QRishing czyli ataki phishingowe za pomocą kodów QR

QRishing to forma phishingu inicjowana za pomocą kodów QR. Kody QR to kwadratowe obrazy z szeregiem czarno-białych elementów, które widzimy w aplikacjach, stronach internetowych a także tradycyjnych mediach. Skanowanie ich powoduje, że jesteśmy przekierowani na stronę internetową, dzięki czemu możemy zapisać kontakty lub otworzyć aplikacje. Zazwyczaj kod QR przechowuje adres URL i inne powiązane informacje. Jego wykorzystanie nieustannie wzrasta i znajduje zastosowanie niemal wszędzie, w tym do transakcji na bramkach płatniczych i przechowywania kluczowych danych medycznych. Podczas gdy korzystamy z kodów QR prywatnie na co dzień, również i firmy coraz częściej sięgają po to rozwiązanie. Przede wszystkim podczas wdrażania różnych narzędzi korporacyjnych jako narzędzie autentykacji dla użytkowników.

QRishing wykorzystuje socjotechnikę, aby potencjalne ofiary skanowały kod i trafiały do fałszywej strony ładowania (landing page). Zależnie od środowiska i celu kampanii, hakerzy stosują zróżnicowane metody:

QRishing jest celowany w urządzenia mobilne, ponieważ to one służą jako skanery kodów QR.

Wklejanie przezroczystego, złośliwego kodu na oryginalnym kodzie QR

Po raz pierwszy zaobserwowano to w bankach, w których klienci byli przekonani, że zeskanowany kod QR musi być również w użyciu gdzie indziej. Powodem wiary w autentyczność kodu jest przynależność do instytucji w ramach której został podany. Jeśli użytkownik znajduje się w renomowanym banku lub instytucji państwowej, istnieje duża szansa na zaufanie do dowolnego kodu QR jaki zostanie mu podany. W takiej sytuacji cyberprzestępcy wklejają przezroczystą osłonę złośliwego kodu QR nad oryginalną. Znamy ten mechanizm budowania zaufania chociażby z cyklicznie powtarzających się kampanii email, gdzie stosowany jest phishing wiadomości od ZUS, Urzędu Skarbowego czy dostawców energii. Wariant QRishingowy to wyłącznie przeniesienie narzędzia z wiadomości email do kodu obrazkowego.

Zmiana danych organizacji nad kodem QR

Aby oszukać użytkowników, którzy uwierzyliby, że skanują oryginalny kod QR, haker użyłby go w kontekście prawdziwej marki. Jeśli nie jest to możliwe fizycznie, można posłużyć się marketingiem i reklamą. Na przykład baner, broszura lub plakat na ulicy wspominający np. o ciekawym wydarzeniu poprosiłby użytkowników o zeskanowanie na nim kodu QR. Wiele imprez dla młodych ludzi umożliwia rejestrację za pomocą wspomnianych kodów, które przekierowują bezpośrednio do strony z zapisami. Wówczas kod QR byłby próbą wyłudzenia informacji, której ofiara nie byłaby w stanie rozpoznać.

Używanie kodów QR jako kuponu lub vouchera

Nie jest tajemnicą, że większość ludzi woli korzystać z promocji, rabatów i zniżek podczas dokonywania zakupów. Cyberprzestępcy doskonale o tym wiedzą. Korzystanie z kodów QR, aby otworzyć bądź zatwierdzić kupon rabatowy to częsta praktyka. Raport dotyczący bezpieczeństwa QR przytoczony przez TheWindowsClub pokazuje, że użytkownicy znacznie częściej otwierają kody QR, które oferują zniżki. Również środowiska korporacyjne wprowadzają vouchery np. na szkolenia. Powierzchnia tego ataku wykracza więc poza aspekty prywatnych zainteresowań użytkownika.

Logowanie do Sharepoint pułapką

Wraz z początkiem wakacji pojawiła się nowa kampania phishingowa, opisana przez BleepingComputer, której celem jest przekierowanie użytkownika na strony wyłudzające wrażliwe informacje. Wykorzystywane są do tego kody QR, skutecznie omijając rozwiązania celujące w powstrzymanie takich ataków. Oszuści wykorzystali adres URL zakodowany w kodzie QR do obejścia oprogramowania zabezpieczającego, które analizuje i blokuje podejrzane lub umieszczone na czarnej liście domeny.

Wiele aplikacji korzystających z kodów QR nie wyświetla specjalnie docelowego adresu URL. Również przy próbie otwarcia stron zwykle wyświetlałoby się hiperłącze, ale i w tym wypadku hakerzy używają skróconych linków. Ponadto adres URL po zeskanowaniu kodu QR przez urządzenie mobilne może nie wyświetlać się całkowicie w przeglądarce mobilnej.

W kampanii opisanej przez Cofense e-maile phishingowe miały pozorować wiadomości z programu SharePoint. Przychodziły na służbowy adres użytkownika pod tytułem: „Przejrzyj ważny dokument (Review Important Document)”. Treść wiadomości zapraszała do „skanowania kodu QR do uzyskania dostępu do pliku”.

Phishingowa wiadomość email

Aby zwabić ofiary na strony phishingowe, atakujący dodali obraz GIF zawierający kod QR, który przekierowywał do hxxps://digitizeyourart.whitmers[.]com/wp-content/plugins/wp-college/Sharepoint/sharepoint/index.php. Czyli na adres powiązany z domeną, przeznaczoną do tworzenia witryn związanych z SharePoint. Badacze z Cofense odkryli, że większość aplikacji skanera kodów QR w smartfonach natychmiast przekieruje użytkownika na szkodliwą stronę za pośrednictwem natywnej przeglądarki telefonu. Następnie, po dotarciu do strony docelowej pozorującej logowanie do SharePoint użytkownik ma możliwość wyboru uwierzytelnienia w celu wyświetlenia dokumentu. W odróżnieniu od zwykłego atak phishingowego, ten atak posiada podwójne dno. Nie tylko wyłudza dane użytkownika – ponadto usuwa go z bezpieczeństwa korporacyjnej sieci firmowej.

Landing page fałszywej strony logowania do Sharepoint

Podwójne dno ataku

Ten krok pozwala cyberprzestępcom na skuteczne ominięcie wszelkich usług ochrony łączy, w tym email gateway’ów, mechanizmów sandbox lub filtrów treści internetowych ustawionych przez działy bezpieczeństwa IT. Dzieje się tak, ponieważ strony docelowe są ładowane na osobisty smartfon ofiary – w większości organizacji pracownicy mogą na nich odbierać służbową pocztę. Jeśli istnieją jakieś restrykcje i polityki bezpieczeństwa, użytkownik otrzyma email na służbowym urządzeniu mobilnym. Mogłoby się wydawać, że jest to bezpieczniejszy scenariusz. Ale i w ten sposób można narazić się na dodatkowe ryzyko z powodu bardziej ograniczonych rozwiązań bezpieczeństwa.

Zazwyczaj to wciąż komputery i serwery są w firmach objęte silniejszą warstwą zabezpieczeń niż flota mobilna. Mimo tego że smartfony mamy cały czas przy sobie i korzystamy z nich znacznie częściej. Aby atak był jeszcze skuteczniejszy wobec użytkowników mobilnych, atakujący zadbali o stronę wizualną swoich działań: Zoptymalizowali także strony docelowe dla smartfonów. Co więcej, strona phishingowa zapewnia niestandardowy widok na urządzeniach mobilnych.

Widok zoptymalizowany pod urządzenia mobilne

„Chociaż użytkownik może otwierać wiadomość na prywatnym telefonie, nadal ma korporacyjny sposób myślenia. Powodem jest fakt, że wiadomość e-mail została wysłana na adres służbowy” – podkreśla Cofense. „Dlatego jest wysoce prawdopodobne, że ofiara wprowadzi swoje dane uwierzytelniające do konta służbowego, aby uzyskać dostęp do tego„ dokumentu ”. Innymi słowy, jest mało prawdopodobne, że użytkownik odbierze tę wiadomość jako phishing. W końcu na co dzień pracuje z dokumentami na platformie Sharepoint a kody QR to popularne narzędzie. A z pewnością zdecydowanie mocniej kojarzącym się z biznesowym zastosowaniem niż potencjalnym celem ataków hakerskich.

QRishing to wypróbowana i wciąż skuteczna metoda ataku

E-maile phishingowe z kodem QR z powodzeniem dotarły do skrzynek odbiorczych klientów Cofense, w których środowiskach biznesowych uruchomiono program Symantec Messaging Gateway. Niestety, to rozwiązanie oznaczyło wspomniane wiadomości phishingowe jako „Nie spam”. To nie jedyny taki przypadek. Prawie identyczna kampania phishingowa została wykryta przez VadeSecure latem 2016 r. Hostowana na zhakowanej stronie WordPressa, była w stanie ominąć „ogromną większość filtrów typu phishing, wirus, spam i malware”. Ponieważ nie ma oczywistego adresu URL który stanowiłby odniesienie dla narzędzi bezpieczeństwa, kampania odnosiła sukcesy.

Tą techniką cyberprzestępcy unikają filtrów phishingowych. Omijają też rozwiązania blokujące takie ataków, zanim szkodliwe wiadomości e-mail dotrą do skrzynek odbiorczych użytkowników. Pojęcia QRishing użyto pierwszy raz w badaniu CyLab Uniwersytetu Carnegie Mellon z 2012 r. pt: „QRishing: podatność użytkowników smartfonów na ataki phishingowe QR Code”. Jak widać, obawy związane z bezpieczeństwem korzystania z QR zostały podniesione lata temu, ale nie były tak dużym problemem jak teraz.

Badanie wykazało, że „łatwość, z jaką taki atak można przeprowadzić w stosunku do obecnych smartfonów, jest szczególnie niepokojąca”. Podobnie jak w przypadku klasycznych ataków phishingowych, ciekawość jest tym, czego cyberprzestępcy używają, aby użytkownicy skanowali złośliwe kody QR. Phishing e-mailowy jest znanym problemem bezpieczeństwa już od jakiegoś czasu, zatem opracowano środki i narzędzia, aby temu przeciwdziałać. To samo nie wydaje się prawdą w przypadku QRishingu, który jest mniej znany, mniej zbadany i prawie całkowicie nie do powstrzymania. Szczególnie, biorąc pod uwagę długi cykl łatania i możliwość uzyskania przez atakującego podwyższonych uprawnień na urządzeniu. W dokumencie z 2017 r. zaproponowano także możliwą obronę pod hasłem Quick Response Code Secure (QRCS). Zadaniem QRCS stanowiłoby „bycie uniwersalnym i skutecznym rozwiązaniem skupiającym się wyłącznie na autentyczności twórcy, a co za tym idzie integralności kodu QR dzięki zastosowaniu podpisów cyfrowych”.

Gazeta
Atak QRishingowy nie potrzebuje dedykowanej wiadomości email – może znajdować się też na fizycznym obiekcie np. plakacie czy reklamie w gazecie

Jak chronić się przed atakami QRishing?

Niestety, jak potwierdzają badacze, oszuści nadal stosują kody QR, unikając kontroli zabezpieczeń phishingowych. Uciekają się do migracji ataku na mniej chronione urządzenia mobilne. Jako oczywiste rozwiązanie nasuwa się wdrożenie ochrony dla korporacyjnej floty mobilnej oraz przeszkolenie użytkowników w zakresie rozpoznawania wiadomości phishingowych. A co jeśli chcemy się chronić prywatnie?

Uważaj na osłony kodów QR

Najgorszy rodzaj ataków QRishing polega na wklejeniu przezroczystej osłony złośliwego kodu QR na prawdziwym obrazku. Poświęcenie kilkunastu sekund na wnikliwszą analizę może pomóc w identyfikacji, że mamy do czynienia z QRishingiem.

Nie otwieraj skróconych adresów URL

W idealnym przypadku zaleca się sprawdzenie skróconego adresu URL poprzez rozwinięcie go za pomocą niektórych narzędzi. Ale nie zawsze jest to możliwe przy użyciu przeglądarki mobilnej i nie każdy użytkownik będzie to potrafił. Ponieważ adresy URL z kodów QR w przeglądarce mobilnej zazwyczaj nie są kompletne, lepiej unikać ich otwierania.

Zastanów się przed wpisaniem swoich danych uwierzytelniających

Zawsze należy wprowadzać poświadczenia w bezpiecznej witrynie, której adres internetowy zaczyna się od „https: //”. Nie robimy tego z losowymi linkami wysyłanymi do nas w mailach phishingowych. Podobnie powinniśmy mieć się na baczności tam, gdzie przekierowują nas kody QR. Wydaje się, że to oczywiste a jednak wielu z nas o tym nie pamięta.

Zainstaluj aplikacje zabezpieczające na urządzeniu mobilnym

Przeglądarki mobilne nie stosują powszechnie wielu zabezpieczeń, w które wyposażone są tradycyjne przeglądarki. Zazwyczaj te drugie reagują na niezabezpieczone witryny pytaniem, czy użytkownik na pewno chce wejść. W przeciwieństwie do nich, przeglądarki mobilne mogą nie być w stanie zareagować w ten sposób. Jednym z rozwiązań jest instalacja aplikacji zabezpieczających, które spełnią to zadanie.

Unikaj kodów QR

Mimo że kody QR są jedną z najbardziej komfortowych opcji, lepiej unikać ich stosowania, zwłaszcza jeżeli nie mamy pewności co do ścieżki postępowania po przekierowaniu. Największym bowiem problemem jest brak wiedzy i brak wdrożonych środków zapobiegających atakom QRishing. Podczas gdy rozpowszechniono email phishing na poziomie świadomości, ludzie nadal mają zaufanie do kodów QR.

https://www.bleepingcomputer.com/news/security/phishing-security-controls-fully-bypassed-using-qr-codes/

https://www.thewindowsclub.com/qrishing-scams-qr-code-smartphone

Roboty przemysłowe a cyberataki. Część 2

Ten artykuł to druga część publikacji “Roboty przemysłowe a cyberataki“, podczas gdy w części pierwszej omówiliśmy podatności m.in. związane z routerami przemysłowymi. Co więcej, poruszyliśmy temat problemów z oprogramowaniem, podatnościami, dostępem itp. Artykuł zakończyliśmy przedstawieniem rodzajów atakujących a teraz przejdziemy do konkretnych form zagrożeń. Jakie cyberataki stanowią zagrożenie dla robotów przemysłowych? Jakie scenariusze wydarzeń mogą nastąpić? Oraz jak poprawić bezpieczeństwo robotów przemysłowych?

Ataki specyficzne dla robotów przemysłowych

Prace badaczy zaowocowały we wnioski, że pewne kombinacje luk w oprogramowaniu umożliwiają określone klasy ataków, które są unikalne dla robotów przemysłowych. Eksperci z Trend Micro i Politechniki Mediolańskiej odkryli pięć klas ataków opartych na obserwacji, że robot pracujący w normalnych warunkach powinien być w stanie zrealizować zadania: Dokładnych odczytów z czujników, logiki sterowania oraz wykonywania precyzyjnych ruchów, zaniechania wyrządzania krzywdy ludziom. Zamiast tego, szereg ataków przeprowadzony przez zespół badaczy dowiódł, że żadna z tych wytycznych nie jest zapewniona. Ataki sklasyfikowano w tabeli jak poniżej:

Zestawienie ataków testowanych przez badaczy z Trend Micro i Politechniki Mediolańskiej, wraz z konkretnymi efektami i naruszonymi obszarami

Atak 1: Zmiana parametrów pętli sterowania

Atak ten dotyczy poziomu serwomechanizmu (patrz poniżej). Opiera się on na założeniu, że kinematyka i parametry konfiguracyjne są odczytywane z pliku lub w inny sposób definiowane w czasie wykonywania. Służy to elastyczności i ponownemu wykorzystaniu kodu, jednak zostawia przestrzeń dla atakującego. Jeśli ma on dostęp do pliku konfiguracyjnego, może zmodyfikować te parametry. Dla atakującego najciekawszymi parametrami do modyfikacji są te, które wpływają na ruchy robota – skrajna modyfikacja, która może całkowicie naruszyć wymagania funkcjonalne i bezpieczeństwa.

Abstrakcyjna reprezentacja architektury systemu sterowania sterownika robota przemysłowego

Atak 2: Zmiana parametrów kalibracji

Atak ten jest ukierunkowany na poziomy przetwarzania sensorycznego i modelu wiedzy systemu sterowania (rysunek powyżej). Istotne jest, aby każdy system sterowania znał dokładne położenie osi i obliczał błędy. Przy pierwszym podłączeniu robota do kontrolera lub po zmianie konfiguracji urządzenie wykrywające musi zostać skalibrowane. Sterownik wykorzystuje dane kalibracji, aby skompensować znane błędy pomiaru podczas wyzwalania serwomotorów. Dane kalibracyjne zapisane są początkowo w urządzeniu pomiarowym, dalej zaś są przesyłane do sterownika podczas rozruchu systemu. Następnie kontroler używa lokalnej kopii danych.

Gdy robot nie porusza się, atakujący może manipulować parametrami kalibracji na kontrolerze. Podczas gdy zacznie się poruszać, takie manipulowanie może zmusić serwomechanizm do pracowania nieregularnie lub nieoczekiwanie, ponieważ prawdziwy błąd mierzonego sygnału różni się od błędu, który zna sterownik. W konsekwencji narusza to wszystkie wymogi. Ponadto, jeśli atakujący wielokrotnie uruchamia manipulacje, może to zakończyć się efektem DoS. Roboty przemysłowe pozostają wówczas w stanie zatrzymania.

Atak 3: Manipulacja logiką produkcji

Atak ten odnosi się do poziomu zadań, w szczególności programu zadań, który osadza logikę produkcji. Jeśli kontroler nie wymusza integralności programu od początku do końca, osoba atakująca może wykorzystać system plików lub lukę obejścia uwierzytelniania, aby dowolnie zmienić zadanie programu. Na przykład może wstawić umieścić błędne instrukcje powodujące usterki, zmodyfikować przedmiot obrabiany lub całkowicie naruszyć proces produkcyjny firmy.

Atak 4: Zmiana postrzeganego przez użytkownika stanu robota

Interfejs operatora musi dostarczać aktualnych informacji co najmniej o stanie silnika (włączony / wyłączony) i trybie pracy (ręczny / automatyczny). Ponadto normy wymagają, aby warunki krytyczne dla bezpieczeństwa (np. ponowne uruchomienie robota ze stanu zatrzymania) wymagały celowego potwierdzenia użytkownika. Niestety, niektóre z tych warunków są komunikowane i wymagają interakcji użytkownika za pomocą oprogramowania, a nie za pomocą komponentów elektrycznych (np. przycisków). Tak jest w przypadku obecnych modeli botów. Zatem wpływając na zwykły interfejs użytkownika (UI) można przeprowadzić atak modyfikacyjny. Zmiana UI mogłaby ukryć lub zmienić prawdziwy status robota, oszukując operatorów aby dokonywali błędnych ocen ryzyka, a tym samym stwarzając znaczne zagrożenie bezpieczeństwa.

Atak 5: Zmiana stanu robota (fizycznego)

Atakujący może wykroczyć poza zmianę postrzeganego stanu robota. W pewnych warunkach atakujący może zmienić prawdziwy stan robota, gdy operator pozostaje nieświadomy. Atak ten można połączyć z innymi atakami 1-4, aby uzyskać większy efekt. Na przykład przedmiot obrabiany może zostać zmieniony a sterownik robota tego nie odnotuje.

Możliwe scenariusze zagrożeń dla robotów przemysłowych

Cyberprzestępcy są motywowani różnymi celami, które głównie mają charakter finansowy. Nawet jeśli działają na zlecenie polityczne, to i tak ich praca musi być dla nich opłacalna. Mogą też tworzyć większą sieć, która realizuje cele biznesowe. Biorąc pod uwagę krytyczne dla bezpieczeństwa i gospodarki cele, jakie obierają atakujący, zainteresowanie bezpieczeństwem przemysłu przez organy państwowe powinno być na porządku dziennym. Organizacje, które nie przeszły odpowiednich przeglądów bezpieczeństwa w odniesieniu do korzystania z podłączonych robotów, mogą być zagrożone atakami opisanymi w poprzednim punkcie. Na podstawie podatności odkrytych podczas prac nad raportem, analitycy określają poniższe scenariusze zagrożeń jako możliwe:

Scenariusz 1: Zmiana lub sabotaż

Wykorzystując sterowanie robotem, hakerzy są w stanie umieścić celowe mikrodefekty do obrabianego przedmiotu. Wygląda to niewinnie. Taki scenariusz to nie jest przecież całkowite zniszczenie każdego etapu linii produkcyjnej. Aczkolwiek, ewentualność taka stanowi ważny punkt wejścia, który operatorzy robotów przemysłowych muszą wziąć pod uwagę. W skutek mikrobłędów pewna liczba produktów może stać się bezużyteczna. Ponieważ duże partie są testowane przez dział kontroli jakości, wadliwe produkty nie trafią do klienta, ale będą stratą. Zależnie od rodzaju przedmiotu i jego defektu, może on przejść kontrolę, a jego wada ujawni się dopiero w toku użytkowania. W skrajnych przypadkach może wówczas dojść do obrażeń lub śmierci u użytkowników.

Robot ABB przy pracy

Scenariusz 2: Ataki ransomware

Ransomware to temat rzeka i niestety w środowiskach przemysłowych oferuje wyjątkową możliwość zarabiania. W zależności od dokładności i charakteru kontroli jakości, która jest wdrażana w obiekcie docelowym oraz od tego, jaki inny mechanizm sprawdzający istnieje, osoba atakująca może ukradkiem wprowadzić mikrodefekty w łańcuchu produkcyjnym. Następnie będzie śledzić, które produkty są dotknięte takimi mikrodefektami, a później skontaktuje się z producentem, prosząc o okup, w zamian za nieujawnianie, które partie zostały naruszone.

Jeśli przestępcom się powiedzie, a wartość dóbr i ewentualne straty przewyższą koszt żądania okupu, dostawcy mogą rozważyć płatność. Jest to hipotetyczny scenariusz, ponieważ musi istnieć wiele czynników, a napastnicy mogą wybrać szybsze sposoby na czerpanie korzyści z ofiar. Jeśli jednak odniosą sukces i będą w stanie zaprezentować uszkodzenie, ten mechanizm może zadziałać jak dźwignia dla kolejnych pomysłów.

Scenariusz 3: Uszkodzenia fizyczne robotów przemysłowych

Osoba, która może kontrolować robota, może również uszkodzić jego części, a według analityków – nawet spowodować obrażenia osób, które ściśle z nim współpracują. Ten scenariusz mógłby stać się rzeczywistością jeśli zaistniałyby okoliczności opisane w przypadku dwóch ataków: Po pierwsze, atakujący może zmienić stan robota postrzegany przez człowieka, zmieniając informacje o statusie wyświetlane na urządzeniu HRI. Po drugie, atakujący może zamiast tego zmienić prawdziwy stan robota bez zauważenia tego przez jego operatora. Póki co takie informacje nie docierają do publicznej świadomości, zapewne ze względu na fizyczne ograniczenia. Jednakże w dobie IoT możemy się spodziewać, że atakujący znajdą takie obejście, które pozwoli na wyłączenie wszystkich funkcji zabezpieczeń.

Scenariusz 4: Zakłócenia procesu produkcyjnego

W zależności od stopnia szkód spowodowanych atakiem cybernetycznym, produkcja może zostać natychmiast uruchomiona ponownie lub po dłuższym czasie. Atakującym szczególnie zależy na tym drugim wariancie. Możliwym scenariuszem jest zastosowanie przez nich modyfikacji w postaci np. nagłego zwiększenia siły ramienia robota. Aktywuje się na po ponownym uruchomieniu. Wówczas może on uszkodzić części linii produkcyjnej, zmuszając operatora do zatrzymania produkcji na danym kroku. W efekcie, spowoduje to opóźnienia w produkcji, które przekładają się na pracę całej organizacji a także mogą mieć różne konsekwencje finansowe.

Scenariusz 5: Wyciek wrażliwych danych

Robot przemysłowy jest „tylko” elementem komputera podłączonego do sieci fabrycznej. Jeśli nie jest poprawnie “załatany” od strony programowej, reprezentuje otwarty punkt wejścia do sieci. Ponadto ze względu na zadania, które musi wykonać, czasami przechowuje poufne dane (np. kod źródłowy lub informacje o harmonogramach i wolumenach produkcji). Nierzadko takie informacje stanowią tajemnice branżowe. Również parametry kalibracji robota, są chronione zarówno przez dostawców, jak i użytkowników, aby zapobiec nieautoryzowanemu dostępowi. Jak pokazuje to praca badaczy z Trend Micro i Politechniki Mediolańskiej, istniejące mechanizmy ochrony są często niewystarczające. Jeśli atakujący namierzy podatnego robota, będzie mieć bezpośredni dostęp do takich danych. Oznacza to kłopoty dla firmy padającej ofiarą oraz cenne informacje dla konkurencji.

Holistyczne podejście do tematu szansą na poprawę bezpieczeństwa robotów przemysłowych

Nawet najprostsze podatności i luki w bezpieczeństwie mogą posłużyć do przeprowadzenia złożonych ataków w sieciach, gdzie pracują roboty przemysłowe. To, co zaprezentowano na łamach raportu Trend Micro, uświadamia, że zbudowanie bardziej bezpiecznego ekosystemu robotyki to spore wyzwanie. Nie będzie ono polegać wyłącznie na poprawie jakości wbudowanego oprogramowania działającego na robotach, ani na zwiększeniu liczby ujawnionych podatności i szybszych poprawek. Potrzeba jest zmiana całego podejścia do kwestii bezpieczeństwa.

Roboty przemysłowe marki Hyundai przy pracy

Standardy zabezpieczeń i bezpieczeństwa cybernetycznego

Standardy robotów przemysłowych kładą nacisk na wymogi bezpieczeństwa, takie jak funkcje zatrzymywania, zmianę sterowania, ograniczenia prędkości i zakresu ruchu. Niestety, żaden ze standardów nie uwzględnia wyraźnie zagrożeń cyberprzestrzeni, podczas gdy badania jasno pokazują, że pewne scenariusze zagrożeń i ataków są wykonalne. W niektórych przypadkach, za naruszenia bezpieczeństwa przewidziane są zbyt łagodne konsekwencje. Badacze mają tez wiele zarzutów w stosunku do organów przeprowadzających ocenę ryzyka. W myśl tego, standardy bezpieczeństwa dla robotów przemysłowych powinny zostać ponownie przeanalizowane przez odpowiednie organy normalizacyjne.

Środki bezpieczeństwa i wyzwania dla robotów przemysłowych

Projektanci maszyn i robotów przemysłowych stają przed niewątpliwie trudnym zadaniem, jakim jest zaprojektowanie bezpiecznej architektury. Chcąc nie oszczędzać na funkcjach wykonawczych, czasem pogarszają te związane z dostarczaniem aktualnych aktualizacji zabezpieczeń. W porównaniu z innymi systemami technologii informacyjno-komunikacyjnych, roboty przemysłowe mają bardzo długą żywotność. Pociąga to za sobą ryzyko, że będą posiadać jakieś wbudowane podatności – czyli dobrze znane producentom luki bezpieczeństwa, które nigdy nie zostaną załatane.

W wielu przypadkach brakuje też hardeningu na poziomie systemu, co sprawia, że wykorzystanie luki jest łatwiejsze niż w normalnym systemie operacyjnym. Ten problem pogłębiają też zachowania klientów – użytkowników rozwiązań. Potrafią oni powstrzymywać się od terminowego aktualizowania systemów sterowania m.in. robotami przemysłowymi z obawy przed przestojami lub problemami. W tym miejscu po raz kolejny kłania się brak podstawowych zasad bezpieczeństwa. Doświadczenie wielu specjalistów bezpieczeństwa pokazuje, że takie praktyki są stosowane nagminnie. W postawach osób odpowiedzialnych za systemy IT & OT powielane są dwa wzorce. Albo testowania „na produkcji” albo odwlekania w czasie aktualizacji do momentu, gdy jest za późno. Niestety, żadna z tych postaw nie służy przedsiębiorstwom. Chcąc zadbać o bezpieczeństwo robotów przemysłowych, należy w pierwszej kolejności podnieść poziom cyberbezpieczeństwa organizacji w ogóle.

Ludzka interakcja

Należy wprowadzić mechanizmy bezpieczeństwa, które zapewniają, że operatorzy będą mogli w bezpieczny sposób zaradzić nieoczekiwanym lub niepożądanym zachowaniom robota. Większa lub bardziej bezpośrednia możliwość interakcji ze strony człowieka mogłaby zmienić wynik niektórych ataków, jakie opisaliśmy. Jeśli awaryjne przystanki bezpieczeństwa są prawidłowo realizowane za pomocą przełączników elektromechanicznych, operator może całkowicie zatrzymać robota, jeśli zauważy coś złego. Nie dotyczy to jednak mniej widocznych scenariuszy ataku. A już zwłaszcza tych bardzo wyrafinowanych.

Wykrywanie ataków i poprawa bezpieczeństwa systemów

Potrzebne są skuteczne i łatwo stosowane metody wykrywania ataków, aby zapewnić rozwiązanie w zakresie krótko- i średnioterminowego łagodzenia zagrożeń. Szczegółowe wytyczne i rekomendacje znajdują się w raporcie – link

Robot przemysłowy marki FANUC

Jak poprawić bezpieczeństwo robotów przemysłowych?

Nowa generacja robotów przemysłowych współpracuje z ludźmi, pomagając im, a nie tylko wykonując zautomatyzowane operacje. Dlatego roboty te muszą być zabezpieczone w pierwszej kolejności. Przede wszystkim w kontekście bezpieczeństwa ludzi, którym zagraża zdalne hakowanie robota, co niestety jest możliwe.

Sposobem na zminimalizowanie powierzchni zagrożeń jest weryfikacja specyfikacji robota przemysłowego. Zwłaszcza jeśli chodzi o zapisy dotyczące bezpieczeństwa cybernetycznego. Badacze z IOActive radzą wyraźnie:. “Jeśli w materiałach marketingowych jest niewiele lub nie ma żadnych informacji o zabezpieczeniach, to nie jest to dobry wskaźnik”. Warto zwrócić uwagę również na wymóg szyfrowania komunikacji z dowolnym punktem końcowym podłączonym do robota.

Kolejną poradą jest uwierzytelnianie, które ma zapobiec przejęciu kontroli nad robotami przemysłowymi w skutek braku mechanizmu uwierzytelniania. Nasza ostatnia publikacja o dwuskładnikowym uwierzytelnianiu (2FA) zahacza o tematykę cyberbezpieczeństwa w przemyśle. Podobnie do 2FA warto rozważyć izolację komponentów i segmentację sieci. Badacze tłumaczą, że odseparowanie krytycznych komponentów ma szczególne znaczenie dla bezpieczeństwa całej organizacji. Zapobiega bowiem przejściu zagrożenia z mniej potencjalnie bardziej podatnych części infrastrktury.

Wdrażane rozwiązania bezpieczeństwa dla robotów przemysłowych i infrastruktury IT & OT mają wiele do wykonania. Przede wszystkim powinny nakładać dodatkowe bariery i zapewniać głębokie kontrole ruchu (Deep-packet Inspection). Dzięki temu umożliwią dostęp tylko dla użytkowników zweryfikowanych przez wiele źródeł i pomogą zapobiec wielu cybertakom.

Źródło

https://documents.trendmicro.com/assets/wp/wp-industrial-robot-security.pdf

https://www.newequipment.com/plant-operations/six-things-know-about-industrial-robot-cyber-security

https://robosec.org/

Nowy wariant malware DRIDEX w natarciu

Historia zna wiele przykładów wyścigu zbrojeń, zimnej wojny i licytacji na możliwości techniki. Dziedziny, w których te zawody się odbywają, zazwyczaj kojarzą nam się z ciężkim przemysłem i nowoczesnymi technologiami. Nie inaczej jest w przypadku cyberprzestępców i tych, którzy stoją po drugiej stronie barykady. Ostatnio pisaliśmy o 14-latku, którego hobby doprowadziło do stworzenia malware Silex, atakującego urządzenia IoT. Dziś przypomnimy popularny kilka lat temu Dridex, który niedawno zyskał nowe wcielenie. Niestety, dla sektora finansowego nie mamy dobrych wiadomości – twórcy nieustannie udoskonalają swój produkt. Ich starania doprowadziły do tego, że najnowsza wersja trojana przez dłuższy czas pozostawała niewykrywalna dla popularnych producentów rozwiązań anty-wirus. Obecnie vendorzy AV nadrobili już oni swoją zwłokę ale i twórcy złośliwego oprogramowania nie pozostają w tyle. Jakich dalszych działań malware Dridex możemy się spodziewać? Zapraszamy do lektury.

Rozkład ataków Dridex w latach 2011-2017 koncentrował się głównie na kilku krajach europejskich; źródło: Kaspersky Lab

Historia i ewolucja Dridex

W 2011 roku świat pierwszy raz usłyszał o trojanie bankowym Dridex. W ciągu kilku lat ewoluował, stając się poważnym cyberzagrożeniem dla sektora finansowego. Już w 2015 roku szkody wyrządzone przez Dridex oszacowano na 40 mln USD. Twórcy Dridex byli w stanie ustrzeć się przed wymiarem sprawiedliwości, dzięki ukryciu głównych serwerów dowodzenia i kontroli (C&C) za warstwami pośredniczącymi. Wnioskując po rozwoju złośliwego oprogramowania, można stwierdzić, że cały czas jest rozwijane przez tych samych twórców. Szczególnie, że gdy stare wersje przestają działać, sukcesywnie pojawiają się nowe a każde nowe ulepszenie jest kolejnym krokiem naprzód w systematycznym rozwoju wirusa. Wydaje się, że od początku jest to coś więcej niż eksperyment albo czyjś pomysł na hobby.

Zanim jednak malware osiągnął obecną skalę możliwości, nazywał się Cridex i istniał jako niezależne złośliwe oprogramowanie. Analiza jego próbek wykazała, że specjalizował się w atakach typu web injections w obszarze bankowości online – głównie poprzez technikę Man-in-the-browser (MITB). Polega ona na wstrzyknięciu (umieszczeniu) złośliwego kodu na stronie internetowej usługi bankowej w celu przechwycenia jednorazowej wiadomości SMS, zebrania informacji o użytkowniku, zafałszowania informacji o witrynie itp. Już w pierwszych dniach wirus mógł otrzymywać dynamiczne pliki konfiguracyjne, posługiwać się atakami MITB do kradzieży pieniędzy oraz infekować nośniki USB. Ta zdolność wpłynęła na nazwę, pod którą wykryto „zerową” wersję Cridexa – Worm.Win32.Cridex.

Do końca 2017 Dridex ewoluował poprzez kolejne wcielenia począwszy od wersji 0.77 po 4.x. Jego twórcy szukali potencjalnych ofiar w Europie. W okresie od 1 stycznia do początku kwietnia 2017 r. w Wielkiej Brytanii odnotowano ponad połowę (prawie 60%) wszystkich wykrytych przypadków. Następne w kolejności rażenia były Niemcy i Francja, odnotowano też kilkanaście incydentów poza Europą – w Stanach Zjednoczonych. Badacze z Kaspersky Lab zauważyli, że Dridex nigdy nie miał szans działać w Rosji, ponieważ „serwery C&C wykrywają kraj za pomocą adresu IP i nie odpowiadają, jeśli krajem jest Rosja”.

W pliku wykonywalnym sekcje o nazwach databefore, datainject i dataafter sprawiły, że Cridex porównywano do innego znanego złośliwego oprogramowania Zeus

Powrót w nowym wcieleniu

W ciągu kilku lat istnienia rodziny Dridex pojawiło się wiele nieudanych prób zablokowania jego aktywności. Trwająca ewolucja szkodliwego oprogramowania pokazuje, że cyberprzestępcy nie zamierzają pożegnać się ze swoim pomysłem, który zapewnia im stały strumień przychodów. Można przypuszczać, że te same osoby, być może Rosjanie, stoją za trojanami Dridex i Zeus Gameover. Szkody wyrządzone przez nich są niemożliwe do dokładnej oceny. Wedłu Kaspersky Lab mogły osiągnąć już setki milionów dolarów. Ponadto, biorąc pod uwagę sposób, w jaki złośliwe oprogramowanie ewoluuje, można założyć, że znaczna część „zarobków” jest reinwestowana w rozwój trojana bankowego.

Niedawne doniesienia zdają się potwierdzać tę ostatnią teorię. Nigdy wcześniej nie widziany wariant Dridex został zauważony w wiadomościach phishingowych wykorzystujących taktykę unikania wykrywania wirusów. Ta odmiana malware wykorzystuje sygnatury plików, które są trudne do wykrycia przez oprogramowanie antywirusowe. W ten sposób złośliwe oprogramowanie może uniknąć wykrycia na zainfekowanych systemach. Naukowcy wypowiadający się dla Threatpost, porównali jego najnowszą wersję do niesławnego trojan bankowego Emotet. „To kolejny element gry w kotka i myszkę. Każda nowa wersja Dridexa dokłada cegiełkę do światowego wyścigu zbrojeń. Hakerzy będą rozwijać swoje możliwości, ponieważ społeczność po drugiej stronie będzie reagować ulepszonym wykrywaniem i łagodzeniem”.

Obecne szkodliwe oprogramowanie Dridex jest dostarczane ofiarom za pośrednictwem wiadomości e-mail w postaci złośliwego dokumentu z osadzonymi makrami. Po pobraniu, Dridex zajmuje się informacjami bankowymi. Nowy wariant tego phishingowego e-maila przyniósł kilka kluczowych zmian na czele z uniknięciem wykrycia jako wirus.

W jaki sposób Dridex omija wykrywanie AV?

Oprogramowanie antywirusowe polega głównie na sygnaturach plików (skróty MD5 lub SHA256) do identyfikacji szkodliwych aplikacji. Dridex wykorzystuje nowo utworzone 64-bitowe biblioteki dynamiczne (DLL), posiadające sygnatury plików, jakie nie zostały wykryte przez oprogramowanie antywirusowe w przeszłości. Biblioteki DLL są ładowane za pośrednictwem normalnych plików binarnych MS Windows, co sprawia, że wydają się być częścią legalnego produktu programowego. W związku z tym trudniej jest je wykryć.

Droga infekcji typowych ataków za pomocą Dridex; źródło: NJCCIC

Nowa funkcja okazała się całkiem skuteczna: w pierwszej fali ataku tylko 14 na 60 badanych produktów antywirusowych zidentyfikowało zachowanie trojana. Obecnie sytuacja wygląda dużo lepiej – pełną listę silników antywirusowych, które badano pod kątem wykrywalności Dridex można znaleźć na VirusTotal. Czy to oznacza, że zagrożenie już minęło? Łudziłby się ten, kto odpowiedziałby twierdząco. Ponieważ twórcy tego wirusa od 10 lat inwestują w jego rozwój to z pewnością znajdą sposób na ominięcie obecnych mechanizmów wykrywania. Niewykluczona jest też ekspansja na większą liczbę krajów w Europie – w tym potencjalnie Polskę. Co więcej, Threatpost i eSentire donoszą o wykorzystaniu techniki białej listy aplikacji w obecnym wcieleniu Dridex.

Application Whitelisting nową furtką dla malware

Ta taktyka wykorzystuje słabość wiersza polecenia WMIC (Windows Management Instrumentation Command-line). To narzędzie umożliwia użytkownikom zarządzanie i dostęp do krytycznych funkcji systemu w zależności od stopnia uprawnień. Technika białej listy aplikacji czyli Application Whitelisting to proces zatwierdzania konkretnych aplikacji – uznawania ich za bezpieczne. W związku z tym wiele firm wykorzystuje ją do ochrony przed nieznanymi i potencjalnie szkodliwymi aplikacjami. Godne uwagi jest jednak to, że i ten mechanizm nie jest wolny od podatności. Istnieje bowiem pewna luka, która może obrócić korzyść z zastosowania tego mechanizmu na stronę cyberprzestępców.

„Podatność ta oznacza, że można załadować skrypty XLS zawierające złośliwy skrypt Visual Basic (VBS). Jeśli firma ma wyłączony lub zablokowany Windows Script Host, ten wariant Dridex może ominąć Whitelisting i nadal wykonywać złośliwy kod za pomocą WMIC przy użyciu pliku XLS ze złośliwymi VBS ”

JR DePre, red team technical manager @eSentire

Pierwsze obserwacje takiego zachowania poczynił badacz złośliwego oprogramowania Brad Duncan, 17 czerwca 2019. Tydzień później, eSentire Threat Intelligence odkrył podobny wariant malware. Okazuje się, że te scenariusze mają wspólny mianownik. Jeszcze bardziej zachęciło to badaczy do kontynuacji prac nad ustaleniem dalszego kierunku rozwoju malware Dridex.

To, czego można się spodziewać, to na pewno wzrost maili podszywających się pod instytucje finansowe. Ponadto działy finansowe licznych organizacji mogą otrzymywać korespondencję z załączonymi „fakturami”, które zawierać będą złośliwe makra. Podczas gdy dynamika pracy cyberprzestępców nie maleje, prawdopodobnie klasyczne rozwiązania antywirusowe nadal będą miały luki. Z pewnością dobrym pomysłem będzie przypomnienie pracownikom o zagrożeniu phishingiem i sposobach obrony.

https://securelist.com/dridex-a-history-of-evolution/78531/

https://threatpost.com/new-dridex-variant-slips-by-anti-virus-detection/146134/

https://www.esentire.com/blog/new-dridex-variant-evading-traditional-antivirus/

https://www.cyber.nj.gov/threat-profiles/trojan-variants/dridex

Two-Factor Authentication (2FA) w każdych warunkach

Dwuetapowe uwierzytelnianie to znany mechanizm kontroli dostępu. Mimo szerokich możliwości działania, wciąż wiele środowisk nie zdecydowało się na jego wykorzystanie. Sytuacja ta powoli ulega zmianie, głównie przez wzrastający poziom cyberzagrożeń skierowanych w użytkownika, ale nie tylko. Sprzyjają jej decyzje światowych autorytetów – jak FIDO Alliance – oraz wymagania rynkowe. Wraz z nadejściem ery Industry 4.0 między systemami informatycznymi, a w szczególności Industrial Control Systems (ICS) pojawiły się nowe rodzaje połączeń. Potrzeba integracji różnych obszarów pociąga za sobą konieczność wdrożenia środków, zapewniających większą kontrolę dostępu do połączonych systemów. Zastosowanie technologii 2FA czyli Two-Factor Authentication pozwala na dodanie kolejnej warstwy uwierzytelniania. Jak przekłada się to na bezpieczeństwo organizacji? Które metody dwuskładnikowego uwierzytelniania są najlepsze? Czy 2FA to sposób na zabezpieczenie połączeń zdalnych? Oraz jakie korzyści przyniesie organizacjom zastosowanie tych środków?

Jedną z metod 2FA jest sprzętowy klucz – na zdjęciu klucz firmy Feitian

Popularne metody dwuskładnikowego uwierzytelniania

Tradycyjne logowanie determinowane jest przez prawidłowe poświadczenia użytkownika. Następuje wówczas identyfikacja (oznajmiamy kim jesteśmy – podajemy login) oraz uwierzytelnienie (jesteśmy tym, za kogo się podajemy – wpisujemy hasło). Jeśli do tej kombinacji dodajemy jeszcze „coś, co mamy” (np. token USB, Bloetooth) lub „coś, czym jesteśmy” (np. odcisk palca czyli biometria) otrzymujemy uwierzytelnianie dwuskładnikowe. Bazuje ono na założeniu, że nieautoryzowany użytkownik nie będzie posiadał równocześnie wszystkich elementów niezbędnych do uzyskania dostępu.

Szczególnym przypadkiem 2FA jest „uwierzytelnianie skokowe”. Opiera się ono na dwóch fazach czyli uwierzytelnianiu przez poświadczenia a następnie np. otrzymaniu SMSem jednorazowego hasła (znanego jako OTP – One Time Password). Zapewnia to oczywiście podwyższony poziom bezpieczeństwa, bo musimy wykazać, że oprócz znajomości loginu i hasła jesteśmy w posiadaniu telefonu, na który wysłano kod. Niestety, wiąże się to z ryzykiem ataku real-time phishing, w którym atakujący pozwala ofierze wpisać zarówno hasło jak i OTP, a następnie przejmuje zalogowana sesje. Podobny problem będzie dotyczył aplikacji generujących kody (np. Google Authenticator), gdzie zasada działania jest identyczna. Użytkownik, w trakcie logowania, otrzymuje wygenerowany przez aplikację kod, który podaje systemowi aby potwierdzić swoją tożsamość.

Ten sposób uwierzytelniania pozostawia pole do manewru dla potencjalnych cyberprzestępców. Warto mieć to na uwadze decydując się na jej wybór. Lepszą alternatywą jest uwierzytelnianie biometryczne. Rozpoznawanie głosu, skaner tęczówki, odcisk palca stanowią bardzo poważne wyzwanie dla hakera. Dlatego są to patenty stosowane na szeroką skalę w miejscach o podwyższonych wymogach bezpieczeństwa. Niestety, choć „podrobienie” fizycznych atrybutów człowieka jest w praktyce niezwykle trudne, nie jest niemożliwe. Co więcej, wysokie koszty implementacji takich rozwiązań, przekreślają zastosowanie biometrii w wielu obszarach.

Odcisk palca to metoda biometryczna wykorzystywana powszechnie w urządzeniach mobilnych

Uwierzytelnianie wymagające podania dwóch elementów układanki w tym samym czasie (poświadczeń i elementu fizycznego) czyni je trudniejszym do złamania. Wnioskując dalej – najefektywniej będą działały mechanizmy oparte o tokeny fizyczne, czyli tak zwane klucze U2F (Universal 2nd Factor). Wówczas z poziomu klucza realizowane są operacje kryptograficzne, których wynik może być wykorzystany do potwierdzenia tożsamości.

Zapotrzebowanie na 2FA w środowiskach przemysłowych

W środowiskach informatycznych istnieje szereg czynności takich jak aktualizacja oprogramowania, prace konserwacyjne lub zmiany konfiguracji, które są wykonywane okresowo i są niezbędne do prawidłowego funkcjonowania systemów. Czasami możliwe jest zdalne wykonywanie pewnych zadań przez pracowników będących poza firmą lub osoby spoza organizacji. Zjawisko outsourcingu na dobre zadomowiło się w wielu branżach, również w przypadku zdalnego dostępu do zasobów organizacji.

W sektorach przemysłowych zazwyczaj mamy do czynienia z mnogością oprogramowania i ich różnorodnego zastosowania. Co więcej, są to często środowiska, gdzie dostęp do infrastruktury krytycznej przekłada się na życie i zdrowie ludzi. Kluczowe jest zapewnienie odpowiednich mechanizmów bezpieczeństwa podczas udzielania zdalnego dostępu do zasobów.

Cały zdalny dostęp do przemysłowych systemów sterowania musi być należycie chroniony, kontrolowany, monitorowany i rejestrowany. Dlatego ważne jest, aby mieć widoczność na urządzenia, żądające dostępu oraz ich uprawnienia. Jeśli infrastruktura na to pozwala, weryfikacja urządzeń odbywa się przy użyciu protokołu 802.1x wraz ze scentralizowaną usługą uwierzytelniania (np. Active Directory). Co więcej, dla VPN dobrze byłoby dodać zaszyfrowaną warstwę przy użyciu SSL.

Niemniej jednak, aby zwiększyć poziom bezpieczeństwa w dostępie zewnętrznym, zaleca się dodanie drugiego czynnika do uwierzytelniania. Mógłby być on wdrożony w aplikacjach SCADA, na stacjach operatorskich, w wirtualnych pulpitach i innych elementach uznawanych za krytyczne dla infrastruktury OT. Również dostęp do niektórych urządzeń sieci przemysłowych np. sterowników PLC obywa się poprzez wirtualizację połączenia. Większość środowisk produkcyjnych ogranicza mechanizm bezpieczeństwa do połączenia za pomocą klienta VPN. Tym czasem od momentu nawiązania połączenia z siecią produkcyjną do faktycznego dostępu do sterownika znajduje się przestrzeń, w której można umieścić dodatkowy mechanizm.

W środowiskach przemysłowych podwójne uwierzytelnianie sprawdza się podczas dostępu do sterowników, zwłaszcza jeśli wykorzystuje się do niego wirtualizację

Jak dwuskładnikowe uwierzytelnianie podnosi poziom bezpieczeństwa?

Wdrożenie silnej metody dwuskładnikowego uwierzytelniania pozwoli w znacznym stopniu złagodzić coraz częstsze ataki. Szczególnie próby kradzieży poświadczeń dostępowych do usług krytycznych. Niektóre z wektorów używanych przez cyberprzestępców w takich próbach to:

  • kampanie phishingowe,
  • wykorzystanie luk 0-day i podatności,
  • zakażenie złośliwym oprogramowaniem,
  • brute force i ataki słownikowe na różne systemy.

W takich przypadkach, jeśli potencjalny atak zostanie pomyślnie uruchomiony, mechanizm podwójnego uwierzytelniania zatrzyma zagrożenie. Ponieważ konieczne będzie podanie drugiego czynnika uwierzytelniania, atakujący nie uzyska kontroli nad systemami. Same poświadczenia okażą się niewystarczające do włamania.

Zdalna kontrola dostępu w połączeniu z 2FA to jedna z najlepszych praktyk bezpieczeństwa w organizacjach, szczególnie tych o podwyższonym ryzyku. Sektor przemysłowy z liczną infrastrukturą krytyczną zdecydowanie zalicza się do tej grupy. Mimo ogromnej roli podwójnych mechanizmów uwierzytelniania w skali bezpieczeństwa całej organizacji, wciąż wiele firm nie decyduje się na wdrożenie 2FA. Powodem jest złożoność, czasochłonność i szeroka skala trudności związana z implementacją dodatkowej warstwy uwierzytelniania. Ma to szczególne znaczenie w środowiskach, gdzie infrastruktura jest heterogeniczna i wiele miejsc wymaga indywidualnego podejścia. Na szczęście na rynku istnieją rozwiązania oferujące elastyczność i dopasowanie do bardzo wygórowanych wymagań.

Poznajcie Secfense – innowacyjne podejście do 2FA

Secfense proponuje rozwiązania zapewniające bezpieczeństwo dostępu użytkowników – w tym dwuskładnikowe uwierzytelnianie – wbudowane w infrastrukturę i niezwiązane sztywno z aplikacjami.

Działanie Secfense opiera się na:

  • inspekcji ruchu i uczeniu – przepływ ruchu przez proxy
  • rozpoznawaniu wzorców – przy spełnieniu określonych kryteriów, ruch zostaje odpowiednio przekierowany
  • aktywacji modułów bezpieczeństwa – uruchomienie wybranej metody 2FA

Twórcy Secfense całkowicie przedefiniowali przyjęcie wieloetapowego uwierzytelniania na dużą skalę. Rozwiązanie pozwala na korzystanie z dowolnej dostępnej metody, np. sprzętowego tokena, danych biometrycznych czy aplikacji mobilnej. Secfense jest wdrażany między użytkownikami i aplikacjami, do których mają mieć dostęp. Najpierw poznaje wzorce ruchu związane z uwierzytelnianiem a następnie wymusza logowanie 2FA lub inne zdefiniowane działania. Odbywa się to bez zakłócania istniejącego kodu aplikacji lub ingerencji w zasoby np. bazy danych. Wdrożenie następuje w dowolnej aplikacji webowej w ciągu kilku minut lub godzin. Nie ma więc żadnego kodu firm trzecich rezydującego w fizycznych programach i aplikacjach organizacji, a co za tym idzie –  żadnych zagrożeń i blokad ze strony dostawców.

Secfense w kontroli dostępu idzie o krok dalej wprowadzając mikroautoryzacje. Innymi słowy jest to dodanie warstwy uwierzytelniania w określonych obszarach aplikacji. Istnieją miejsca, które mają wiele zasobów, wymagających dodatkowej ochrony. Dzięki mikroautoryzacjom za każdym razem, gdy użytkownik próbuje uzyskać dostęp do określonego zasobu, zostanie poproszony o dodatkowe uwierzytelnienie.

Jakie korzyści płyną z wyboru rozwiązania Secfense?

Secfense oferuje uproszczoną integrację mechanizmów bezpieczeństwa we wszystkich aplikacjach biznesowych bez ingerencji w kod źródłowy.

  • elastyczność – możliwość wyboru takiej metody uwierzytelniania, które najlepiej odpowiada wymogom organizacji,
  • niezależność – zmiany aplikacji nie wpływają na Secfense i stosowane metody uwierzytelnienia,
  • jednolite zasady –  Secfense pozwala na kontrolę nad regułami wygasania sesji we wszystkich aplikacjach,
  • bezpieczeństwo całej organizacji – Secfense pokrywa całą infrastrukturę (zasoby lokalnie + chmura).

Trend Micro w ostatnim raporcie wymienił interfejsy człowiek-maszyna (HMI) jako główny obecnie cel cyberataków w branży przemysłowej. Ataki te stanowią ponad 60% exploitów sprzętowych. Interfejsy HMI to jeden z ważniejszych elementów technologii przemysłu 4.0 kluczowym więc staje się zapewnienie bezpieczeństwa w tej kwestii. Silne uwierzytelnienie może być w tym przypadku najsprawniejszym rozwiązaniem problemu.

– Antoni Sikora, Head of Growth @ Secfense

Przyszłość pod znakiem 2FA

Dwuskładnikowe uwierzytelnianie to trend, za którym podąża coraz więcej organizacji, Zaleca się wdrożenie go we wszystkich usługach uznanych za krytyczne i zawsze tam, gdzie wymagany jest dostęp zdalny. W środowiskach przemysłowych należą do nich systemy SCADA , usługi pulpitu zdalnego, wirtualizacji połączeń itp. Tam, gdzie nie jest możliwe wdrożenie mechanizmów 2FA, zaleca się ograniczenie dostępu i zwiększenie monitorowania aktywności. Należy również rozważyć użycie menedżera haseł do obsługi 2FA.

Dziękujemy firmie Secfense za udostępnione materiały i przekazaną wiedzę.

Malware Silex atakuje urządzenia IoT

Nowe złośliwe oprogramowanie, nazwane Silex, atakuje urządzenia Internet of Things (IoT). Informacje o poczynaniach malware’u zawdzięczamy badaczowi Akamai, Larry’emu Cashdollar:„Silex atakuje prawie każdy uniksopodobny system operacyjny z domyślnymi danymi logowania. Nie ma znaczenia, czy jest to DVR oparty na ARM, czy system x64 z Redhat Enterprise. Jeśli login to root: hasło Silex może zniszczyć system” – ostrzegł Cashdollar w jednej z serii tweetów.

Silex wymazał oprogramowanie na ponad 2000 urządzeń w ciągu pierwszych kilku godzin od jego odkrycia. Prawdopodobnie obecnie jest to duża wyższa liczba, ponieważ nie zanosi się na to, aby ataki ustały. Wręcz przeciwnie.

twitter @_larry0/ Larry W.Cashdollar

W jaki sposób działa Silex?

Silex działa niszcząc pamięć urządzenia IoT, usuwając reguły zapory, usuwając konfigurację sieci, a następnie zatrzymując urządzenie. Jest tak destrukcyjny, jak to możliwe, bez fizycznego uszkodzenia obwodów urządzenia IoT. Dedykowany jest do dowolnego systemu uniksowego z domyślnymi danymi logowania. Używa znanych domyślnych danych logowania do urządzeń IoT, aby zalogować się i „zabić” system. Silex próbuje również niszczyć tabele partycji, wymuszając zmianę adresowania danych na dysku twardym. Konkretnie ustawia cylindry / głowice / sektory na wartość 1:

„W pliku binarnym widać wywołanie fdisk -l, który wyświetla listę wszystkich partycji dysku. Następnie [Silex] zapisuje losowe dane z / dev / random do dowolnych wykrytych partycji. W dalszym kroku usuwa konfiguracje sieciowe. Uruchamia także rm -rf /, którego zadaniem jest usunięcie wszystkiego, co przeoczył. Silex opróżnia również wszystkie wpisy iptables, dodając jeden, który odrzuca wszystkie połączenia. Następnie zatrzymuje lub ponownie uruchamia urządzenie” .

– w taki sposób Cashdollar opisuje działanie Silex

Bez fizycznego uszkadzania urządzeń IoT malware Silex może wymazać firmware na urządzeniach, aby uniemożliwić ich działanie. Chociaż zainfekowane urządzenia można odzyskać, ręcznie instalując ponownie firmware, dla większości właścicieli urządzeń będzie to zbyt skomplikowane zadanie. Najprawdopodobniej większość z nich wyrzuci problematyczne urządzenia, myśląc, że nastąpiła zwykła awaria sprzętu. Nie każda ofiara będzie świadoma, że jest to efekt złośliwego oprogramowania.

Kto za tym stoi?

Chociaż źródłowy adres IP został wyśledzony w Iranie, Silex został opracowany przez… 14-letniego hakera z Europy, który nazywa siebie „Light Leafon”. Ankit Anubhav, naukowiec z NewSky Security, skontaktował się z nastolatkiem, aby dowiedzieć się, co stoi za jego motywem. Warto odnotować, że nie była to pierwsza próba kontaktu. Anubhav już wcześniej kontaktował się z Leafonem około miesiąc temu, kiedy ten wydał HITO, prekursora Silexa, który również był ukierunkowany na urządzenia IoT.

Silex to nie pierwsze podejście młodego twórcy do szkodliwego oprogramowania

Odpowiedzialny za całe zamieszanie powiedział, że przygodę z malware rozpoczął jako żart, ale teraz stało się to dla niego projektem pełnoetatowym. Obecnie, Silex jest wyposażony w funkcję przechwytywania Telnet (protokołu tego używa się do nawiązywania sesji zdalnych). Leafon planuje uczynić Silex jeszcze bardziej destrukcyjnym, dodając możliwość logowania do urządzeń za pośrednictwem SSH.

Haker planuje również rozszerzyć szkodliwe oprogramowanie o luki w zabezpieczeniach, które mogą przenikać do docelowych urządzeń i przejmować je, podobnie jak większość botnetów IoT działających obecnie. „Zostanie przerobiony tak, aby miał oryginalną funkcjonalność BrickerBot”, powiedział Light. Szkodliwe oprogramowanie BrickerBot przetoczyło się przez Internet w 2017 r., niszcząc tymczasowo lub na stałe ponad dziesięć milionów urządzeń. BrickerBot pozostawał aktywny między kwietniem a grudniem 2017 r. Według jego autora – Janit0ra – został rozpowszechniony jako forma protestu przeciwko inteligentnym urządzeniom, które w 2017 r. zostały zainfekowane złośliwym oprogramowaniem Mirai DDoS.

Najgorsze przed nami?

Silex stanowi “punktowe” zagrożenie. Pozbawiając urządzenia możliwości pracy i rozłączając je z siecią, eliminuje możliwość przekazywania dalej szkodliwego oprogramowania. To jeden z “korzystnych” skutków ubocznych. Zwłaszcza, jeśli mowa o urządzeniach otwarcie wystawionych do publicznego Internetu. To niestety wciąż problem wielu użytkowników zarówno prywatnych jak i korporacyjnych. Warto pamiętać, że istnieją scenariusze “gorsze” niż obecna wersja Silex czyli przejęcie urządzeń i podłączenie ich do sieci botnet.

Nie wiemy jakie dokładnie zamiary ma sprytny nastolatek, poza tym, że chce udoskonalać swój produkt. W dobie powszechnych informacji o podatnościach warto zweryfikować czy nasze urządzenia nie posiadają tylnej furtki, otwartej dla hakerów. Nie wybiegając w zbyt zaawansowane systemy i rozwiązania – można zacząć od podstaw, takich jak kamera internetowa. Problem z prawidłowym zabezpieczeniem obrazu, tak aby nie był dostępny publicznie, okazuje się przerastać wiele osób. Zanim więc stworzymy sobie IoT z prawdziwego zdarzenia, warto te elementarne luki “załatać”.

https://www.zdnet.com/article/new-silex-malware-is-bricking-iot-devices-has-scary-plans/

https://www.computing.co.uk/ctg/news/3077942/silex-malware-iot-devices

https://hackercombat.com/a-new-malware-called-silex-targets-iot-devices/

Roboty przemysłowe a cyberataki. Część 1

Przemysłowe roboty są złożonymi systemami cyberfizycznymi (CyberPhysical System – CPS), które obejmują wiele mechanicznych komponentów. Zależnie od wykorzystania, należą do nich: siłowniki, kontrolery, czujniki i urządzenia do interakcji z ludźmi (HMI – Human Machine Interface). W tym kontekście rosnąca integracja komputerowego monitorowania fizycznych procesów produkcyjnych prowadzi do połączenia robotów z innymi maszynami i usługami zewnętrznymi. W wizji Industry 4.0 system zarządzania całą organizacją może rekonfigurować zrobotyzowane linie produkcyjne i otrzymywać aktualizacje dotyczące ich statusu operacyjnego.

Obecnie roboty przemysłowe łączy się z sieciami komputerowymi głównie w celach programistycznych i konserwacyjnych. Można już zauważyć pewien nacisk na bogatsze i bardziej złożone programowanie w celu integracji robotów z fabrycznym ekosystemem IT. Niektórymi robotami można już sterować za pomocą aplikacji na smartfonie. Wpisuje się to w trend Internet of Things, o którym w ujęciu przemysłowym, pisaliśmy tutaj.

Roboty przemysłowe, jako element infrastruktury informatycznej, mogą posłużyć do przeprowadzenia ataku cybernetycznego.

Integracja robotów przemysłowych z pozostałymi komponentami sieci przemysłowej przekłada się na znaczną poprawę wydajności oraz skrócenia czasu realizacji poszczególnych zadań. Jednak zwiększenie złożoności i wzajemnych połączeń systemów przemysłowych i robotycznych oferuje nowe możliwości ataku cybernetycznego. Motywacja takich hakerów może sięgać nawet scenariusza cyberwojny, gdyż przejęcie kontroli nad maszynami ma wpływ na krytyczne systemy i operacje. Takie działania już opisywaliśmy – wówczas zagrożone były firmy z sektora paliwowego i energetycznego. Dziś przyjrzymy się robotom przemysłowym. Firma Trend Micro we współpracy z Politechniką Mediolańską opublikowała raport pt.”Rogue Robots: Testing the Limits of an Industrial Robot’s Security”. Stanowi on obszerną publikację, w którą zaangażowali się również niektórzy producenci rozwiązań. Dzięki temu analitycy mogli podzielić się wynikami badań, ukazującymi świat bezpieczeństwa cybernetycznego robotów przemysłowych.

Routery przemysłowe wystawione w Internecie

Niedawno słyszeliśmy o tym, że NASA padła ofiarą wyrafinowanego ataku przez nieodpowiednio zabezpieczone urządzenie Rapsberry PI. Skoro nawet takim gigantom zdarzają się wpadki, oznacza to, że podobne scenariusze mogą wystąpić w organizacjach działających na mniejszą skalę. Bezpośrednia ekspozycja w Internecie krytycznego zasobu infrastruktury wcale nie należy do rzadkości. Badacze z Trend Micro i Politechniki Mediolańskiej opisali kilka przypadków, świadczących o skrajnej nieodpowiedzialności organizacji przemysłowych. Wykorzystując skanowanie sieci znaleziono routery przemysłowe, które zapewniały nieograniczony dostęp do sieci przemysłowej z wyłączonym uwierzytelnianiem. Oznacza to, że każdy, przy użyciu anonimowych danych, mógł znaleźć się w sieci, w której pracują m.in. roboty przemysłowe.

Coraz więcej robotów przemysłowych wyposażanych jest w urządzenia zdalnego dostępu, dedykowane monitorowaniu i konserwacji na odległość. Są to zasadniczo routery przemysłowe, często nazywane „skrzynkami serwisowymi”. Pozwalają zdalnym użytkownikom łączyć się z robotem tak, jakby byli w sieci lokalnej. Połączenie między skrzynką a zdalnym centrum serwisowym może wykorzystywać różne technologie np. wirtualną sieć prywatną (VPN) lub sieć GPRS (General Packet Radio Service). Druga opcja będzie korzystać z karty SIM oraz używać nazw punktów dostępu dostarczanych przez dostawców (APN). Istnieje ryzyko, że jeśli nie zostanie odpowiednio skonfigurowana, wszystkie miejsca gdzie pracują roboty tych samych firm, będą udostępniać takie APN i „widzieć się” przez sieć.

Routery przemysłowe zapewniają interesującą powierzchnię ataku, z naciskiem na uzyskanie dostępu do sterownika robota i innych maszyn przemysłowych. Na przykład napastnicy mogą atakować producenta urządzeń czy technologii odsprzedawanych dalej innym dostawcom w ramach partnerstwa OEM. Wówczas każda podatność znajdująca się w głębokiej warstwie sprzętu lub oprogramowania urządzenia pierwotnego, będzie powielana dalej w każdym jego zmodyfikowanym modelu u innego dostawcy. Nietrudno sobie wyobrazić, jakie to może mieć konsekwencje, zwłaszcza w świetle kolejnych cyber-wyzwań.

Oprogramowanie kluczowym czynnikiem bezpieczeństwa – po raz kolejny

Jedną z pierwszych podatności wykrytych podczas pracy nad raportem były podatności związane z oprogramowaniem dla robotów przemysłowych. W wielu przypadkach okazuje się ono przestarzałe, oparte na wrażliwych systemach operacyjnych i bibliotekach (np. Linux 2.6, .NET SDK 3.5). Zdarzają się też uszkodzone biblioteki kryptograficzne i słabe mechanizmy uwierzytelniania z domyślnymi, niezmiennymi poświadczeniami. Dobrze, jeśli dostawcy stosują zapewniają poprawki do systemów będących długo na rynku, jednakże nie jest to reguła.

Robot marki Mitsubishi w odizolowanym miejscu pracy

Roboty przemysłowe są tradycyjnie zaprojektowane do działania w tzw. klatce czyli będąc fizycznie oddzielonymi od miejsca pracy ludzi. Na tym polu zaczynają następować zmiany. Producenci zaczynają wprowadzać modele robotów współpracujących (boty). Mają one być w stanie pracować w fizycznej bliskości ludzi (np. YuMi ABB, CR-35iA 13 FANUC, różne modele Universal Robots). To, wraz z wejściem w życie filozofii Industry 4.0 zwiększa znaczenie kwestii bezpieczeństwa fizycznego. Wykorzystując podatności oprogramowania, atakujący mogą nie tylko zakłócić pracę robota ale stworzyć zagrożenie dla operatorów. Zapewne, według wszelkich norm i wytycznych stanowiska z robotami mają wbudowane liczne mechanizmy typu safety, mające na celu ochronę ludzi przebywających w pobliżu. Należy jednak pamiętać, że nie ma gwarancji, że na etapie projektowania robotów przewidziano każdy możliwy scenariusz. Zazwyczaj nikt nie zakłada, że sterowanie maszyn zostanie przejęte przez zewnętrznego atakującego a przynajmniej nie jest to oczywiste podejście.

Spora część sektorów przemysłu korzysta obecnie z robotów przemysłowych. Cyberprzestępcy wiedzą, że pracują one zazwyczaj w obszarach mających kluczowe znaczenie nawet dla całych państw:

  • Motoryzacja,
  • Przemysł lotniczy
  • Alternatywna energia
  • Obrona (zastosowania w operacjach wojskowych)
  • Elektronika
  • Produkcja szkła i metalu
  • Przemysł spawalniczy, drzewny, spożywczy, farmaceutyczny, papierniczy
  • Pakowanie i paletyzacja
  • Centra dystrybucyjne

Atakujący mogą wykorzystać obecność robotów przemysłowych w krytycznych sektorach, które dystrybuują usługi publiczne, aby wzmocnić wpływ ich działań. Bez wątpienia, przez to roboty przemysłowe stają się jeszcze atrakcyjniejszym celem ataku. W połączeniu z lukami w oprogramowaniu, bezpieczeństwo tych maszyn okazuje się stać pod znakiem zapytania.

Oczekiwania względem robotów przemysłowych

Istotnie, podatności w oprogramowaniu sterującym robotów przemysłowych a także zaniedbania w obrębie podstawowych polis cyberbezpieczeństwa mają kluczowe znaczenie. Począwszy od życia ludzkiego, które może stać się celem przestępców po pracę całej fabryki lub innego obiektu przemysłowego. Nierzadko celem ataków jest paraliż całej organizacji i straty materialne. Przygotowując się do włamania w sieć przemysłową, hakerzy doskonale zdają sobie sprawę z rangi maszyn i ich zadań. Nie dość, że roboty przemysłowe wykorzystuje się w sektorach krytycznych, to jeszcze wykonują bardzo istotne funkcje. Zostały bowiem zaprojektowane w celu spełnienia najwyższych standardów i wymagań, takich jak:

Dokładność – robot powinien odczytywać precyzyjne pomiary z czujników i wydawać prawidłowe i dokładne polecenia siłownikom, aby ruchy były wykonywane w dopuszczalnych marginesach błędu.

Bezpieczeństwo – robot powinien ujawnić wystarczające i poprawne informacje, aby umożliwić operatorom podejmowanie bezpiecznych i świadomych decyzji, zezwolenie operatorom na wykonywanie procedur awaryjnych i ich wykonywanie szybko i bezpiecznie.

Integralność – Sterownik robota powinien minimalizować możliwość, że źle napisany kod programu sterującego może spowodować uszkodzenie fizycznych części robota.

Z pewnością, oczekiwania te przekładają się na fizyczne możliwości robota. Jeśli naruszenie któregokolwiek z tych wymagań zostało zainicjowane atakiem cyfrowym, może doprowadzić do tego, że robot będzie kontrolowany przez atakującego. Przejdziemy teraz do omawiania typów atakujących a w kolejnej części samych ataków, charakterystycznych dla robotów przemysłowych.

Uproszczony schemat sieci przemysłowej, pokazujący położenie atakujących względem robota przemysłowego

Jakie strategie mają atakujący na środowiska przemysłowe?

W idealnym scenariuszu Industry 4.0 roboty przemysłowe byłyby podłączone do dedykowanej podsieci i odizolowane od innych punktów końcowych. W praktyce wiemy, że takie podsieci są często dostępne zdalnie na różne sposoby. Zazwyczaj roboty są fizycznie podłącza się do sieci za pośrednictwem kontrolera, który można zobrazować jako komputer. Jego zadaniem jest kontrola operacji i podsystemów robota, za pośrednictwem których pracuje (np. joysticki, przełączniki, porty diagnostyczne). Oczywiście ta architektura może być dużo bardziej rozbudowana, co przekłada się i na pozytywne i na negatywne aspekty bezpieczeństwa. Z jednej strony mnogość systemów i komponentów utrudnia podejście atakującym, z drugiej jednak czasem wystarczy jeden mały błąd by uzyskać wgląd w krytyczne zasoby.

Atakujący z poziomu sieci

Atakujący z tego poziomu jest ograniczony do komunikowania się z kontrolerem robota tylko za pośrednictwem połączenia sieciowego. To, że robot może nie być bezpośrednio wystawiony na działanie Internetu z zewnątrz, nie stanowi problemu. Podłączone są do niego inne urządzenia (np. kontrolery), które mogą mieć luki lub błędne konfiguracje. Haker może bazować na technikach wykorzystywanych zazwyczaj do uzyskania dostępu do sieci. Może też wykorzystać inne punkty wejścia, aby złamać zabezpieczenia przemysłowego komputera, a nawet skorzystać z metod offline. Przykładem jest zainfekowanie kontrolera sterującego za pomocą pamięci USB. Kiedy wirus po cichu wykona swoją pracę, atakujący ma pełny dostęp do infrastruktury IT.

Atakujący mający fizyczny dostęp do robota

Najprostszym i najczęstszym profilem osoby atakującej fizycznie jest operator robota, który używa interfejsu HMI do regularnego pilotowania i programowania robota. W tym wypadku interfejs ten można określić również jako HRI – Human Robot Interface. Może mieć on joystick z ekranem dotykowym, który umożliwia operatorowi ręczne lub automatyczne sterowanie ramieniem robota za pomocą za pomocą wyświetlacza. Bardziej zaawansowanym profilem jest „przypadkowy” napastnik, który – umyślnie lub w skutek manipulacji – podłącza urządzenie do otwarcie dostępnego portu. Zapewnia w ten sposób pełny dostęp do komputera – sterownika robota dla atakującego z zewnątrz (po sieci). Przede wszystkim, jako zagrożenie wewnętrzne taki atakujący ma lepszą znajomość obiektu i infrastruktury sieciowej. Oznacza to, że może wykorzystać kolejne wektory, takie jak wewnętrzne interfejsy wejścia / wyjścia, których kontroler używa do bezpośredniej komunikacji z komponentami robota (np. DeviceNet przez CANbus, jak w kontrolerach ABB). Wnioskując – ze względu na fizyczne aspekty ten profil jest znacznie silniejszy niż atakujący z poziomu sieci.

Dostęp do sprzętu i testowanie ataku

Niektórzy producenci udostępniają oprogramowanie kontrolera bezpłatnie do pobrania ze swoich stron internetowych (np. oprogramowanie kontrolera dla robotów ABB zawiera się w RobotWare, części pakietu oprogramowania RobotStudio). Dzięki temu, cyberprzestępcy mają zapewniony łatwy dostęp do oprogramowania i inżynierii wstecznej oraz wykrycie luk w zabezpieczeniach. Co więcej, mogą oni pokusić się o testy exploitów ponieważ wielu dostawców dystrybuuje symulatory niektórych części kontrolera (jak w przypadku pakietu oprogramowania ABB). Stwarza to atakującym warunki do uruchomienia symulowanych wersji oprogramowania działającego w rzeczywistości na kontrolerze robota.

Niektórzy dostawcy (np. COMAU i Kuka) dostarczają swoje oprogramowanie tylko klientom. To już stanowi pewne wyzwanie bowiem aby zgrać oprogramowanie z samego kontrolera potrzeba co najmniej tymczasowego fizycznego dostępu. Ale i to utrudnienie jest do obejścia. W wielu przypadkach, w celu ułatwienia konserwacji i aktualizacji software’u jest on załadowywany z wymiennej karty pamięci, takiej jak MultiMediaCard (MMC). Rodzi to potencjalną możliwość wycieku zawartości przez firmę, która ma dostęp do oprogramowania robota w ramach umowy o pomoc techniczną. Warto odnotować, że niekoniecznie wymaga to podniesionych uprawnień ani zaawansowanych kompetencji. Wiedza na temat uzyskania tych informacji i krótkoterminowego dostępu do fabrycznej sieci robotów jest zwykle wystarczająca.

W przypadkach starannie zaplanowanych operacji, atakujący mogą pokusić się o zakup fizycznych części robotów bądź ich kontrolerów. Badacze z Trend Micro i Politechniki Mediolańskiej twierdzą, że nie jest to wcale takie trudne ani kosztowne. Wystarczy wiedzieć, gdzie szukać. Jako że na ataki na infrastrukturę przemysłową porywają się głównie doświadczeni przestępcy, prawdopodobnie posiadają dobre rozeznanie w temacie tego co mogą zdobyć. Co więcej, przy zewnętrznym finansowaniu, koszty przestają grać główną rolę.

Koniec części pierwszej

W części drugiej omówimy ataki specyficzne dla robotów przemysłowych, przedstawimy możliwe scenariusze zagrożeń i rekomendacje odnośnie poprawy bezpieczeństwa w środowiskach przemysłowych.

XENOTIME zagraża kolejnym obszarom przemysłu

Ksenotym (ang. Xenotime) to rzadki minerał o bardzo zmiennym składzie chemicznym. Jego nazwa wywodzi się z języka greckiego i pochodzi od słów ksenos = obcy i time = czcić. To ciekawe, że właśnie taką nazwą badacze z Dragos określili grupę cyberprzestępców odpowiedzialnych za ataki z wykorzystaniem malware Triton. Pisaliśmy już o nich na SECURMESS.com. Zastanawialiśmy się wtedy, czy jego echa będą rozlegały się równie długo co ataku WannaCry? Odpowiedź przyszła szybciej, niż myśleliśmy. Okazuje się, że specjaliści od ataków na przemysłowe systemy kontroli (ICS) za pomocą Triton (znanego też jako TRISIS) nie próżnują.

Badacze zajmujący się bezpieczeństwem ICS wykryli wzmożony ruch już pod koniec 2018 r. Wówczas napastnicy rozpoczęli skanowanie sieci elektroenergetycznych w Stanach Zjednoczonych i rejonach Azji i Pacyfiku. Co więcej, działania te prowadzili przy użyciu podobnych narzędzi i metod, którymi namierzali firmy na Bliskim Wschodzie. Ostatnio okazało się też, że rozpoczęli ekspansję poza przemysł związany z ropą i gazem. Co z tego wyniknie? Dziś o tym jak aktywność XENOTIME przekłada się na krajobraz zagrożeń przemysłowych; dlaczego wzbudza tak wielkie obawy na całym świecie i jak się chronić przed potencjalnym atakiem?

krajobraz przemysłowy
Koszty i skala trudności ataków na przemysłowe systemy sprawiają, że cyberprzestępcy muszą przygotować się do nich staranniej niż do “zwykłych” włamań.

Zagrożenia ATP w przemyśle

Zagrożenia typu Advanced Persistent Threat to grupa działań, poprzez które cyberprzestępcy uzyskują nieautoryzowany dostęp do sieci, ale pozostają w ukryciu przez dłuższy czas. Zwykle kojarzone są z atakami sponsorowanymi przez państwa, ale w ciągu ostatnich lat trend stopniowo ulega zmianie. Pojawiają się ataki na dużą skalę, ukierunkowane na określone cele, lecz niewynikające z intencji politycznych. W przypadku cyberzagrożeń roztaczających się nad przemysłem sytuacja zdaje się pozostawać w rękach najwyższych organów. To co spotkało w 2017 r. firmy z Arabii Saudyjskiej miało znamiona operacji z wyższego nadania. Przypominamy, że od początku tej historii, odpowiedzialni za atak hakerzy wiązani są z Rosją.

Operacje ataków na systemy ICS są zazwyczaj tak drogie i trudne, że wymagają specjalistycznego podejścia. Atakujący zwykle skupiają się na konkretnym sektorze przemysłowym i wybranej lokalizacji. Inwestycja XENOTIME i zainteresowanie wychodzące poza granice geograficzne i branżowe jest niepokojącym zwiastunem przyszłych wydarzeń. Badacze z Dragos mówią:

„Zaatakowanie dowolnego sektora przemysłowego wymaga znacznych zasobów, które zwiększają się wraz ze wzrostem możliwości i targetowaniem. Wysokie zapotrzebowanie na zasoby ograniczało wcześniej takie ataki do kilku potencjalnych przeciwników. Ponieważ coraz więcej graczy dostrzega wartość i zainteresowanie ukierunkowaniem na krytyczną infrastrukturę – krajobraz zagrożeń rośnie.”

XENOTIME stanowi doskonały przykład rozprzestrzeniania się zagrożeń w ICS. To, co niegdyś uważano za „zagrożenie dla przemysłu ropy naftowej i gazu”, jest również niebezpieczne dla sektora energii elektrycznej. Według Sergio Caltagirone z Dragos możemy spodziewać się kontynuacji ataków w różnych obszarach, od zasilania aż po produkcję. Powodem dla którego tak będzie jest zaadoptowanie technologii Industry 4.0. Maszyny przemysłowe zostały włączone do sieci, do których łączą się inne urządzenia objęte technologią Internet of Things. To oczywiście generuje wiele korzyści, o których wspominaliśmy tutaj. Niestety, nierzadko sieci te mają wyjście na świat bez należytego zabezpieczenia – a to stawia je na celowniku cyberprzestępców.

krajobraz przemysłowy
Zainteresowania hakerów z XENOTIME wykraczają już poza branżę paliwową

Rosnąca skala niebezpieczeństwa

Triton vel TRISIS już w 2017 roku nazwano „najniebezpieczniejszym zagrożeniem na świecie”.  Jego atak na obiekt petrochemiczny w Arabii Saudyjskiej był ukierunkowany na systemy bezpieczeństwa i miał na celu spowodowanie utraty życia lub uszkodzeń fizycznych. Złośliwe oprogramowanie bezpośrednio oddziaływało na sterowanie kontrolerami Triconex Safety Instrumented System (SIS) marki Schneider Electric. Kontrolery SIS stanowią ostatnią linią zautomatyzowanej obrony bezpieczeństwa dla obiektów przemysłowych. Powstała ona w celu zapobiegania awariom sprzętu i katastrofom, takim jak wybuchy lub pożar. Malware spowodował odcięcie tego systemu. Ogromnym szczęściem jest to, że wówczas atak destrukcyjny na ostatnim etapie nie nastąpił.

TRISIS żyje w pamięci wielu ekspertów zagrożeń dla cyber przemysłu, ponieważ do tej pory było tylko kilka szkodliwych programów jego pokroju. Pochodne wirusa Stuxnet i Industroyer  (Crash Override) zapisały się w historii wpływając na fizyczne procesy systemów sterowania. Z perspektywy polskiego przemysłu, zwłaszcza energetycznego, do tej pory największe ryzyko wiązało się z powtórką ataku na Ukrainie – ale tym razem w naszym kraju. Niedawne doniesienia mogą jednak zachwiać nasze poczucie bezpieczeństwa. Zachowanie XENOTIME wskazuje, że aktywność grupy rośnie i przygotowują się oni do kolejnego cyberataku. Ewentualnie testują czy są w stanie spełnić warunki do wtargnięcia do kolejnych systemów ICS, tym razem w innych branżach. Eksperci Dragos dodają:

„Działania XENOTIME są zgodne z pierwszym etapem procedury rozpoznania struktur systemów ICS i mają znamiona operacji wstępnego dostępu. Potwierdzają to obserwowane próby uwierzytelnienia przy użyciu przypadkowych poświadczeń lub skradzionych haseł użytkowników. Celem jest prawdopodobnie dostęp do docelowych kont uprzywilejowanych, skąd mogliby przeprowadzić atak”

Jak chronić przed atakiem ATP sieć przemysłową?

W opublikowanym w piątek raporcie Dragos przyznał, że wprawdzie nie ma twardych dowodów na to, że XENOTIME faktycznie prowadzi cyberatak, ale ich ostatnia aktywność powinna postawić na nogi branżowych specjalistów bezpieczeństwa. Dragos przygotował kilka rekomendacji, które uzupełniliśmy naszymi pomysłami na rozwiązania:

Monitoring sieci
Dbałość o jakość bezpieczeństwa zarówno wewnętrznego jak i zewnętrznego uchroniła przed skompromitowaniem niejedną organizację.

Identyfikacja zasobów i świadomość zagrożenia

Operatorzy systemów ICS we wszystkich branżach muszą przygotować się na potencjalne scenariusze naruszeń i zakłóceń. Najważniejszą rzeczą, jaką może zrobić zespół ds. bezpieczeństwa, jest poprawa widoczności i świadomości jakie aktywności mają miejsce w sieci. Tu sprawdzą się skanery sieci i narzędzia do wykrywania podatności – miedzy innymi luk w zabezpieczeniach i nieaktualnego software’u. Przyda się też szkolenie i propagowanie wiedzy wśród pracowników każdego szczebla.

Wykrywanie podejrzanych zachowań

Informacje o specyficznych dla przemysłowych systemów zagrożeniach można wykorzystać do stworzenia unikatowych wzorców zachowań. Dzięki temu możliwa będzie identyfikacja symptomów nadchodzącego zagrożenia i śledzenie kolejnch działań atakujących. Narzędziem wspomagającym te procesy są np. urządzenia typu sprzętowy firewall z modułem wsparcia dla zagrożeń ATP. Również mechanizmy korelacji zdarzeń zawarte w rozwiązaniach SIEM pomagają namierzyć najsłabsze punkty (najczęściej – konkretnych użytkowników).

Dochodzenie, reagowanie i odzyskiwanie

Jeśli w przeszłości dochodziło do incydentów bezpieczeństwa, należy dokonać szczegółowej analizy tego co zaszło i w jakich warunkach. To istotne z punktu widzenia powtarzalności działań cyberprzestępców, dla których systemy ICS są jeszcze poligonem doświadczalnym. Ponadto wykorzystanie wszystkich dostępnych źródeł informacji – od obserwacji infrastruktury IT po specyfikę procesów przemysłowych umożliwi efektywniejsze reagowanie w razie przyszłych zagrożeń.

Biorąc pod uwagę, że XENOTIME jest w stanie i chce przeprowadzić atak na bezpieczeństwo systemów przemysłowych, można przypuszczać, że skorzysta z podobnych metod co ostatnio. Czyli dokona próby modyfikacji systemów SIS. Dlatego zaleca się środowiskom przemysłowym zaplanowanie scenariuszy reakcji i odzyskiwania związanych z potencjalną utratą integralności SIS.

XENOTIME elementem cyberwojny między USA a Rosją?

Choć większość źródeł stara się pochodzić z dystansem do informacji o tym jakoby Rosja stała za sponsorowaniem działań XENOTIME, pojawiają się głosy oskarżające. Joe Slowik z Dragos przyznaje, że wprawdzie nie jest w stanie określić jaki dokładnie cel przyświeca XENOTIME w monitorowaniu amerykańskiego sektora energetycznego, to jednak żeby mogli oni przeprowadzić skomplikowany atak, będą potrzebować silnego wsparcia finansowego.

widmo cyber wojny
Decyzje rządów i głów państw mają nierzadko wpływ na zachowanie cyberprzestepców. Analizując działania XENOTIME – sojusznicy USA (w tym Polska) powinni mieć się na baczności

XENOTIME okazał się zdolny do stworzenia całej inżynierii ataków dla przemysłowych systemów sterowania. Wszystkie etapy tych procesów wymagają wysiłku i zasobów, zwykle znajdujących się poza zasięgiem niezależnych podmiotów. Co więcej, najczęściej wymagają one osobnych laboratoriów, których utrzymanie wymaga sporych nakładów finansowych. Biorąc pod uwagę wykazane możliwości grupy, XENOTIME muszą korzystać z pewnego poziomu wsparcia ze strony państwa. Na zakończenie, sytuację dobrze posumowuje Sergio Caltagirone w wywiadzie dla Threatpost:

„Producenci i klienci systemów przemysłowych muszą postarać się o autorytatywne zrozumienie swoich środowisk i rozpocząć analizę zagrożeń, przygotowując się na to, co nieuniknione. Przedsiębiorstwa użyteczności publicznej, firmy i rządy muszą współpracować na całym świecie i we wszystkich sektorach przemysłowych. Wszystko po to, by wspólnie bronić życia i infrastruktury przed rosnącym zakresem i skalą cyberataków na infrastrukturę krytyczną”.

WIĘCEJ W TEMACIE

https://www.darkreading.com/perimeter/triton-attackers-seen-scanning-us-power-grid-networks/d/d-id/1334968
https://threatpost.com/trisis-physical-destruction-electric-companies/145712
https://dragos.com/blog/industry-news/threat-proliferation-in-ics-cybersecurity-xenotime-now-targeting-electric-sector-in-addition-to-oil-and-gas/
https://www.inforisktoday.com/xenotime-group-sets-sights-on-electrical-power-plants-a-12637

RAMBleed czyli nowe wcielenie ataku RowHammer

Można odnieść wrażenie, że w ostatnim czasie cyberataki koncentrują się głównie na człowieku. Socjotechnika i elementy zaskoczenia sprzyjają trafieniu wrażliwych informacji w niepowołane ręce. „Interfejs białkowy” jak niektórzy określają użytkownika, uchodzi za najsłabsze ogniwo łańcucha bezpieczeństwa, choćby wyposażono go w najlepszą technologię. Istnieją jednak mniej konwencjonalne sposoby na pozyskanie danych. Ujawnienie podatności w oprogramowaniu otwiera bramy atakującym, ale można temu zapobiec. W wielu przypadkach wystarczy wgranie odpowiedniej aktualizacji od producenta. A co zrobić, gdy atak umożliwiają luki w zabezpieczeniach hardware’u? Poznajcie RAMBleed – exploit pozwalający hakerom kraść dane z pamięci dzięki wadom sprzętowym.

Zawartość lokalizacji pamięci może ulec zmianie nie tylko w momencie nadpisania, ale  również w wyniku błędu naruszenia
Zawartość lokalizacji pamięci może ulec zmianie nie tylko w momencie nadpisania, ale również w wyniku błędu naruszenia

Ewolucja RowHammera

RowHammer to już znany patent. Polega on na takim odczytywaniu obszarów pamięci aby nastąpiły tzw błędy zakłócenia. Pamięć cyfrowa jest układem elektronicznym przechowującym dane binarne (0 lub 1) w formie tablicy. Ponieważ dzisiejsza elektronika dąży do jak najmniejszych rozmiarów, komórki pamięci są „upakowane” bardzo blisko siebie. Regularne „atakowane” ich wywołaniami może skutkować sprzężeniem elektrycznym między rzędami komórek. Takie wystąpienie, powtarzające się z dużą częstotliwością i w krótkim przedziale czasowym może doprowadzić do niestabilności układu. W praktyce sprowadza się to do przeskoczenia bitu czyli odwrócenia jego wartości w następnych wierszach. Co więcej, wiersze te nie muszą ze sobą sąsiadować.

Samo zjawisko przeskoku bitu zostało opisane w 2003 roku. 12 lat później Projekt Zero opisał jak wykorzystując ten mechanizm można wpłynąć na zawartość pamięci innego procesu, nawet jeśli w normalnych warunkach nie jest on dostępny. Oznacza to nic innego jak eskalację uprawnień, w skrajnym przypadku aż do jądra systemu. Eksperci Project Zero zwrócili uwagę, że zabezpieczenia programowe opierają się na założeniu, że zawartość lokalizacji pamięci nie zmienia się, dopóki nie zostanie nadpisana. Przez to założenie, wiele systemów jest w grupie ryzyka.

Tuż po publikacji w 2015 roku pojawiły się głosy, że ten rodzaj ataku jest czysto teoretyczny. Cztery lata później wiemy, że RowHammer ewoluował uzyskując szereg nowych złośliwych możliwości, oprócz podniesienia uprawnień systemowych, przez wyrwanie się z bezpiecznych obszarów izolowanych aż po przejęcie kontroli – rzekomo nie do zdobycia – maszyn wirtualnych.

RAMBleed idzie o krok dalej

Niedawno znowu zrobiło się głośno o wspomnianych przypadłościach sprzętowych. Zespół badaczy akademickich odkrył kontynuację ataków klasy RowHammera, które pozwala atakującym na odczyt danych z pamięci na docelowym komputerze z systemem Windows, bez faktycznego dostępu do samej pamięci. Metoda jest nazywana RAMBleed.

RAMbleed

Andrew Kwong, Daniel Genkin, Daniel Gruss i Yuval Yarom zaprezentowali metodyke dostępu: Atakujący mogą wywnioskować wartości w pobliskich wierszach pamięci DRAM, obserwując odwrócenie bitów wywołane przez RowHammer w pamięci. Zespół naukowców ze Stanów Zjednoczonych, Australii i Austrii opisał RAMBleed jako „czytanie bitów w pamięci bez dostępu do nich”:

„Poprzednie ataki wykorzystywały efekt RowHammera do zapisywania (lub odwracania) bitów w pamięci ofiary. RAMBleed różni się tym, że wykorzystuje RowHammer do odczytywania danych przechowywanych w pamięci fizycznej komputera . Ponieważ pamięć fizyczna jest dzielona między wszystkie procesy w systemie, naraża to wszystkie procesy”.

W testowym ataku naukowcy wykazali, że mogą odczytać klucz RSA OpenSSH 7.9 – i potencjalnie wszelkie dane przechowywane w pamięci – za pomocą RowHammera jako kanału bocznego.

„Przeskoki bitowe wywołane przez RowHammer zależą od danych, tzn. nieco bardziej prawdopodobne jest, że odwrócą się, gdy bity powyżej i poniżej będą miały odwrotny ładunek. Tworzy to zależny od danych kanał boczny, w którym atakujący może wydedukować wartości bitów w pobliskich rzędach, obserwując odwrócenie bitów we własnych wierszach pamięci. Wreszcie, ponieważ dane w pobliskich wierszach mogą należeć do innego procesu, ten wyciek przerywa granice izolacji wymuszane przez system operacyjny. ”

Urządzenia mobilne na celowniku

Aby rozpracować exploit, zespół umieścił tajne dane ofiary w wierszach powyżej i poniżej wiersza pamięci atakującego. Powoduje to, że odwrócenie bitów w rzędach atakującego zależy od wartości tajnych danych ofiary. „Atakujący może następnie użyć RowHammera do wywołania odwrócenia bitów we własnej pamięci, tym samym doprowadzając do wycieku potencjalnie wrażliwych informacji”.

Android ma jądro Linuxa co czyni go podatnym na ataki RowHammer i potencjalnie RAMBleed
Android ma jądro Linuxa co czyni go podatnym na ataki RowHammer i potencjalnie RAMBleed

Ten mechanizm wykracza poza komputery PC na urządzenia z systemem Android. Naukowcy zorientowali się, w jaki sposób można zastosować technikę ataku RowHammer na urządzeniach mobilnych i uzyskać dostęp do roota. Na celowniku mogą być miliony telefonów z systemem Android, w tym Nexus, Samsung, LG i Motorola. W 2018 r. Naukowcy zademonstrowali ataki typu RowHammer oparte na bezpośrednim dostępie do pamięci (DMA) na najnowszy system operacyjny Android. Co więcej, zakładały serię scenariuszy wykorzystania exploita app-to-app, które omijają wszystkie zabezpieczenia.

RAMBleed przesuwa RowHammer z zagrożenia w obszarze integralności na aspekty poufności. Ponadto, w przeciwieństwie do RowHammera, RAMBleed nie wymaga trwałych przeskoków bitów, a zatem jest skuteczny nawet wobec pamięci ECC. Dotychczas pamięć ta była odporna na ataki RowHammer ale wobec RAMBleed pozostaje podatna.

RAMBleed uśpionym zagrożeniem?

Naukowcy są zgodni,  że “sposobem na ograniczenie ryzyka ataku jest uaktualnienie do pamięci DDR4 z włączonym odświeżaniem wierszy docelowych (TRR)”. Jednocześnie twierdzą, że bezpośrednie zagrożenie w świecie rzeczywistym, jest niewielkie. RAMBleed  i większość innych wariantów RowHammera stanowi wyzwanie dla atakujących, którzy znają mnóstwo mniej skomplikowanych metod na pozyskanie danych. Być może, ataki oparte na RowHammerze, w tym RAMBleed, mogą w nadchodzących latach stać się poważniejszym zagrożeniem, szczególnie w tańszych urządzeniach. Zależy to od producentów sprzętowych i ich postawy wobec widma zagrożenia.

Podatność otrzymała swój identyfikator w bazie Common Vulnerabilities and Exposures – CVE-2019-0174 . Z kolei National Vulnerability Database opisuje ją jako: „Stan logiczny w określonych mikroprocesorach mogący umożliwić użytkownikowi częściowe ujawnienia informacji o adresie fizycznym za pośrednictwem dostępu lokalnego.”

RAMBleed to kolejny exploit wykorzystujący znaną już podatność. Niedługo hakerzy nie będą musieli się zbytnio wysilać, bo luki w systemach są tak powszechne. Opisywaliśmy je już nie tylko w rozwiązaniach Microsoft ale i nawet w rozwiązaniach dla przemysłu. Historia z RowHammer to kolejna kropla w morzu podatności.

Źródła:

https://googleprojectzero.blogspot.com/2015/03/exploiting-dram-rowhammer-bug-to-gain.html
https://www.blackhat.com/docs/us-15/materials/us-15-Seaborn-Exploiting-The-DRAM-Rowhammer-Bug-To-Gain-Kernel-Privileges.pdf
https://betanews.com/2019/06/12/rambleed-exploit/
https://threatpost.com/rambleed-side-channel-privileged-memory/145629
https://arstechnica.com/information-technology/2019/06/researchers-use-rowhammer-bitflips-to-steal-2048-bit-crypto-key

Sztuczna inteligencja w dobie Industry 4.0

Sztuczna inteligencja (AI) ma zastosowanie w praktycznie każdym sposobie korzystania z inżynierii komputerowej. Począwszy od algorytmów używanych do grania w gry planszowe po pracę maszyn zdolnych do kreatywnego myślenia. Koncepcja tego, co owe myślenie ma oznaczać, zmieniała się w toku rozwoju cywilizacji i człowieka. A jak zmieniały się wyobrażenia o technologii opartej na AI? Dziś zamiast mówiących robotów wykorzystywanych do pilotowania statków kosmicznych, sztuczna inteligencja pracuje w bardziej subtelny sposób. Jakie wyzwania i możliwości otwierają się przed nią w dobie Industry 4.0 ? Czym AI wspiera procesy odbywające się w środowiskach przemysłowych – w tym w polskim przemyśle? Oraz jakie znaczenie dla cyberbezpieczeństwa ma uczenie maszynowe i Deep Learning?

Figurka po prawej stronie to miniatura znanego z serii filmów „Gwiezdne wojny”, droida o imieniu R2D2. Jego postać stworzono w 1977 r. i nadal stanowi wyobrażenie o zaawansowaniu przyszłej techniki i sztucznej inteligencji.

Wymyślony przyjaciel ożywa czyli krótka historia AI

W starożytności zastanawiano się nad granicą możliwości twórczych człowieka. Rzymski poeta Owidiusz opisał w swoich dziełach postać Pigmaliona, pragnącego by stworzona przez niego rzeźba kobiety ożyła. Jest to przykład bardzo romantycznego wyobrażenia o powołaniu do życia wykreowanej formy. Zazwyczaj chodziło o wykorzystanie inteligentnego bytu do własnych celów – głównie pracy. Na przełomie XVII/XVIII w. filozofowie zastanawiali się nad ujarzmieniem prostych, mechanicznych zasad według których działa świat. Pojawiła się koncepcja matematycznego języka (Leibniz), sprowadzającego każdą procedurę do serii prostych kroków. W ten sposób mogła być ona wykonywana przez istoty i twory podległe człowiekowi. Jak wiemy, pomysły te nie miały szans sprawdzić się w ówczesnych czasach. Posłużyły za to jako podwaliny współczesnej techniki m.in. teorii algorytmów i języków programowania.

W 1921 roku świat po raz pierwszy usłyszał termin „robot” w czeskiej sztuce R.U.R. autorstwa Karela Čapeka . W następstwie jeszcze przed wojną roboty zaczęły pojawiać się na ekranach kin (film Metropolis) a krótko po wojnie Isaac Asimov  napisał opowiadanie „Ja, robot”. Zawarł w nim kilka propozycji, mających na celu zdefiniowanie postawy inteligentnej maszyny względem człowieka. Z całą pewnością obecnie wymaga ona modyfikacji i dostosowania do współczesnych realiów, ale przez długi czas stanowiła podstawę do rozważań na temat bezpieczeństwa człowieka w pracy z inteligentną maszyną.

W 1945 r. w eseju „As We May Think” Vannevar Bush zaproponował system, który miałby wzmacniać wiedzę i zrozumienie ludzi. Pięć lat później Alan Turing napisał artykuł na temat maszyn zdolnych do symulowania zachowań ludzkich i posiadających umiejętności robienia inteligentnych rzeczy, takich jak gra w szachy. Znany jest również test Turinga, którego idea sprowadzała się do konwersacji ludzie – maszyny. Założeniem testu była demaskacja komputera lub odwrotnie – wprowadzenie w błąd uczestników dyskusji, że jest on istota ludzką. Dopiero w 1956r. John McCarthy użył sformułowania  „sztuczna inteligencja”, tuż po tym jak powstał pierwszy program „myślący podobnie jak człowiek” – Logic Theorist.

Plakat reklamujący sztukę R.U.R. w teatrze marionetek w Nowym Jorku, 1939 r. [źródło]

Nieustanne postępy i odwieczne przeszkody

Głównymi osiągnięciami sztucznej inteligencji w ciągu ostatnich sześćdziesięciu lat były postępy w algorytmach wyszukiwania i uczenia maszynowego. To, co większość ludzi uważa za „prawdziwą sztuczną inteligencję”, nie doświadczyło szybkich postępów w ciągu ostatnich dziesięcioleci. Pionierzy AI od zawsze zastanawiali się, czy jest możliwe aby komputerowy program okazał się bardziej inteligentnym od człowieka? Problem definiowania inteligencji okazał się być tak dużym wyzwaniem, że przyczynił się do zaniechania amerykańskich badań nad sztuczną inteligencją w latach 80-tych. Pogłębił go jeszcze tzw „efekt AI” polegający na odrzuceniu przez ludzi koncepcji, że programy, komputery czy maszyny mogą myśleć.

Część ekspertów uważa, że potknięcia na polu rozwoju sztucznej inteligencji wynikają z niedoszacowania trudności podstawowych problemów. Przykładem jest pozyskiwanie wiedzy przez człowieka. Nie zawsze polega ono na odkrywaniu faktów i łączeniu związków między różnymi zdarzeniami. Często uczymy się poprzez praktykę, metodę prób i błędów, ale i bolesne doświadczenia. Przełożenie tego na matematyczny język, tak jak to założył Leibniz, nie zawsze jest wykonalne. Ponadto wciąż istnieje wiele nierozwiązanych problemów technologicznych, do których dochodzą różne ograniczenia np. wydajnościowe. Jednak pomimo wyzwań, sztuczna inteligencja odnajduje się w wielu aspektach naszego życia.

Co sztuczna inteligencja robi dla nas na co dzień?

Wiemy nie od dziś, że sztuczna inteligencja rozpoznaje mowę . Każdego dnia powstaje coraz więcej systemów, które mogą transkrybować ludzki język, docierając do setek tysięcy odbiorców za pośrednictwem interaktywnych systemów głosowych i aplikacji mobilnych. Wygląda na to, że konkurencja Siri i Asystenta Google będzie rosnąć w siłę.

Skoro AI potrafi reagować na to co „słyszy”, to równie dobrze może odpowiadać na to co „widzi”. Znalezienie ludzkiej twarzy czy rozpoznanie obrazu nie stanowi już dla niej wyzwania. Podobnie jak interpretacja pytań i udzielanie odpowiedzi na czacie. Program AI zdolny do interakcji z ludźmi wykorzystywany jest do obsługi klienta i wsparcia – chatbot. Wiele firm korzysta z tej opcji poprzez wbudowane komunikatory na swoich stronach internetowych.

Oprócz interpretowania języka, sztuczna inteligencja potrafi także go wymyślić. Generowanie języka naturalnego to subdyscyplina AI, która konwertuje dane na tekst, umożliwiając komputerom precyzyjne przekazywanie pomysłów. Znajduje zastosowanie do generowania raportów i podsumowań rynkowych. Przydaje się też w marketingu do generowania treści.

“Elektryczne szorowanie” – 1899 r. autorstwa Jean-Marc Côté. Tak wyobrażano sobie, że będą wyglądać urządzenia gospodarstwa domowego w roku 2000. Warto odnotować, że w 1990 powstała firma iRobot, producent najpopularniejszych inteligentnych odkurzaczy, a flagowy produkt Roomba pojawił się w sprzedaży w roku 2002. Rzeczywistość okazała się przewyższać wyobrażenia francuskiego artysty. [źródło]

Zastosowaniem sztucznej inteligencji jest również dzisiaj badanie historii zakupów konsumentów i wpływanie na ich decyzje od strony marketingowej. Stanowi to element zarządzania decyzjami, które wiele korporacji wykorzystuje również w wewnętrznych procedurach. W środowiskach biznesowych AI pomaga zachować zgodność, poprzez wsparcie narzędzi analitycznych i automatyzację procesów.

Sztuczna inteligencja wspiera też rozwój technologii, gdzie szczególną rolę odgrywa uczenie maszynowe (Machine Learning – ML). Ta gałąź sztucznej inteligencji opiera się na rozpoznawaniu wzorców i zdolności do samodzielnego czerpania wiedzy z doświadczenia. Dzięki temu umożliwia tworzenie prognoz na podstawie dużych ilości informacji. Od małych i średnich firm po duże międzynarodowe korporacje, każda organizacja gromadzi dane, a dzięki dedykowanemu oprogramowaniu są one konsolidowane i oceniane. Uczenie maszynowe rozpoznaje charakterystykę i relacje oraz wykorzystuje algorytmy do uzyskiwania uogólnień. Dlatego też technologia machine learning znalazła swoje szczególne miejsce w procesach przemysłowych.

Zastosowanie AI w Industry 4.0

Sztuczna inteligencja w środowiskach przemysłowych ma nieograniczony potencjał. Od konserwacji prewencyjnej (pisaliśmy o niej tutaj) po automatyzację czynności personelu, AI umożliwia bardziej wydajną pracę, mniej podatną na błędy i o wyższej jakości. Nie ulega wątpliwości, że sektor produkcyjny jest liderem w stosowaniu technologii sztucznej inteligencji. Od znaczących cięć nieplanowanych przestojów po lepiej zaprojektowane produkty – analityka oparta na sztucznej inteligencji służy poprawie wydajności, jakości produktów i bezpieczeństwa pracowników. Przyjrzyjmy się jak rozkłada się zastosowanie sztucznej inteligencji w technologiach przemysłowych na świecie. W raporcie Smart Machines Market z maja 2014 BCC Research przedstawia swoje prognozy wzrostu na lata 2019-2024 poniżej:

Źródło: SIEMENS via EMERJ (łącza na końcu)

Według tego wykresu, przewidywany udział w rynku poszczególnych rozwiązań będzie kształtował się następująco:

  • Autonomiczne roboty (w tym pojazdy samobieżne) : 31% (3,582 mln – 13,927 mln)
  • Asystenci cyfrowi (np. Siri, automatyczni asystenci online) : 30% (2,175 mln – 8,075 mln)
  • Neurokomputery: 22% (1,590 mln – 4,685 mln)
  • Systemy wbudowane (systemy monitorowania i kontroli maszyn): 19% (0,877 mln –2,095 mln)
  • Systemy eksperckie (np. systemy wspomagania decyzji medycznych, inteligentna sieć) : 12% (7,055 mln – 12,433 mln)

Każde z wymienionych rozwiązań może znaleźć zastosowanie w sektorze produkcyjnym, który doskonale nadaje się do wykorzystania sztucznej inteligencji. Od procesu projektowego i wytwarzania po łańcuch dostaw i administrację – sztuczna inteligencja zmienia oblicze światowego przemysłu.

Technologie przynoszące korzyści

W inteligentnej fabryce procesy produkcyjne są połączone – maszyny, interfejsy i komponenty komunikują się ze sobą. W zakładach produkcyjnych systemy oparte na AI identyfikują obiekty na przenośnikach taśmowych i są w stanie automatycznie je sortować. Tego typu rozwiązania są również wykorzystywane w kontroli jakości: rozpoznają wady produktu, porównując je do wzorca. Dzięki czujnikom sztuczna inteligencja pomaga wychwycić zużycie energii przez poszczególne maszyny, przeanalizować cykle konserwacji, a następnie zoptymalizować je w następnym etapie. Dane eksploatacyjne wskazują, kiedy część musi zostać wymieniona lub gdzie może wystąpić usterka. Wraz ze wzrostem ilości danych system staje się lepszy w optymalizacji i dokładniejszych prognozach.

Automatyzacja procesów robotycznych wykorzystuje skrypty i metody, które naśladują i automatyzują czynności ludzkie w celu wsparcia procesów korporacyjnych. Jest to szczególnie przydatne w sytuacjach, gdy zatrudnianie ludzi do określonej pracy lub zadania jest zbyt drogie lub nieefektywne. Wiele się słyszy o zawodach, w których maszyny wkrótce całkowicie zastąpią ludzi. Biorąc pod uwagę oszczędności, jest to naturalna kolej rzeczy.

Cyfrowe modelowanie Twin / AI – inaczej „cyfrowy bliźniak” to konstrukcja oprogramowania, która wypełnia lukę między systemami fizycznymi a światem cyfrowym. Światowy gigant General Electric tworzy wirtualnych pracowników w oparciu o AI. Ich zadaniem jest monitorowanie silników lotniczych, lokomotyw i turbin gazowych oraz przewidywanie awarii za pomocą modeli oprogramowania w chmurze. W zasadzie „osoby” te są liniami kodu programu, ale najbardziej wyszukane wersje wyglądają jak trójwymiarowe rysunki wspomagane komputerowo, pełne interaktywnych wykresów, diagramów i punktów danych.

Cyfrowy bliźniak – wizualizacja. Źródło: NetworkWorld

Sztuczna inteligencja jest kluczowym elementem rewolucji Industry 4.0 i nie ogranicza się do użycia przypadków z hali produkcyjnej. Algorytmy sztucznej inteligencji formułują oszacowania zapotrzebowań rynku, szukając wzorców łączących czynniki lokalizacyjne, społeczno-ekonomiczne, wzorce pogodowe, zachowania konsumentów i inne. Informacje te są nieocenione dla przedsiębiorstw, ponieważ pozwalają im zoptymalizować m.in. zużycie energii, dostawy surowców i wykorzystanie zasobów ludzkich. Sztuczna inteligencja odnajduje swoje zastosowanie również w nowoczesnych rozwiązaniach security.

Jak sztuczna inteligencja wspiera cyberbezpieczeństwo?

Sztuczna inteligencja wraz z uczeniem maszynowym są obecnie wykorzystywane do przeniesienia cybersecurity w nowy wymiar. Następuje to w odpowiedzi na rosnący poziom incydentów bezpieczeństwa i naruszeń danych. Zadaniem AI jest na tym polu zapobieganie, wykrywanie i zapewnianiu jak najszybszych reakcji na ataki lub zagrożenia infrastruktury IT. Bezpieczeństwo oparte na AI łączy analizy behawioralne z zaawansowaną matematyką w celu automatycznego wykrywania nieprawidłowych zachowań w organizacjach. Algorytmy sztucznej inteligencji mogą też służyć do zatrzymywania złośliwego oprogramowania i łagodzenia szkód spowodowanych atakami zero-day.

Analizując logi z różnych źródeł, sztuczna inteligencja może wykryć, kiedy nadchodzą nowe zagrożenia. Podobnie, może również identyfikować trendy w pojawiających się malware i spyware. Dzięki temu nowe próbki złośliwego oprogramowania mogą być wykryte znacznie szybciej. Co więcej, organizacje będą miały czas na opracowanie metod zapobiegania, tak aby w przyszłości ich luki w zabezpieczeniach nie zostały wykorzystane.

Wykonując skanowanie infrastruktury, sztuczna inteligencja może też znaleźć luki w naszej infrastrukturze IT. Jak wiemy chociażby na przykładzie BlueKeep podatności bywają wykorzystywane przez cyberprzestępców na różne sposoby. AI może również pomóc w wykryciu przepełnienia bufora i “podejrzanie się zachowującej” aplikacji. Jeszcze innym obszarem, w którym sztuczna inteligencja może pomóc, jest ludzki błąd. Błędy pracowników to niektóre z głównych przyczyn naruszeń danych, a sztuczna inteligencja może wykryć je na czas i zapobiec np. wyciekom.

Sieci neuronowe mogą być używane w połączeniu z technikami ML do tworzenia nadzorowanych technologii uczenia się, w celu zwiększenia wykrywalności podejrzanych działań użytkowników.

Omawiając wsparcie sztucznej inteligencji dla cyberbezpieczeństwa nie sposób pominąć platform głębokiego uczenia się. Wykorzystują one technologię Deep Learning czyli unikalną formę uczenia maszynowego, która obejmuje sztuczne obwody neuronowe z różnymi warstwami abstrakcji. Mogą one naśladować ludzki mózg, przetwarzać dane i tworzyć wzorce do podejmowania decyzji. Obecnie Deep Learning jest używany głównie do rozpoznawania wzorców i klasyfikowania aplikacji, kompatybilnych z zestawami danych na dużą skalę.

AI a przemysł w Polsce

W zeszłym roku ASD Consulting opublikował raport „Wyzwania polskich przedsiębiorstw w erze Industry 4.0”. Jednym z głównych obszarów pytań badaczy były metody zbierania danych. Wiadomo, że wyznacznikiem przemysłowej rewolucji jest płynna wymiana informacji między poszczególnymi elementami procesów np. produkcyjnych. Przyjrzymy się zatem kilku wnioskom jakie płyną z tego raportu

Większość przedsiębiorców, którzy wzięli w nim udział, deklarowało swoją działalność jako firmę produkcji seryjnej (80%). Jako metodę zbierania danych, 43% respondentów podało „ręcznie w formie elektronicznej” a 25% „ręcznie w formie papierowej”. Tylko 12% zbierało dane automatycznie „za pomocą czujników zamontowanych na liniach”. Okazuje się, że metody ręcznego zbierania danych (elektronicznie bądź papierowo) przeważają w średniej wielkości organizacjach (51-250 pracowników). Małe organizacje (1-50 osób) stawiają na system skanerowy i kody kreskowe. Największy procent firm wykorzystujących automatyzację w procesach agregacji danych należy do firm zatrudniających ponad 250 pracowników. Niestety, jest to tylko 28%. Podobnie jak w przypadku średnich firm, nadal 43% dużych organizacji zbiera dane ręcznie.

Średnio wypadła ocena własna ankietowanych, bowiem ocenili oni te metody w większości na ocenę 3 (w 5-cio stopniowej skali). Z całą pewnością oznacza to świadomość, że organizacje nie posiadają najlepszych możliwych technologii. Respondenci wskazali też obszar przepływu informacji, jako ten, który ma największy potencjał do doskonalenia (76% odpowiedzi). Na kolejnych miejscach znalazły się wydajność (65%), jakość (38%) i terminowość dostaw (30%). Dostępność maszyn chciałoby poprawić 28% ankietowanych a poziom zapasów – 25%. Analitycy z ASD Consulting wskazali na ciekawą zależność: ,,Im wyższy stopień satysfakcji respondentów ze stosowanej metody gromadzenia danych, tym niższa potrzeba udoskonalania wydajności produkcji“. Możemy wywnioskować, że właściwe pozyskiwanie danych wpływa na jakość pracy i efektywność całej organizacji.

Jedną z metod uzyskania zaawansowanej analityki jest korzystanie ze sztucznej inteligencji. Raport ASD Consulting proponuje też rozwiązanie innych problemów za pomocą AI. Jest to np. konserwacja predykcyjna, która ma wspomóc utrzymanie ruchu.

W naszym poprzednim artykule zwróciliśmy uwagę na aspekt komfortu pracownika podczas obcowania w nowoczesną technologią. Nasze obawy znalazły potwierdzenie w rzeczywistości – połowa firm wskazała opór wśród pracowników jako jeden z największych problemów podczas wdrażania rozwiązań do zaawansowanej analizy.

Raport ASD Consulting pochodzi z czerwca 2018 roku i był dość szeroko komentowany – linki do artykułów interpretujących jego treść znajdują się na końcu artykułu. Nie będziemy powielać tutaj wniosków i opinii, które już dawno padły. Jesteśmy za to ciekawi jakie zmiany zaszły bądź zajdą na tym polu. Z pewnością opublikujemy aktualizację po otrzymaniu nowszych danych odnośnie wdrożenia Industry 4.0 w polskim przemyśle.

AI znakiem naszych czasów – ale jeszcze wiele przed nami

Sztuczna inteligencja nie jest już tylko wizją na przyszłość.  Wpływ AI na życie ludzi jest wielostronny. Codzienność wielu z nas wypełniona jest urządzeniami smart. Z drugiej strony, są też i przeciwnicy sztucznej inteligencji. Niektórzy słusznie obawiają się, że zastąpi ona ludzi w miejscu pracy. Nie zapominajmy jednak, że technologia AI ma również potencjał, aby w znacznym stopniu pomóc pracownikom. Zawody, które w dużym stopniu zależą od pracowników wiedzy, to miejsca, w których sztuczną inteligencja będzie mogła sprawdzić się jako narzędzie diagnostyczne.

Przez wiele lat duże centra danych i ogromne pojemności pamięci masowej były odległymi koncepcjami. Obecnie uczenie maszynowe i Deep Learning wykorzystują możliwości Big Data do optymalizacji procesów, znajdowania nowych rozwiązań i zdobywania nowych informacji. To otwiera przed współczesną techniką możliwości, jakich dotąd nie było. Sztuczna inteligencja wspiera rozwój oprogramowania i technologii służących bezpieczeństwu cybernetycznemu. Z kolei organizacje przemysłowe, w tym firmy produkcyjne, coraz częściej doceniają możliwości AI w zakresie przetwarzania i analizy danych.

Dzisiejszy rynek sztucznej inteligencji nie jest łatwy do oszacowania. Poza brakiem konsensusu w sprawie spójnej definicji „sztucznej inteligencji” jako terminu, pamiętajmy, że jesteśmy dopiero na początkowym etapie rozwoju tej dziedziny. Zwłaszcza, jeśli spojrzymy na jej możliwości i kondycję Industry 4.0 w Polsce.

Na zakończenie: raport ADS Consulting o przemysłowej rewolucji w polskim przemyśle – https://asdconsulting.pl/wp-content/uploads/2018/06/Raport-ASD-06-2018.pdf i kilka komentarzy: CRN.pl, PolskiPrzemysł, Newsweek.

Pozostałe źródła i linki

Streszczenie sztuki R.U.R. na angielskojęzycznej Wikipedii https://en.wikipedia.org/wiki/R.U.R.

Opracowanie i fragmenty „Ja, Robot” https://www.encyclopedia.com/arts/educational-magazines/i-robot

https://courses.cs.washington.edu/courses/csep590/06au/projects/history-ai.pdf

https://marketingibiznes.pl/it/historii-badan-nad-ai/

19 Artificial Intelligence Technologies To Look For In 2019

https://www.hannovermesse.de/en/news/key-topics/artificial-intelligence/

https://www.cio.com/article/3309058/5-ways-industrial-ai-is-revolutionizing-manufacturing.html

https://www.globalsign.com/en/blog/5-ways-cybersecurity-can-gain-from-ai/

https://www.networkworld.com/article/3280225/what-is-digital-twin-technology-and-why-it-matters.html

https://emerj.com/ai-sector-overviews/artificial-intelligence-industry-an-overview-by-segment

Jak botnet GoldBrute wykorzystuje podatność BlueKeep

Niedawno pisaliśmy o podatnościach w systemach ICS a tymczasem w zeszłym tygodniu Internet zalała kolejna fala informacji. Tym razem o BlueKeep czyli luce w systemach Windows 7, XP oraz Server 2003 i 2008. O tym jak sprawa jest poważna świadczy zachowanie Microsoft, który zdecydował się na wdrożenie poprawek nawet do niewspieranych już systemów. Wspomniana podatność umożliwia przeprowadzenie ataku DDoS lub z wykorzystanie wirusa ransomware. Jest też groźna ze względu na możliwość rozprzestrzeniania się z jednego komputera na kolejne podłączone do sieci. To nasuwa skojarzenia z atakami sprzed dwóch lat, gdzie w podobny sposób wirus Wanna Cry zdominował świat. Czy wgranie aktualizacji pozwoli zapomnieć o niebezpieczeństwie? Okazuje się, że sprawa z BlueKeep ma co najmniej podwójne dno, pod którym kryje się… botnet GoldBrute.

Luka, o której (prawie) wszyscy wiedzieli

Podatność BlueKeep czyli CVE-2019-0708 pozwala na zdalne uruchomienie dowolnego skryptu na komputerze ofiary z uprawnieniami administratora. Informacje o niej na stronie Microsoftu pojawiły się już 14 maja 2019, jednakże dopiero pojawienie się w sieci exploita spotęgowało zainteresowanie. Ponieważ społeczność hakerów dzieli się informacjami bardzo szybko, pojawił się globalny strach o powtórkę z maja 2017 czyli atak ransomware Wanna Cry. Oczywiście, informacja o BlueKeep obiegła już świat a portale prześcigają się w publikowaniu porad o zachowaniu bezpieczeństwa. Niestety, okazuje się, że nie wszystkie luki zostały załatane. Specjaliści z Międzynarodowego Instytutu Bezpieczeństwa Cybernetycznego (IICS) opublikowali raport opisujący nową niekorygowaną lukę w protokole Microsoft Windows Remote Desktop Protocol (RDP). Luka ta, określona jako CVE-2019-9510, może pozwolić atakującym po stronie klienta na ominięcie ekranu blokady w sesjach pulpitu zdalnego.

Exploit to dedykowany program, mający na celu wykorzystanie słabych punktów systemu – w tym przypadku protokołu RDP

W systemach Windows funkcja Pulpitu Zdalnego wymaga od użytkownika logowania za pomocą Network Level Authentication czyli podania swoich poświadczeń, których używa do pozostałych usług Windows. Jest to zabezpieczenie, które ma na celu zidentyfikowanie kto (klient) i z czym (serwer) chce się łączyć. Problem pojawia się w momencie, gdy błąd sieciowy spowoduje chwilowe rozłączenie z sesją RDP. Jeśli bowiem klient był połączony z serwerem, ale ekran główny został zablokowany, po ponownym połączeniu sesja RDP zostanie przywrócona z pominięciem ekranu blokady. Jak można to wykorzystać?

Gotowy scenariusz ataku

Okazuje się, że bardzo prosto, ponieważ atakujący wymaga jedynie przerwania połączenia sieciowego w systemie docelowym. Z drugiej strony, powodzenie ataku zależy od tego, czy udało się uzyskać fizyczny dostęp do serwera. Teoretycznie zasięg działania jest ograniczony… Niestety, podczas koncentracji na jednym, za naszymi plecami powstaje dużo bardziej niebezpieczne zagrożenie. Pojawił się botnet, który w ciągu ostatnich kilku dni próbował wymusić ponad 1,5 miliona połączeń RDP z systemami Windows za pomocą techniki brute force*. Według Morpheus Labs kilka dni temu GoldBrute, nazwany na cześć klasy Java, z której korzysta, zwiększył aktywność. Botnet aktywnie skanuje Internet w poszukiwaniu komputerów z „odsłoniętym” RDP i wypróbowuje hasła. W ten sposób sprawdza, czy może uzyskać dostęp do systemów.

Morpheus Labs informował już w czwartek o narastającym zagrożeniu. „Po sześciu godzinach otrzymaliśmy 2,1 miliona adresów IP z serwera, z których 1 596 571 jest unikalnych”. Nie znamy na ten moment skali zjawiska. Zdalny pulpit wykorzystują technicy i administratorzy IT do połączeń z komputerami zwykłych pracowników ale i serwerami, zwłaszcza specjalnego przeznaczenia. W wielu środowiskach praca z protokołem RDP wymaga podniesionych uprawnień. Gdy atakujący ma dostęp do połączenia, ma również dostęp do pulpitu Windows i może działać tak, jak uprzywilejowany użytkownik. Zainfekowanie całej sieci złośliwym oprogramowaniem, kradzież informacji lub atak DDoS to tylko część arsenału jakim włada GoldBrute.

Zasięg GoldBrute, dane z 07.06.2019, źródło: Threatpost

GoldBrute jest sterowany z pojedynczego serwera Command & Control (C2) i teoretycznie mógłby stanowić samodzielne centrum dowodzenia atakami. Jak podają źródła, C2 wymienia dane z botami poprzez zaszyfrowane algorytmem AES połączenia WebSocket z portem 8333. Zainfekowany system otrzymuje instrukcje pobrania kodu bota (pakietem 80 MB z kompletnym Java Runtime). Następnie rozpoczyna skanowanie losowych adresów IP w celu znalezienia większej liczby podobnych ofiar i raportowanie ich adresów IP z powrotem do C2. Jak dalej relacjonuje Threatpost: „Po tym, jak bot zgłosi 80 nowych ofiar, serwer C2 przypisze ich zestaw do ataku typu brute force. Oznacza to, że każdy bot spróbuje tylko jednej konkretnej nazwy użytkownika i hasła dla każdego adresu”. Ponieważ każda próba uwierzytelnienia pochodzi z różnych adresów, utrudnia to demaskację sprawców.

GoldBrute jeszcze gorszy niż Wanna Cry?

Otwarte ostrzeżenie potencjalnych ofiar czyli użytkowników Windows przed luką, spowodowało również reakcję po drugiej stronie. Eksperci z Duo Security wskazują, że GoldBrute ma o wiele łatwiejszą drogę niż Wanna Cry. „Większość aktywności skanowania w RDP nie jest związana z BlueKeep. Atakujący mogą po prostu ominąć zablokowane ekrany lub odgadnąć słabe hasła, jakie są używane do nawiązywania połączeń zdalnych”. Zdając sobie z tego sprawę, warto pomyśleć o zabezpieczeniach. Działy IT powinny zweryfikować, czy dostęp zdalny do serwerów organizacji nie jest zbyt szeroko eksponowany. Dobrym pomysłem jest umieszczenie warstwy pośredniej, takiej jak VPN oraz przeszkolenie użytkowników, aby prawidłowo nawiązywali połączenia.

Zasięg ransomware Wanna Cry w 2017 r.

Według Tech Republic Wanna Cry wciąż dokonuje 3500 udanych ataków co godzinę. Powodem dla którego tak się dzieje, jest ogromna liczba urządzeń pracujących pod niezałatanymi systemami Windows. Wg ich danych liczba aktywnie wykorzystywanych przestarzałych instalacji Windows przekracza 60%. „Istnieją operacyjne powody, aby trzymać się starych i nieobsługiwanych urządzeń Windows. Zakłady przemysłowe często polegają na urządzeniach HMI sterujących linią produkcyjną fabryki. Działają one na niestandardowym sprzęcie lub używają przestarzałego oprogramowania, nie przystosowanego nawet do poprawek. W służbie zdrowia wiele urządzeń medycznych opiera się na przestarzałych wersjach systemu Windows i nie można ich zaktualizować bez całkowitej przebudowy infrastruktury IT.

Security Boulevard pisze o milionie urządzeń zawierających podatności BlueKeep i będących potencjalną ofiarą botneta GoldBrute. W połączeniu z informacją o dalszej aktywności Wanna Cry, przyszłość nie rysuje się kolorowo. Pamiętajmy też, że są to dane ogólnoświatowe. Możemy się domyśleć, że sytuacja w naszym kraju nie wygląda lepiej. Wręcz wydaje się, że może być gorzej – przestarzałe systemy są w Polsce wykorzystywane na masową skalę. Nie tylko we wspomnianych sektorach, ale również i w administracji publicznej, szkolnictwie i w przedsiębiorstwach. Niestety, prawdopodobnie nie wszyscy zdążą z aktualizacją na czas…

Spragniony źródeł, głodny wiedzy? Częstuj się

https://threatpost.com/bluekeep-mega-worm-looms-as-fresh-poc-shows-full-system-takeover/145368

https://www.securitynewspaper.com/2019/06/05/new-vulnerability-in-windows-rdp-bluekeep-patch-is-not-working

https://www.techrepublic.com/article/how-wannacry-is-still-launching-3500-successful-attacks-per-hour/

https://threatpost.com/forget-bluekeep-beware-goldbrute/145482/

https://securityboulevard.com/2019/05/almost-one-million-vulnerable-to-bluekeep-vuln-cve-2019-0708/

* Przypomnijmy – brute force to atak, w którym wykorzystywana jest losowa kombinacja znaków w celu odgadnięcia hasła i uzyskania dostępu. Skuteczność ataku opiera się na bombardowaniu próbami uwierzytelniania aż do skutku – do odgadnięcia prawidłowego hasła.