A gyártóipar egyre átfogóbb digitalizációja nem csak újabb lehetőségeket hoz az iparba. A kockázatok is hatványozottan jelentkeznek – még akkor is, ha a gyártórendszert elszeparálják az internettől. A Symantec most pont ilyen, de magas digitalizáltságú, zárt belső hálózatra kapcsolt gyártási rendszerekhez fejlesztett védelmet. A Industrial Control System (ICS) Protection Neural ezeket a belső ipari IoT rendszereket hivatott megvédeni.

Az USB is lehet veszélyes

Nagyon sok olyan, digitálisan vezérelt gyártáskritikus rendszer működik, amelybe – épp biztonsági megfontolásokból – az információkat, frissítéseket nem lehet hálózaton keresztül betölteni. Ezeknél a rendszereknél a HMI (Human-Machine Interface - a HMI-ről bővebben itt írtunk) szerepét betöltő számítógépen keresztül, jellemzően egy USB kulcson érkezik az információ. És hogy ez milyen veszélyeket hordoz, pontosan megmutatta a Stuxnet.

A Symantec ICS Protection Neural nevű védelme egy hardveres egység – lényegében egy USB-szkenner –, amihez van egy opcionálisan a végpontokra telepíthető 5 megabájtos program. Az USB-szkenner biztosítja az első vonalat a védelemben, azaz megnézni azt, hogy az USB kulcson, amelyen az információ, frissítés stb. érkezik, nincs-e káros kód. A szoftver egy a végpontokra telepíthető speciális driver, amely biztosítja, hogy a végpont csak azt az USB-kulcsot olvashassa be, amelyet bizonyos időn belül ellenőriztek.

Ez persze nagyon megnehezítene bizonyos folyamatokat, például ha egy USB-kulcsot többször is ki-be kell helyezni. Ilyenkor a driver csak azokat a fájlokat tiltja le, melyeket a felhasználó az utolsó ellenőrzés után másolt fel a kulcsra.

Maga az USB-szkenner a vezérlőtermekben helyezhető el, de például egy gyártóüzemben minden gyártósor kaphat dedikált szkennert. Kunal Agarwal, a Symantec IoT-divíziójának vezetője, azt mondta a SecurityWeeknek, hogy a ICS Protection Neuralt a Symantec Critical System Protection megoldása kiegészítőjének szánták, hogy a kritikus rendszereknél internetkapcsolat nélkül is lehessen biztosítani a maximális biztonságot.

A ICS Protection Neural működési vázlata

Mivel a kritikus rendszereknél jellemzően kulcsfontosságú a folyamatos működés, minimalizálni kellett a fals pozitív riasztásokat. Erre a Symantec többek között gépi tanulási és neurális hálózati technológiákat is bevetett.

A rendszer szállítását jövő év elején kezdik, az ár 25 ezer dollártól indul.

Ezer sebtől vérzik az ipari IoT

Még nagyobb a probléma azoknak az ipari IoT rendszereknek a biztonságával, melyek közvetlenül is kapcsolódnak az internethez. Miközben magának az IoT-nek a szerteágazó volta, a szabványok hiánya önmagában is nehezíti a hatékony védekezést, ipari környezetben mindezt megfejeli az, hogy ott meglehetősen új jelenség a hálózatba kapcsoltság. Ennek megfelelően az ilyen környezetben dolgozók a szükségesnél lassabban ismerik fel a hálózatos létből eredő kockázatokat. Ráadásul sok esetben a termelés folytonosságának igénye felülírja a biztonsági megfontolásokat.

A Milánói Műszaki Egyetem és a Trend Micro közös kutatásában az ipari környezetben elterjedt MQTT (Message Queuing Telemetry Transport) és CoAP (Constrained Application Protocol) protokollok biztonságát vizsgálták.

MQTT arra szolgál, hogy egy forrásból több címzetthez lehessen eljuttatni információt. Magát a kommunikációs folyamatot ún. brókerek irányítják. Az IoT kliens ezekhez a brókerekhez kapcsolódik, nekik küld és tőlük vár információt. A CoAP egy még nem szabványosított kliens-szerver protokoll, amit telemetriai adatok gyűjtésére használhatnak. Elsősorban az alacsony fogyasztású végponti eszközökről, például kihelyezett szenzorokról gyűjt adatokat.

A kémkedéstől a szabotázson át a DDoS-ig

A kutatók mindkét protokollban találtak problémákat. Például felfedeztek olyan tervezési hibát az MQTT-ben, ami miatt egy rosszindulatú kliens érvénytelen adatokkal is tud kommunikálni egy megtámadott hálózaton. Az sem kecsegtet túl sok jóval, hogy a vizsgálat során sikerült elfogni több mint 200 millió MQTT és 19 millió CoAP üzenetet a protokollok biztonsági réseit kihasználva.

Az is elég vészjósló, hogy több százezer MQTT és CoAP hostot értek el nyilvános IP-címekről. (Ezeknek persze csak egy része kapcsolódott ipari környezethez, hiszen a MQTT-t a konzumer IoT eszközök, sőt üzenetküldő alkalmazások is használják.) A nyilvánosan elérhető végpontokon keresztül pedig simán be lehetett gyűjteni lényegében bármilyen szenzoradatot. De nem csak kémkedésre lehet használni a feltárt hibákat. A kutatók szerint illetéktelen kódfuttatásra vagy akár DDoS-támadásra is lehetőséget adnak.
 

Mint a SecurityWeek írja összegzésben, az MQTT esetében mind magában a protokollban, mind az implemetációkban találtak hibákat. A CoAP-ban tényleges sebezhetőséget ugyan nem találtak, de mivel a protokoll UDP-alapú (User Datagram Protocol), nagyon jó alapot ad egy DDoS támadásra.

Egyelőre nem találtak arra utaló jeleket, hogy használták is volna kibertámadásokban a két protokoll sebezhetőségeit. A hibákat a fejlesztők a kutatók jelentése nyomán javították.

Ez a cikk független szerkesztőségi tartalom, mely a T-Systems Magyarország támogatásával készült. Részletek »