сетевых пакетов атаки. Как правило, получателю очень сложно установить истинный источник поддельного сетевого пакета. Это становится еще более трудным при атаке отражения, когда боты не отправляют трафик прямо к своей цели. Вместо этого они отправляют запросы на подключение легитимным компьютерам.
Атака DoS увеличивает нагрузки сети , приводящее к потере доступности сети. Как правило, это задерживает или полностью предотвращает срабатывание, нарушая передачу инструкций исполнительным механизмам или данных, собранных с датчиков. Задержки связи с датчиками также могут косвенно вызвать неправильное срабатывание, поскольку это будет основано на старых данных датчика.
Защититься от данной атаки можно , введя в систему механизмы аутентификации, системы обнаружения вторжений, межсетевые экраны и меры избыточности. Одной из этих мер недостаточно, и даже меры по защите могут потерпеть неудачу, если скорость атаки слишком высока.
Глушение GPS (GPS Jamming)
Аналогично помехам при передаче данных злоумышленник передает мощные сигналы, препятствующие приему допустимых сигналов GPS. Учитывая и без того очень низкую прочность последнего, это несложный подвиг. Результатом атаки является потеря доступности GPS, что может привести к: нарушению способности цели определять свое местоположение, автономно перемещаться или извлекать выгоду из синхронизации на основе GPS. Основной целью такой атаки является корабли, самолеты, наземные транспортные средства, интеллектуальная сеть и любая другая киберфизическая система, которая в значительной степени полагается на доступность GPS для определения местоположения, навигации или синхронизации времени.
Чёрная дыра (black hole)
Тип атаки на интеллектуальную сеть. Вместо того, чтобы наводнять сеть большими объемами трафика, злоумышленник может повлиять на доступность данных, скомпрометировав сетевой узел и просто отбросив любые сетевые пакеты, проходящие через него. Если в результате атаки отбрасываются все пакеты, это называется атакой “черная дыра”. Во многих случаях может быть предпочтительнее отбрасывать пакеты выборочно, а не все, возможно, чтобы избежать обнаружения. Это известно как атака “серая дыры”. Например, рассмотрим сеть SCADA, в которой работает протокол DNP3. Кибервоздействие - нарушение целостности сетевой системы на скомпрометированных узлах и потеря доступности сети. Физическое воздействие - аналогично атаке отказа в обслуживании. Задержка или полная невозможность срабатывания из-за нарушения передачи инструкций исполнительным механизмам или данных, собранных с датчиков. Опять же, задержки связи с датчиками также могут косвенно вызвать неправильное срабатывание, потому что это будет основано на старых данных датчика. Сложность: умеренная защита: механизмы аутентификации, системы обнаружения вторжений, резервирование сети с разнообразием.
Мошеннический узел (Rogue Node)
Тип атаки на интеллектуальную сеть, автомобильные сети, домашную автоматизаци. и другие сети контроллеров или датчиков. Используя совместимое проводное или беспроводное оборудование, злоумышленник вводит мошенническое устройство в сеть, представляющуюся законным узлом. В случае автомобиля это можно сделать, физически подключившись к порту OBD (порт компьютерной диагностики автомобиля). Узел-мошенник может читать все сообщения в сети и генерировать свои собственные сообщения, включая команды для исполнительных механизмов. Атака нарушает целостность системы. Введение мошеннического узла - это предварительный шаг, который упрощает другие атаки, такие как DoS, атака посредником, внедрение команд, перехват пакетов и т. д.
Изоляция сети (Network Isolation)
Сложный тип атак на крупномасштабные киберфизические системы, такие как интеллектуальные сети и системы управления светофорами. Атака направлена на изоляцию определенной физической географической области от сети [10]. Никакого особого подхода не требуется, но один из способов достижения этого - компрометация сетевых узлов, которые окружают целевую область, выборочное отбрасывание или задержка сетевых пакетов от них и к ним. На практике это скоординированная атака “черная дыра”, при которой цели выбираются в зависимости от физического географического района, который они обслуживают. Злоумышленник должен хорошо знать географическое покрытие сети и координировать атаки на большое количество сетевых узлов. Это потенциальная угроза для интеллектуальной сети, поскольку сильное воздействие может оправдать вложения злоумышленника в детальную разведку сети и выявление уязвимостей, которые могут потребоваться. Атака вызывает нарушение целостности сетевой системы на скомпрометированных узлах и потеря доступности сети. Физическое воздействие атаки то же, что и атака “черная дыра”, но сосредоточено на датчиках и исполнительных механизмах конкретной географической области
Рассмотрим точки входа для атак на разные системы (таблица 1). Точки входа для атак на системы умного дома описаны в таблице 2.
Таблица 1 - Точки входа для атак систем SCADA
Описание точки входа | Вероятные атаки |
Радиосвязь между RTU/PLC и датчики/исполнительные механизмы | Глушение связи, подача команд,ввод ложных данных |
RTU / PLC и связь с серверами SCADA | Внедрение кода / модификация прошивки, заражение вредоносным ПО, отказ в обслуживании, глушение, повторная атака, внедрение команды, введение ложных данных, черная дыра / серая дыра, изоляция сети, мошеннический узел |
Сеть управления, включая серверы SCADA и рабочие места инженеров | Заражение вредоносным ПО, отказ в обслуживании, посредник |
Коммуникационный шлюз / канал между системой управления и корпоративной сетью (например, соединение между первичным и вторичным архиватором) | Отказ в обслуживании, введение ложных данных (на основе базы данных) |
Корпоративная сеть | Заражение вредоносным ПО, социальная инженерия |
Интернет и сети партнеров | Веб-атаки (вредоносное ПО, SQL-инъекции и т. д.), Социальная инженерия |
Таблица 2 - Точки входа для атак на системы умного дома
Описание точки входа | Вероятные атаки |
Сеть Wi-Fi и маршрутизатор Wi-Fi | Взлом паролей для Wi-Fi роутера, сниффинг пакетов, отказ в обслуживании, мошеннический узел, глушение связи |
Приложение для смартфона или ПК для управления через Интернет | Взлом паролей приложений для смартфонов или ПК, вредоносное ПО на смартфоне или ПК |
Stuxnet
Хотя компьютерные системы SCADA широко использовались для удаленного мониторинга и управления оборудованием с 1960-х годов, только в последние годы их киберугрозы привлекли значительное внимание. Исследователи склонны сосредотачиваться на конкретных уязвимостях, вносимых Modbus, DNP3 и другими протоколами связи промышленного управления, большинство из которых изначально были разработаны для простоты и эффективности, а не безопасности. Тем не менее, на практике наиболее часто используемые уязвимости имеют мало общего с конкретными протоколами и в значительной степени такие же, как и в обычных компьютерных системах, начиная от программных ошибок и заканчивая неправильными паролями. Разница заключается в последствиях их эксплуатации, поскольку нарушение безопасности может напрямую повлиять на общественную безопасность. Кроме того, обеспечение безопасности системы SCADA может быть очень сложной задачей из-за ее строгого характера в реальном времени, требования к непрерывной доступности, ошибочного представления о том, что устаревшие технологии SCADA по своей сути безопасны просто из-за того, что они не ясны, все чаще используются компоненты COTS и взаимосвязь с другими. сети, такие как корпоративные сети и даже Интернет.
Самым значительным из реальных инцидентов, связанных с промышленными системами управления, была атака Stuxnet на завод по обогащению урана в Натанзе, Иран. Пример исключительно продвинутого вредоносного ПО, нацеленного в первую очередь на причинение физического ущерба, Stuxnet нацелился на определенные типы ПЛК, контролирующих различные аспекты процесса обогащения урана. Ранний вариант Stuxnet, который должен был прекратить работу в 2009 году, был предназначен для предохранительных клапанов; наиболее известный вариант был направлен на повреждение центрифуг путем изменения скорости вращения. Stuxnet использовал украденные цифровые сертификаты, четыре уязвимости нулевого дня и множество инновационных методов, чтобы проникнуть в закрытую сеть ПЛК предприятия. Масштаб воздействия атаки неясен, но влияние на стратегическое мышление, тенденции атак и понимание людьми потенциала киберфизических атак было огромным.
Практически во всех аспектах жизни современного общества, зависящих от производства, передачи и распределения электроэнергии, электросеть является областью применения промышленных систем управления, где кибератаки опасаются больше всего. Более того, появление интеллектуальной сети несет с собой несколько новых угроз. Подробные данные об использовании энергии отдельными домохозяйствами, собранные интеллектуальными счетчиками, могут помочь сделать вывод о количестве людей, режимах сна и т.д. Помимо конфиденциальности, очень важны целостность и доступность.
Автоматизированный характер интеллектуальной сети, где на поставку влияют данные о потреблении энергии, сообщаемые интеллектуальными счетчиками в режиме, близком к реальному времени, делает атаки с использованием ложных данных особенно опасными. Было показано, что атаки доступности, нарушающие связь и увеличивающие задержки, а также атаки GPS, влияющие на синхронизацию времени, могут препятствовать способности сети обнаруживать физические помехи и справляться с ними.
Механизмы защиты и принципы безопасного проектирования
Большинство семейств механизмов безопасности, разработанных для кибернетической атаки применимы независимо от того, есть ли отрицательное воздействие в физическом пространстве. Тем не менее, есть существенные отличия между обычными компьютерными системами и киберфизическими системами с точки зрения развертывания и эффективности каждого механизма безопасности (таблица 3) [11].
Таблица 3 - Отличия между обычными компьютерными системами и киберфизическими системами
Меры защиты | Обычная компьютерная безопасность | Кибер-физическая безопасность |
Аутентификация | В большинстве случаев наиболее практичными являются аутентификация на основе пароля / парольной фразы или токенов. | Биометрия, близость и местоположение аутентификация может быть особенно подходящей.
|
Контроль доступа | Большинство подходов сосредоточены в первую очередь на конфиденциальности и целостности. | Фокус может быть расширен до доступности киберфизических систем в реальном времени с помощью управления доступом на основе атрибутов с атрибутами, значения которых могут зависеть от времени. |
Обнаружения вторжений | Использует только функции кибер ввода. Обычно предпочтительны подходы, основанные на знаниях. Основными показателями производительности являются ложноположительные, ложноотрицательные и истинно положительные результаты. | Использует как виртуальные, так и физические функции ввода. Подходы, основанные на поведении и особенно на его спецификации, очень многообещающие. Частота истинных положительных результатов и задержка обнаружения (сколько времени требуется для обнаружения угрозы) особенно важны. |
Межсетевой экран | Используется в большинстве компьютерных сетей. | Жизненно важен для защиты промышленных сетей управления, подключенных к корпоративным сетям или Интернету, но менее распространенных в других киберфизических системах. |
Антивредоносное ПО | Используется в подавляющем большинстве персональных компьютеров и корпоративных сред. Обновления обычно выполняются автоматически через Интернет. | Может быть слишком требовательным для систем с ограниченными ресурсами. Обновления в системах реального времени применяются только тогда, когда они находятся в автономном режиме и обновления уже были опробованы в резервной системе. |
Белый список приложений | Все более популярны, но несколько непрактичны, если важна гибкость. | Естественно подходит для киберфизических систем из-за низких требований к ресурсам и короткого списка необходимых приложений. |
Белый список потока | Непрактично в большинстве сред, основанных на Интернете и работающих с серверами, из-за большого количества возможных легитимных потоков трафика. | Естественно подходит, поскольку потоки сетевого трафика обычно повторяются и предсказуемы, а их количество управляемо. |
Криптография | Первичный механизм защиты конфиденциальности, целостности и подлинности. Обеспечивая безопасность связи и онлайн-транзакций, криптография является технологией, позволяющей использовать Интернет. | Из-за вычислительной мощности и ограничений по времени в киберфизических системах криптография часто отсутствует, слабая или ограничивается аутентификацией на основе токенов и безопасной потоковой передачей данных в реальном времени. Интеграция специализированных аппаратных криптографических модулей позволяет устранить ограничения в режиме реального времени и обработки. |
Проверка целостности | Аппаратная аттестация с использованием TPM широко используется на ПК уже несколько лет. | TPM не так широко используется, как на ПК. Программные механизмы могут лучше подходить для встраиваемых систем с ограниченными ресурсами. |
Живучесть | Акцент чаще всего делается на избыточном хранении данных и предотвращении повреждения и потери данных. | Из-за строгих требований к работе в реальном времени упор делается на постоянную доступность критически важных компонентов, включая сетевую инфраструктуру. |
В отличие от обычных компьютерных систем, где конфиденциальность является основной задачей, кибер-физическая безопасность системы делает упор на доступность и целостность. Устройства с ограниченными ресурсами являются сложной задачей, когда дело доходит до реализации криптографической защиты, брандмауэров и приложений для защиты от вредоносных программ на основе черного списка. С другой стороны, шаблоны сетевого трафика и необходимые приложения предсказуемы и могут быть указаны в белых списках, которые значительно менее требовательны с точки зрения ресурсов. Кроме того, биометрические характеристики, близость, местоположение и другие измеримые характеристики, происходящие из физического пространства, очень важны для использования механизмами аутентификации и контроля доступа. Аналогичным образом, обнаружение вторжений может выиграть от учета не только кибер-входных функций, но и физических входных функций, таких как подозрительные изменения в энергопотреблении, уровне воды, мобильности и т. д.
Киберфизические системы являются привлекательными целями для очень способных противников, а механизмы безопасности, разработанные специально для них, все еще относительно незрелы. Эта комбинация означает, что для конкретного механизма несложно защитить себя от киберфизической атаки. Это придает повышенное значение механизмам выживаемости, таким как избыточность с разнообразием и репликацией, а также вековым принципам безопасного проектирования в киберпространстве, которые выдержали испытание временем, и особенно глубокоэшелонированной защите и изоляции.
Библиографический список
1. Ким Зеттер. Отчёт к нулевому дню [электронный ресурс] режим доступа: https://clck.ru/SbttK
2. Dumpster Diving - Security Through Education [электронный ресурс] режим доступа: https://clck.ru/Sc3FU
3. Security Strategies for Hindering Watering Hole Cyber Crime Attack - ScienceDirect [электронный ресурс] режим доступа: https://clck.ru/Sc3GR
4. Nmap: the Network Mapper - Free Security Scanner [электронный ресурс] режим доступа: https://nmap.org/
5. Tenable® - The Cyber Exposure Company [электронный ресурс] режим доступа: https://www.tenable.com
6. Wireshark • Go Deep. [электронный ресурс] режим доступа: https://www.wireshark.org/
7. Белая шляпа для Shodan. Как легально использовать поисковик по IoT — «Хакер» (xakep.ru) [электронный ресурс] режим доступа: https://xakep.ru/2015/11/25/shodan-howto/
8. Types of Malware | Internet Security Threats | Kaspersky [электронный ресурс] режим доступа: https://www.kaspersky.com.au/resource-center/threats/malware-classifications
9. Distributed Denial-of-Service, DDoS (отказ от обслуживания) [электронный ресурс] режим доступа: https://clck.ru/Sc3L3
10. Shin, D. H., Koo, J., Yang, L., Lin, X., Bagchi, S., and Zhang, J. (2013). Lowcomplexity secure protocols to defend cyber-physical systems against network isolation attacks. In Conference on Communications and Network Security (CNS), pp. 9199, IEEE, October 2013.
11. George Loukas. Cyber-physical attacks: a growing invisible threat. Butterworth-Heinemann (Elsevier), 2015.