פורום ניהול רשתות ואבטחת מידע

securex308.com

יום ראשון, 26 בספטמבר 2010

איראן אישרה כי התולעת Stuxnetחדרה למחשבי סוכנות הגרעין שלה

היום פורסמה הכתבה במגזין "אנשים ומחשבים" הכתבה הבאה:

מומחי אבטחה קבעו, כי סטוקסנט היא מהנוזקות המתוחכמות שעולם אבטחת המידע ידע אי פעם, חריגה וייחודית: בניגוד לרוב הנוזקות, שמטרתן רווח כספי, היא תוכננה לחבל במערכות שליטה ובקרה במפעלים שונים, דוגמת הכור האטומי בבושהר.
בסימנטק, שם עוקבים אחר התפשטות סטוקסנט ברחבי העולם, העריכו, כי על הנוזקה עבדו חמישה עד עשרה האקרים שהתכוננו למבצע ההחדרה במשך כחצי שנה.

הידיעה מחזירה אותי חודשיים אחורה כאשר התייחסתי
לסוגית מערכות SCADA .

מקור החדרת הוירוס אינו ידוע או בכל אופן לא פורסם אך ניתן לעלות את הנסריו הבאים:

1.עובד הארגון אשר הפר אמונים והחדיר את הוירוס עקב קבלת שוחד,תסכול ממקום העבודה או פיטורים.
2.עובד חוץ ("קבלן") בעל גישה למערכת כמו גן בעל אינטרס.
3.החדרת הוירוס על ידי עובדי הארגון תוך שימוש ב-Social Engineering בדומה לפרשת "הסוס הטרויאני" בשנת 2005.
4.שימוש במדיה מגנטית.
5.העברת הוירוס באמצעות רשת האינטרנט (HTTP,FTP,MAIL,VPN וכו').
6.שימוש ב-Smart Phone או מכשיר PDA.

מתקרית האבטחה הנ"ל ניתן להסיק מסקנות נוספות:

1. מחלקת ה-IT בבושהר לא הייתה ערוכה להגנה מפני Zero-day Attack : שימוש במערכות אבטחה כדוגמת IPS,IDS,AV,FW,NAC ייתכן והיה מונע התפשטות ה-Worm תוך בידוד מיידי של העמדה החשודה.

2.לא נעשה שימוש בפלטפורמות מוקשחות (UNIX/SUN/Linux)לתשתיות כה קריטיות.
מבדיקה שערכתי באתר Siemens ניתן להתקין את המערכות על אחת מפלטפורמות אלו.

3.לא היה קיים מערך SEIM/SOC לתגובה לתקריות אבטחה בזמן אמת וטיפול באירועים
(Incident Response&Incident Handling).
למעשה מרכז ה-SEIM/SOC הינו החמ"ל המרכזי החשוב ביותר במקום!כנראה שהמושג "אבטחת מידע" לא נכללת במושג "ניטור" אצל האירנים!

4.נעשה שימוש בגישה Security through Obscurity-מתוך היכרות מעמיקה עם מערכות Siemens (מערכת ה-SCADA בשימוש הכור האירני) ותכנון תוכנית Disaster Recovery לאחד הארגונים בארץ אני יכול להעיד שלא קל לאבטח מערכת שכזו מבלי שסביבת ה-Production תיפגע ולהשאר בחיים בעת ובעונה אחת.
מדובר במערכות רגישות מאוד למוצרי אבטחה קרי Firewall ,Anti Virus אשר בד"כ המערכות מחייבות אותך לרוץ על הרשאות אדמיניסטרטיביות.

אני לא אשכח את היום בו תמכתי באחד ממהנדסי Siemens המוכשרים בארץ,כאשר ביצענו התקנה של אחד משרתי מערכת ה-SCADA.
כחלק משלב ה-Preparing המערכת ביטלה את ה-FW,שינתה הגדרות קונפיגורציה לרמות האבטחה הנמוכות ביותר,הגדירה כברירת מחדל מחיצות משותפות עם הרשאות מיותרות ועוד.
בעוד אני צופה בקונפיגורציה ולא יודע איך לעכל את את זה ,את המהנדס לא ענין הרבה מלבד שהכל יעבוד כשורה ושהוא יגיע לבית בזמן כי יש חיים מחוץ לעבודה.
עקב כך הנטיה בתאגידים רבים להתמקד באבטחה החיצונית ולאו דווקא בחיפוש פתרונות מתאמים לרשת הפנים ארגונית.

אשמח לשמוע דעתכם בנושא.

חג שמח!


תגובה 1:

  1. אתם יודעים אולי מה הנזק שנגרם להם?
    אם בכלל מעניין לדעת...
    בכל מקרה יהיה מצחיק לראות אותם משתמשים עכשיו בציוד אבטחה שישראלים מעורבים בפיתוח שלו או אמריקאים.

    השבמחק