Průmyslové systémy napadané Stuxnetem jsou plné děr

Na velké množství nebezpečných zranitelností v průmyslovém softwaru od Siemensu upozornila skupina ruských výzkumníků. Ti chtěli své poznatky původně prezentovat v červenci na bezpečnostní konferenci Defcon, jejich vystoupení však nakonec bylo na přímou žádost Siemensu zrušeno. Společnost si totiž vyžádala více času opravu svého produktu WinCC.

WinCC je systém typu SCADA (Supervisory Control And Data Acquisition), který se používá ke správě různých průmyslových procesů v továrnách nebo elektrárnách. Dokonce by se dalo říci, že jde o typ softwaru, na jehož funkčnosti je závislá kritická infrastruktura každé země. V poslední době se tyto systémy dostaly do centra pozornosti odborníků na počítačovou bezpečnost. WinCC totiž ve svých zařízeních na obohacování uranu používá Írán, kterému zranitelnosti v softwaru způsobily velké problémy, když přes ně do systému dostal červ Stuxnet.

Sergej Gordejčik, technický ředitel moskevské společnosti Positive Technologies, sice souhlasil s odložením prezentace na Defconu, nakonec se však hrozivým nálezem pochlubil jiný výzkumník Gleb Gritsai minulý čtvrtek na bezpečnostní konferenci Power of Community v Soulu. Společnost pouze nezveřejnila některé podrobnosti o zranitelnostech, protože Siemens stále nevydal opravnou aktualizaci.

Tým vědců v poslední verzi WinCC nalezl více než 50 zranitelností. Podle Gordejčika jde o počet tak vysoký, že si Siemens musel vydání jednotlivých oprav přesně naplánovat. Většina z těchto zranitelností by útočníkům umožnila získání vzdálené kontroly nad systémy WinCC. Podle Rusů však najít chyby rozhodně nebylo nijak složité, stačilo prý jen chtít.

Gritsai ukázal, jak snadno lze zranitelnosti zneužít k získání přihlašovacích údajů do sítě SCADA. Několik chyb bylo nalezeno ve webovém rozhraní Siemensu WebNavigator, které umožňuje vzdálený přístup k operacím WinCC přes Internet Explorer. Výjimkou prý nejsou ani případy, kdy mají firmy webové rozhraní WinCC nainstalováno na desktopu, aby mohly IE používat i k přístupu na internet. Zaměstnanec tak může například chatovat na Facebooku, zatímco se stará o provoz jaderné elektrárny. Gordejčik nicméně oceňuje otevřený přístup Siemensu k řešení celého problému. Jiný výrobci systémů SCADA prý o bezpečnosti svých produktů vůbec nechtějí mluvit.