Читаем Цифровой журнал «Компьютерра» № 195 полностью

Почти во всей электроэнергетической промышленности США и Канады для передачи сообщений между серверами используется протокол последовательной связи DNP3. По нему также осуществляется соединение с программируемыми логическими контроллерами и дистанционными терминалами сбора данных о состоянии конкретных участков электросети. Существующая система позволяет операторам дистанционно отслеживать изменяющиеся режимы работы и следить за работой автоматики по балансировке нагрузки. При необходимости возможно принудительное увеличение или уменьшение напряжения, а также оперативное отключение отдельных узлов.

Если вмешаться в работу управляющего сервера, то пройдёт некоторое время, прежде чем операторы заметят сбой в системе. В зависимости от их квалификации и характера вмешательства это могут быть минуты или даже часы. Всё это время они будут руководствоваться в принятии решений неверными данными, которые отображает на мониторах сервер по воле злоумышленника. Чтобы отключить или вывести из строя отдельные объекты инфраструктуры, атакующей стороне потребуется меньше одной минуты.

Крейн поясняет, что найденные проблемы с безопасностью касаются не самого стандарта DNP3, а исключительно его некорректной реализации определёнными поставщиками конечных решений.

Хуже всего, когда проблемы с безопасностью обнаруживаются не в отдельной программе, а в популярном общем компоненте. Уязвимость в библиотеке компании Triangle Microworks затронула около семидесяти процентов всего программного обеспечения, используемого для управления ключевыми объектами городской инфраструктуры.

Свои выводы Крейн и Систранк представили в промышленное управление Министерства внутренней безопасности и в координационный центр CERT. Последний был создан двадцать пять лет назад, после того как сетевой червь Морриса был обнаружен на компьютерах DARPA.

В ответ на присланные материалы экспертная команда ICS-CERT опубликовала ряд рекомендаций об устранении уязвимостей, а разработчики программного обеспечения выпустили патчи, но только для девяти из них. Остальные критические уязвимости остаются актуальными до сих пор. Более того, на многих подстанциях никак не отреагировали на уведомление CERT и не установили выпущенные патчи, полагая характер обнаруженных проблем несерьёзным. Два года назад была анонсирована защищённая версия протокола Secure DNP3, но с его внедрением тоже не спешат.

Крейн и Систранк планируют вернуться к обсуждению найденных уязвимостей и представить результаты своих исследований на конференции по безопасности S4, которая будет проходить во Флориде в январе 2014 года.

К оглавлению

Опубликовано 17 октября 2013

Если позволите каплю эмоций, я не перестаю удивляться, какие страсти разгораются каждый раз, когда разговор в этой колонке заходит о «чистой энергии». Накал прошлонедельной дискуссии об эффективности солнечных батарей (см. «Домашняя энергонезависимость») оказался таким, что, посмотрев со стороны, можно подумать, будто обсуждают большую политику или как минимум сравнивают операционные системы! И лично для меня это лучшее доказательство того, что тема только кажется отработанной и устоявшейся, а на самом деле даже по элементарным вроде бы вопросам (вроде практической пригодности солнечных батарей в облачную погоду) существуют диаметрально противоположные точки зрения. Так что если у вас есть чем крыть, есть цифры, а тем более личный опыт, очень прошу поучаствовать в новой дискуссии. Потому что сегодня я рискну продолжить начатый в две прошедших недели разговор. Ведь энергию Солнца или ветра мало получить, её мало распределить по потребителям, её ещё жизненно важно научиться накапливать!

В самом деле, что проку от той же трёхкиловаттной икеевской солнечной электростанции, занимающей крышу частного дома, если она, способная с избытком удовлетворить потребности целого домохозяйства, работает только в светлое время суток? Идеально было бы накапливать остающийся во время генерации излишек («скушать» три киловатта — не шутка, мало какой бытовой прибор поглощает даже киловатт, и работают такие приборы, как правило, недолго: проточный нагреватель воды, духовка... У меня, правда, греет дом полуторакиловаттный биткойновый риг, но это редкость, согласитесь) и отдавать его по мере надобности ночью. Что ж, предположим, на ночь и сумерки, занимающие, скажем, 18 часов, дому нужны те же самые три киловатта. Значит, бытовой накопитель электроэнергии должен запасти, грубо, 54 киловатт-часа. Много это или мало?