Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Исследователи обнаружили 147 разных уязвимостей в 34 мобильных SCADA-приложениях и бэкенд-серверах.
Эксперты IOActive и Embedi оценили изменения, произошедшие за два года в сфере дистанционного управления рабочими процессами, и пришли к выводу, что с приходом IoT и переносом функций надзора и контроля в облако уязвимость ICS-инфраструктуры усугубилась. В своем отчете Александр Болшев и Иван Юшкевич представили результаты тестирования 34 мобильных SCADA-приложений, в которых они обнаружили около полутора сотен разных уязвимостей. В 2015 году аналогичное исследование выявило 50 брешей в 20 образцах.
Мобильные приложения, предназначенные для взаимодействия с АСУ, исследователи делят на две группы: локальные программы для прямого подключения к ICS-системе или ее сегменту (через Wi-Fi, Bluetooth, последовательный интерфейс) и программы удаленного доступа к ICS-серверу, такие как SCADA-клиенты, MES-клиенты (Manufacturing Execution System) и приложения, сигнализирующие о проблемах.
Локальные приложения обычно используются в узком кругу и работают в изолированных средах, дистанционные зачастую устанавливаются на смартфонах с интернет-соединением или персональные гаджеты, разрешенные на предприятии в соответствии с политикой BYOD.
Болшев и Юшкевич рассматривают три основных типа угроз для SCADA-приложений: несанкционированный физический доступ к устройству или «виртуальный» доступ к данным устройства, компрометация канала связи (MitM) и компрометация приложения (на стороне бэкенд-сервера или на стороне клиента). В зависимости от этих угроз возможные атаки на SCADA-программы разделены на две группы.
Атаки, влияющие на промышленный процесс или сетевую инфраструктуру (прямо или опосредованно), выполняются посредством отправки вредоносных данных на устройства промышленного объекта в обход проверок прав доступа и достоверности информации. Вторая разновидность — атаки в расчете на ошибку оператора SCADA, которого можно обманом заставить принять неправильное решение, влекущее ложную тревогу или аварийное завершение работы системы.
Анализ и тестирование приложений проводились на основе списка уязвимостей OWASP Mobile Top 10 за 2016 год. Опытные образцы от 34 вендоров были выбраны случайным образом на Google Play, однако предпочтение отдавалось программам, обеспечивающим доступ к аппаратуре или ПО бэкенд-сервера. Такой подход, по словам исследователей, позволил расширить площадь пробных атак. Приложения, обновление которых последний раз производилось до июня 2015 года, в контрольную выборку не вошли.
Проверка обнаружила 147 уязвимостей в приложениях и их бэкенд-серверах; находки были сгруппированы в соответствии с классификацией OWASP, но исследователям пришлось добавить 11-ю категорию для багов в ПО бэкенда. Результаты анализа Болшев и Юшкевич представили в виде следующей таблицы:
(источник: блог-запись IOActive)
Тех, кого интересуют подробности находок каждой категории, исследователи приглашают заглянуть в полнотекстовую версию отчета, выложенную в открытый доступ на сайте IOActive.
Для снижения рисков авторы исследования советуют придерживаться рекомендаций OWASP, а разработчикам SCADA-клиентов для мобильных устройств — также соблюдать ряд правил:
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |