Stuxnet kasus dianggap oleh ahli keamanan tindakan konkret pertama dari perang cyber, sebuah malware yang dirancang khusus untuk memukul sistem SCADA dalam pembangkit nuklir di Iran.
Acara ini telah memperingatkan masyarakat keamanan internasional mengenai risiko yang berkaitan dengan efek dari serangan cyber terhadap kontrol pengawasan dan akuisisi data dalam lingkungan industri.
Sistem SCADA yang diadopsi hampir di setiap sistem kontrol industri (ICS) yang digunakan untuk kontrol dan monitor proses industri yang merupakan target potensial serangan cyber seperti infrastruktur kritis atau fasilitas utilitas.
Manufaktur, produksi, pembangkit listrik, fasilitas pengolahan air, transmisi tenaga listrik dan distribusi dan sistem komunikasi yang besar semua dianggap aset penting bagi setiap negara dan mewakili target istimewa untuk serangan cyber.
Mendapatkan akses ke sistem SCADA merupakan langkah mendasar untuk penyerang yang menginginkan untuk berkompromi proses terkontrol dan bertentangan dengan apa yang Anda pikirkan itu bukan peristiwa langka.
Dalam kasus mayoritas sistem SCADA tidak dilindungi meskipun mereka melakukan peran penting dalam pengendalian proses, kompromi adalah mungkin untuk secara langsung membuat kerusakan serius pada infrastruktur kehidupan nyata, hacking SCADA adalah contoh klasik dari dampak pada dunia nyata serangan berasal di dunia maya.
Setelah bukti menarik dari konsep pada serangan terhadap Sistem Eselon SCADA yang saya temukan di internet, mengikuti arsitektur iLON100 sistem SCADA eselon.
Untuk memulai identifikasi target penelitian harus terbatas pada spesifik IP jarak yang memulai scan akhir. Untuk mengidentifikasi rentang hacker mengusulkan contoh ISP:
Target Seleksi
Sasaran yang dipilih menganalisis respon server, terutama semua yang tanggapan yang mengandung di header web nilai WindRiver-WebServer untuk atribut Server dan menggunakan dasar wilayah-"i.LON" untuk WWW-Otentikasi.
Sasaran dipilih dengan metode yang dijelaskan eselon menjalankan Cerdas Server 2.0 yang dipengaruhi oleh beberapa kerentanan yang sama sekali baru (0-hari) dan satu terkena beberapa waktu lalu, informasi lebih lanjut tentang sistem i.LON. dilaporkan di alamat berikut: http://www.lon-catalog.ru/.
Setelah beberapa penelitian di internet hacker menemukan kode sumber untuk firewall WindRiver di situs berikut
Mengeksploitasi
Setelah dianalisis target akhir penyerang hanya perlu mengeksekusi mengeksploitasi untuk itu. Pos melaporkan: "Maka Anda harus memiliki panel admin untuk mengubah segalanya pada kotak"
Pos melaporkan daftar perangkat secara langsung dikendalikan dari konsol admin dari SCADA, adalah mungkin untuk dicatat bahwa penggunaan utamanya adalah untuk tujuan pemanasan.
Mengakses ke perangkat tunggal adalah mungkin untuk mengatur parameter operasi, mari kita bayangkan efek pada proses industri atau SCADA dalam pabrik nuklir ... itu sudah terjadi dan itu bisa terjadi lagi!
kesimpulan
Langkah-langkah yang diusulkan sangat sederhana dan menunjukkan betapa rentan infrastruktur kritis. Banyak pakar keamanan percaya bahwa fase yang paling rumit adalah penelitian target, sistem SCADA terkena di internet karena berbagai alasan. Itu salah!
Banyak hacker "Shodan Komputer Search Engine" untuk menemukan sistem SCADA terkena di internet, situs populer memberikan juga serangkaian informasi yang berguna pada target yang mungkin, banyak dari kebocoran sistem mekanisme otentikasi yang tepat dan dalam banyak kasus tidak diperbarui.
Shodan adalah setara dengan Google untuk mesin terkena di internet, itu adalah mesin pencari untuk server, router, saldo beban dan perangkat jaringan lainnya.
"Hasil pencarian termasuk informasi seperti respon server HTTP untuk permintaan GET, FTP dan spanduk layanan Telnet dan klien / server pesan yang dipertukarkan selama usaha login, dan spanduk SSH (termasuk versi server)."
Ini penting bahwa pemerintah akan meningkatkan strategi cyber untuk melindungi sistem SCADA, yang membutuhkan rasa hormat dari peraturan ketat di bawah perspektif keamanan untuk memastikan keamanan dan mencegah serangan eksternal.
• Menyebarkan metode akses jarak jauh yang aman seperti Virtual Private Networks (VPN) untuk akses jarak jauh
• Hapus, menonaktifkan, atau merubah nama account sistem default (jika mungkin)
• Menerapkan kebijakan account lockout untuk mengurangi risiko dari upaya memaksa brute
• Melaksanakan kebijakan membutuhkan penggunaan password yang kuat
• Minotor penciptaan account tingkat administrator oleh vendor pihak ketiga
Jika Anda berpikir bahwa sistem SCADA saat ini aman, dan jika Anda tidak yakin kekritisan masalah membiarkan saya sarankan Anda menonton video "ReVuln - SCADA 0-day kerentanan".
Ini adalah sebuah karya dari beberapa SCADA 0-hari eksploitasi dimiliki oleh perusahaan keamanan ReVuln, dengan 0-hari kerentanan semua sisi server dan remote dieksploitasi. Video ini menunjukkan masalah yang mempengaruhi vendor berikut: General Electric, Schneider Electric, KASKAD, ABB / Rockwell, Eaton, Siemens ... tidak ada yang aman. Perhatikan bahwa banyak lainnya 0-hari kerentanan yang dimiliki oleh ReVuln mempengaruhi terkenal lainnya SCADA / HMI vendor telah tidak termasuk dalam video ini.
Para penyerang "dapat mengontrol mesin dengan hak istimewa maksimum (SISTEM pada Windows) yang diberikan oleh layanan yang terkena," ReVuln co-pendiri dan peneliti keamanan Luigi Auriemma.
"Mereka dapat menginstal rootkit dan jenis-jenis malware atau memperoleh data sensitif (seperti password yang digunakan pada komputer lain dari jaringan yang sama) dan jelas mereka dapat mengendalikan seluruh infrastruktur."
Karena itu adalah mungkin untuk gambar situasi yang sangat memprihatinkan!
