SOS :: Security Operation Space
22 января, понедельник, 00:00
Hot News:

Эксперты: SCADA и мобильные приложения — опасный коктейль

12 января 2018 г., пятница, 20:14

Исследователи обнаружили 147 разных уязвимостей в 34 мобильных SCADA-приложениях и бэкенд-серверах.

Эксперты IOActive и Embedi оценили изменения, произошедшие за два года в сфере дистанционного управления рабочими процессами, и пришли к выводу, что с приходом IoT и переносом функций надзора и контроля в облако уязвимость ICS-инфраструктуры усугубилась. В своем отчете Александр Болшев и Иван Юшкевич представили результаты тестирования 34 мобильных SCADA-приложений, в которых они обнаружили около полутора сотен разных уязвимостей. В 2015 году аналогичное исследование выявило 50 брешей в 20 образцах.

Мобильные приложения, предназначенные для взаимодействия с АСУ, исследователи делят на две группы: локальные программы для прямого подключения к ICS-системе или ее сегменту (через Wi-Fi, Bluetooth, последовательный интерфейс) и программы удаленного доступа к ICS-серверу, такие как SCADA-клиенты, MES-клиенты (Manufacturing Execution System) и приложения, сигнализирующие о проблемах.

Локальные приложения обычно используются в узком кругу и работают в изолированных средах, дистанционные зачастую устанавливаются на смартфонах с интернет-соединением или персональные гаджеты, разрешенные на предприятии в соответствии с политикой BYOD.

Болшев и Юшкевич рассматривают три основных типа угроз для SCADA-приложений: несанкционированный физический доступ к устройству или «виртуальный» доступ к данным устройства, компрометация канала связи (MitM) и компрометация приложения (на стороне бэкенд-сервера или на стороне клиента). В зависимости от этих угроз возможные атаки на SCADA-программы разделены на две группы.

Атаки, влияющие на промышленный процесс или сетевую инфраструктуру (прямо или опосредованно), выполняются посредством отправки вредоносных данных на устройства промышленного объекта в обход проверок прав доступа и достоверности информации. Вторая разновидность — атаки в расчете на ошибку оператора SCADA, которого можно обманом заставить принять неправильное решение, влекущее ложную тревогу или аварийное завершение работы системы.

Анализ и тестирование приложений проводились на основе списка уязвимостей OWASP Mobile Top 10 за 2016 год. Опытные образцы от 34 вендоров были выбраны случайным образом на Google Play, однако предпочтение отдавалось программам, обеспечивающим доступ к аппаратуре или ПО бэкенд-сервера. Такой подход, по словам исследователей, позволил расширить площадь пробных атак. Приложения, обновление которых последний раз производилось до июня 2015 года, в контрольную выборку не вошли.

Проверка обнаружила 147 уязвимостей в приложениях и их бэкенд-серверах; находки были сгруппированы в соответствии с классификацией OWASP, но исследователям пришлось добавить 11-ю категорию для багов в ПО бэкенда. Результаты анализа Болшев и Юшкевич представили в виде следующей таблицы:

SCADA apps vulns IOActive

(источник: блог-запись IOActive)

Тех, кого интересуют подробности находок каждой категории, исследователи приглашают заглянуть в полнотекстовую версию отчета, выложенную в открытый доступ на сайте IOActive.

Для снижения рисков авторы исследования советуют придерживаться рекомендаций OWASP, а разработчикам SCADA-клиентов для мобильных устройств — также соблюдать ряд правил:

  • Всегда помнить, что создаваемое приложение открывает доступ к ICS-системе.
  • Избегать ситуаций, способных подставить оператора SCADA.
  • Обязательно проводить модульное и функциональное тестирование приложений и бэкенд-серверов во избежание проблем с аутентификацией, авторизацией и другими базовыми элементами защиты.
  • Не забывать о необходимости реализации проверки паролей/PIN-кодов и надежных механизмов хранения учетных данных (Android-платформа такие функции обеспечивает).
  • Не хранить конфиденциальные данные на SD-карте или в аналогичных разделах, неподвластных ACL-контролю.
  • Обеспечить секретность и целостность всех данных HMI-проекта — к примеру, с помощью аутентифицированного шифрования и надежного хранения зашифрованных идентификаторов или посредством использования KDF-функции создания ключей на основе пароля к приложению.
  • Шифровать все коммуникации, используя надежный протокол вроде TLS 1.2 с обменом ключами и подписями на эллиптических кривых, а также AEAD-режим блочного шифрования.
  • Перехват и обработка исключений должны выполняться четко; если ошибку нельзя исправить, приложение должно уведомить пользователя, а затем корректно завершить работу. Также следует удостовериться, что при регистрации исключений никакая секретная информация не просочится в журнал.
  • Если приложение использует Web Components, нужно обеспечить ему защиту от инъекций на стороне клиента (ввести шифрование всех коммуникаций, проверку вводимых пользователем данных и т. п.).
  • Жестко ограничить разрешения для приложения до минимума.
  • Использовать обфускацию и защиту от несанкционированного вмешательства.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
08:00
07:22
07:12
06:47
05:05
22:12
20:46
20:45
20:13
18:01
22:04
20:42
17:58
16:31
06:31
03:43
23:59
21:57


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности)  // Обратная связь  | 0.023
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.