Автор: Арсеній Прудников
Як зламати систему управління залізницею через інтернет і навіщо мисливцям за банкоматами тепловізори? Чому вразливі всі світові системи управління технологічними процесами і можуть хакери влаштувати справжню техногенну катастрофу?У Москві пройшла міжнародна хакерська конференція Positive Hack Days III.
Чорний лімузин «Mercedes» і безліч молодих людей з пакетами ЛДПР – вірна ознака того, що десь поруч знаходиться лідер партії Володимир Жириновський. На форум Positive Hack Days 2013, який пройшов в Москві 23-24 травня, він приїхав анонсувати новий партійний проект «Інтернет без наркотиків». Його суть – збір інформації про наркоторговців, які пропонують в інтернеті «курильні суміші» і «легальні порошки», і передача цих даних правоохоронних органів. Поки правда не зовсім зрозуміло, яким чином ЛДПР реалізує такий проект – більшість подібних сайтів заблоковані провайдерами і навіть в соціальній мережі «ВКонтакте», яку часто незаслужено звинувачують у зберіганні незаконного контенту, знайти такі спільноти проблематично. А чи достатньо в партії ЛДПР умілих інтернет-розвідників, які спритно знайдуть ресурси і форуми, які продовжують відкрито торгувати, питання складне.
«Хакери працюють мовчки – пальчики і цифри», – зазначив Жириновський і навіть запропонував закликати комп’ютерних зломщиків в Збройні Сили, щоб вони працювали в інтересах кібер-безпеки країни. Лідер ЛДПР взагалі був дуже прихильно до них налаштований і запропонував також відкривати по всій країні Будинки хакерів, щоб вони могли відточувати там свої навички в пошуках вразливостей.
Атаки на банкомати
На PHD проходили конкурси, доповіді та майстер-класи з найширшого кола тем: приховані можливості iOS і Andorid, атаки на систему SAP, злом і виведення грошей через інтернет-банкінг, розтин реальних замків і багато іншого.
Наприклад, як влаштований банкомат і як крадуть дані чужих карток – детальну демонстрацію провела експерт Positive Technologies Ольга Кочетова. Виявляється, крім скімерів (накладки на карто-приймачі, які непомітно зчитують дані карт), існують треппінг – спеціальні стрічки, які затримують карту всередині і дозволяють її витягти, коли власник відійшов в сторону. Тобто якщо карту клієнта банкомат зажував – це не обов’язково означає, що апарат несправний.
треппінг
Є також кеш-треппінг – це замасковані пастки, які забирають гроші з відсіку видачі. Купюри, які видає банкомат, загортаються в маленький «кишеню», відповідно власник карти, що не знає правил безпеки, грошей не отримує і йде. Далі приходять шахраї, знімають свій кеш-треппінг і забирають чужі кошти. Швидше за все, така схема може бути розрахована тільки на неуважних людей і навряд чи може використовуватися часто, але завжди потрібно проявляти пильність – читати інформаційні повідомлення на екрані банкомату і використовувати смс-інформування про всі операції по карті.
Також поряд зі скімерів можуть застосовуватися шіммери – це найтонше електронні пристрої (0.1-0,2 мм), які злочинець засовує в карто-приймач. Шиммер підключається до електроніки банкомату і записує дані вводяться карт. Визначити шіммер в банкоматі для рядового користувача взагалі неможливо, хоч він і не перехоплює пін-код.
Зате пін-код записує накладна клавіатура або, наприклад, тепловізор в руках шахрая, який підійде до банкомату слідом за жертвою і перевірить, на яких кнопках залишилося тепло пальців. Щоб збити з пантелику можливих шахраїв і їх апаратуру, експерти радять вибирати суму, яку ви хочете отримати, не на 8 кнопках навколо екрану, а на клавіатурі вручну.
Тепловізор зчитує пін-код
Поради: завжди потрібно оглядати банкомат на предмет наявності нештатної апаратури, перевіряти чи немає на ньому маленьких відео-камер і дзеркал. Зрозуміло не можна допускати, щоб хтось підглядав пін-код. Ну а якщо ви виявили скіммер або підроблену клавіатуру на банкоматі, не намагайтеся їх відламати – за банкоматом можуть стежити самі злочинці, які встановили скімери, або спецслужби, які цих злочинців чекають – це може закінчитися дуже сумно
А ще деяким хакерам нічого не варто перетворити банкомат – по суті, звичайний комп’ютер з Windows – в ігрову консоль для гри в Angry Birds:
Угон поїзда Choo Choo Pwn
Один з найцікавіших конкурсів – захоплення системи управління залізницею. Системи, які використовуються в ЖД-транспорті, по суті такі ж, як ті, які керують технологічними процесами на підприємствах і будь-яких критично-важливих об’єктах (АСУ ТП). До інтерфейсів таких систем можна часто підключитися в Інтернеті або через підключення до них внутрішні мережі, які також можуть мати підключення через інтернет.
На форумі було представлено іграшковий макет залізниці, але система управління реальна. Вона дозволяє управляти як поїздом, так і елементами залізниці – стрілки, шлагбауми, вантажний кран для навантаження контейнерів. Завдання хакерів – підключитися до системи, використовуючи вразливості промислових протоколів, і обійти аутентифікацію SCADA-систем і веб-інтерфейсів промислового обладнання. Далі – роботу системи управління можна порушити різними способами.
Експерти Positive Technologies розповіли, що в реальному житті нерідко можна зустріти комп’ютерні системи для контролю залізничного транспорту, безпосередньо підключені до інтернету. Тобто веб-інтерфейс такої системи можна знайти через Google, далі можна пройти різні рівні захисту (в першу чергу підібрати логін і пароль за допомогою спеціальних програм) і перейти безпосередньо до управління залізницею. Більш того, таким способом можна відправити керуючим комп’ютерів і диспетчеру неправдиві дані. Це може викликати масштабний збій обладнання або справжню катастрофу. Такого роду атаки особливо небезпечні для рухомих складів, які подорожують повністю на автопілоті – без машиністів. Причому веб-інтерфейси російських залізно-дорожніх систем в Росії теж можна знайти в мережі, кажуть фахівці.
«Інженери в першу чергу роблять так, щоб все працювало, а питання безпеки – вторинні», – пояснив спеціальному кореспондентові експерт Positive Technologies Ілля Карпов.
Техногенні кошмари SCADA
Подібні системи керують не тільки рухом поїздів – від них залежить вся критично-важлива інфраструктура, яка забезпечує звичну життєдіяльність сучасних країн. Це атомні і гідроелектростанції, нафтові і металургійні заводи, газопроводи, системи водопроводу і каналізації, метрополітени, системи розподілу електроенергії і багато іншого.
Про критичні вразливості АСУ ТП в цілому і зокрема на форумі говорили багато. «Те, що системи SCADA не підключені до інтернету, це міф», – зазначив заступник гендиректора Positive Technologies Сергій Гордейчик. Доступ в мережу вони мають головним чином для зручності обслуговування. У США, наприклад, за роботу різних критично-важливих об’єктів відповідають сторонні сервісні компанії. Промислових комп’ютерних мереж з підключенням до інтернету там дуже багато, але від нападу вони захищені краще, тоді як в Росії таких систем набагато менше, але і захищені вони гірше.
Таким чином, якщо ці системи підключені до інтернету (безпосередньо або через офісні комп’ютерні мережі), є можливість їх атакувати, впровадити шкідливий код і врешті-решт перехопити управління або задати невірну обробку подій.
Статистика Positive Technologies про уразливість систем АСУ ТП така:
· З 2010 року в 20 разів зросла кількість виявлених вразливостей
· 50% вразливостей дозволяють хакеру запустити виконання коду
· Більше 40% інтернет-доступних систем можуть зламати хакери-любителі
· Третина доступних в інтернеті систем знаходяться в США
· Уразливі 54% інтернет-доступних систем в Європі, 39% в США
· Вразлива кожна друга система в Росії, що має вихід в інтернет
Справа не тільки в тому, що ці системи підключені до інтернету, але і в тому, що програмне забезпечення, що використовується сьогодні в SCADA, розроблялося ще в 90ті роки, коли про питання безпеки мало хто замислювався. «В АСУ ТП немає жодного компонента, якому можна довіряти», – упевнений головний архітектор ПО «Лабораторії Касперського» Андрій Духвалов.
Про те, що атаки на SСADA зовсім не міф, можна судити з історії з хробаком Stuxnet, який у 2010 році збив управління урановими центрифугами на ядерних об’єктах в Ірані.
Інший цікавий приклад – у 2011 році весь світ облетіла новина про те, що російські хакери зламали каналізацію в Іллінойсі. З посиланням на Антитерористичний розвідувальний центр штату Іллінойс газети повідомили, що невідомі зловмисники з Росії увійшли до комп’ютерного SCADA-систему, яка управляла водонасосной станцією, і вивели її з ладу. Як доказ – російський IP-адреса, що відобразився в логах системи управління.
Незабаром з’ясувалося, що інженер компанії, яка обслуговує комп’ютерну систему водонасосной станції, перебував у відпустці в Росії і зі свого смартфона зайшов в систему через веб-інтерфейс, щоб зробити якісь настройки. Відповідно станція зламалася з інших причин, але російський IP-адреса залишився, і це багато що пояснює.
Зрозуміло, проблема актуальна не тільки для Ірану і США, але і для всього світу. І полягає вона не тільки в тому, що відсутня нормальна захист. Важливу роль відіграє і людський фактор – комп’ютери для управління технічними процесами працівники повсюдно використовують для інтернет-серфінгу, а також вставляють в них флешки. Це вже створює велику загрозу.
Уразливості в системах SCADA відкривають можливості не тільки для атак, а й для шахрайства штатного персоналу.Наприклад, співробітники АЗС можуть в свою користь міняти дані і логіку підрахунків в касових і паливо-роздавальних апаратах, обраховуючи клієнта або свою компанію, розповів Гордейчик.
На форумі наводилася також статистика про те, що на першому місці по кількість комп’ютерних інцидентів об’єкти паливно-енергетичного комплексу, на другому – об’єкти водопостачання, на третьому – харчова промисловість, а на четвертому – металургія.
Всі експерти сходяться на думці, що для безпеки життєдіяльності суспільства потрібна інша операційна система, яка буде працювати тільки за заздалегідь заданими сценаріями.
Поки ж зловмисники можуть, наприклад, отримати контроль над виробленої Siemens системою клімат-контролю в будівлі через веб-інтерфейс:
