Sigurnost PLC uredaja

PLC uređaji su temeljan dio informacijskih sustava industrijskih postrojenja. Često se zanemaruje njihova sigurnost, jer nisu direktno spojeni na vanjski internet, ali pričaju s komponentama koje su spojene na vanjski internet. Također, korisnici mreža u industrijskim postrojenjima mogu ugroziti sigurnost PLC uređaja i zato bi se trebalo voditi računa o njihovoj sigurnosti. Nužno je pridržavati se dobrih praksi kako bi se osigurala maksimalna sigurnost, ali isto tako je bitno da su inženjeri upoznati s lošim praksama kako bi se mogli osigurati od sigurnosnih incidenata. Kroz zadnjih 10 godina dogodili su se brojni napadi na ove sustave gdje je došlo na vidjelo koliko su sustavi industrijskih postrojenja nesigurni i koliko su potencijalno velike posljedice napada.

Ključne riječi: plc, industrijska postrojenja, stuxnet, industroyer, havex, logiclocker

Današnji informacijski sustavi se suočavaju s velikom količinom prijetnji. Kod većine internetskih aplikacija, ako se dogodi sigurnosni incident tada je najveća šteta u tome što napadači mogu dobiti korisničke podatke ili privremeno onesposobiti uslugu. PLC uređaji su uređaji koji se koriste u industrijskim postrojenjima koja mogu imati značajan utjecaj na brojne živote ili čak smrtne posljedice ako napadači odaberu riskantnu metu. Ti uređaji iako su izrazito jednostavni mogu imati stvarne posljedice, te je zato njihova sigurnost od velikog značaja.

Kako bi se inženjeri znali braniti od napada potrebno je prvo znati od kojih komponenti su sastavljeni sustavi i koje su potencijalne prijetnje. Bitno je poznavanje loših praksi kako bi iz njih naučili što ne bi smjeli raditi, ali isto i dobrih praksi kojih bi se trebali držati. Navedenim problemima se bavi ovaj seminarski rad, te opisuje poznate slučajeve napada kako bi se dobio dojam mogućih posljedica.

PLC uređaji su jedni od glavnih elemenata u industrijskim informacijskim sustavima. U sebi sadrže mikroprocesor i namijenjeni su za kontrolu proizvodnih procesa. Neki od primjera upotrebe su pokretne trake, strojevi i roboti. Originalno su napravljeni za automobilsku industriju, no s vremenom kada se vidjela njihova učinkovitost, postali su standard u automatizacijskim procesima u industrijskim postrojenjima. Primaju podražaje od različitih senzora ili drugih uređaja koji im daju informacije o trenutačnom stanju u radnom okruženju i PLC zatim reagira s predviđenom radnjom za taj scenarij. Osim ulaznih informacija, PLC šalje izlazne informacije ostalim PLC uređajima koji ovise o njemu ili SCADA sustavima. SCADA (Supervisory Control and Data Acquisition) su informacijski sustavi koji su nadziru proizvodne procese i upravljaju njima. SCADA je zadužena da nadzire PLC uređaje i da prikuplja informacije od njih i ostalih uređaja u svrhu daljnjeg procesiranja, vizualiziranja ili arhiviranja podataka. PLC uređaji imaju ugrađenu komunikaciju preko USB, Ethernet ili specifičnih protokola za pojedinog proizvođača uređaja. Komunikacija se odvija prema raznim senzorima, SCADA sustavima ili HMI sustavima. HMI (Human Machine Interface) je sustav koji nudi grafičko korisničko sučelje preko kojeg inženjeri mogu mijenjati konfiguracije PLC uređaja, vršiti nadogradnje ili pratiti stanje i napredak uređaja u postrojenju.

Sljedeća slika prikazuje jedan PLC uređaj, točnije Siemens S7-300.

Jedna od najvećih prijetnji sigurnosti PLC uređaja je poveznica između PLC uređaja i ostalih računala/uređaja. Radi jednostavnosti upravljanja uređajima, kompanije nerijetko spoje PLC na bežičnu mrežu kako bi mu inženjeri lakše mogli pristupiti. PLC generalno ima slabu do nikakvu mogućnost autentifikacije korisnika, te spajanjem u bežičnu mrežu bilo tko može mijenjati njegovu konfiguraciju ili čak pratiti njegov promet. CyberX je u svojem izvještaju pokazao da preko 84% industrijskih mreža ima barem jedan vanjski uređaj koji koriste za udaljeni pristup mreži. Iako olakšava rad, predstavlja izrazito veliku sigurnosnu manu.

Industrijska postrojenja bi se trebala držati nekih preporučenih sigurnosnih praksi, no i proizvođači moraju imati sigurnost na umu prilikom kreiranja PLC uređaja. Proizvođači trebaju uzeti u obzir sigurnost protokola koje koriste u svojim uređajima. Brojni standardi koji su osmišljeni ne uzimaju u obzir sigurnost, pa brojna rješenja koja koriste Ethernet ne osiguravaju integritet podataka, tajnost i nemaju potporu za autentifikaciju. Iskorištavanjem ranjivosti protokola mogu izvršiti brojne vrste napada npr. Man in the Middle napad. Ako ostala računala u industrijskom postrojenju koriste istu mrežu kao i PLC uređaji, tada može biti narušena njihova sigurnost ili dostupnost. Mreže bi se trebale razdvojiti u više podmreža kako bi se smanjile posljedice takvih propusta. Snimanje i redovito promatranje mrežnog prometa je također bitno kako bi se mogli sigurnosni incidenti što prije otkrili i isto tako što prije razriješili. Mehanizmi nadogradnje sustava su izrazito bitni kako bi se što prije i što efikasnije otklonile postojeće ranjivosti u sustavima. Ako se radi o manjem broju uređaja to ne predstavlja veliki problem, no u većini slučajeva se radi o izrazito velikim i kompleksnim mrežama uređaja što može biti veliki problem inženjerima za održavati. Zato bi proizvođači trebali imati sigurne i brze mehanizme nadogradnje kako bi olakšale rad s uređajima.

Napadi, iako rjeđi nego napadi na internetske aplikacije, se događaju i ponekad imaju katastrofalne posljedice. U ovom poglavlju je opisano par značajnijih napada. Razlikuju se po sofisticiranosti, načinu na koji je sigurnosna prijetnja unesena u sustav i konačnoj meti/cilju napada.

LogicLocker je ransomeware program koji napada PLC uređaje i radi na PLC uređajima od više različitih proizvođača. Prvi put je opisan u radu kojeg je napisao Georgia Institute of Technology. Istraživači su uzeli za testni scenarij postrojenje za pročišćavanje vode i uspjeli su demonstrirati kako mogu generirati lažna očitanja, zatvarati cjevovode i čak promijeniti razine klora u vodi do razine gdje voda postaje otrovna. Zloćudni program je dizajniran tako da iskorištava ranjivosti u autentifikacijskim mehanizmima PLC uređaja, te zatim onemogućuje pristup legitimnim korisnicima. Dok su legitimni korisnici onemogućeni, ransomeware ugrađuje zloćudni kod na PLC uređaje, a korisnici teško mogu preuzeti kontrolu nad uređajem.

Stuxnet je maliciozni crv koji je otkriven 2010. godine, ali se vjeruje da je njegov razvoj počeo već 2005. godine. Crv je izrazito sofisticiran jer je koristio čak 4 zero-day (prethodno nitko nije znao da postoje) i zarazio je preko 200,000 računala i uzrokovao je oštećenja/uništenja 1000 strojeva. Meta napada je bilo Iransko nuklearno postrojenje, točnije PLC uređaji u postrojenju koji su se brinuli o plinskim centrifugama za razdvajanje nuklearnog materijala. Crv je došao do postrojenja gdje je prvo prikupljao informacije i zatim počeo uništavati centrifuge. Neki izvori navode da je Stuxnet uništio petinu Iranskih nuklearnih centrifuga.

Crv ulazi u radno okruženje putem zaraženog USB uređaja, te se zatim širi na Windows operacijske sustave. Na Windows računalima bi tražio Siemens S7 sustave koji se nalaze u mreži. Nakon što je našao Siemens sustav, napadao je SCADA sustav preko kojeg je promijenio PLC algoritme. Sve promjene koje su napravljene su bile skrivene kako inženjeri ne bi mogli primijetiti da se nešto opasno događa u sustavu.

Prikaz različitih vektora širenja prije nego Stuxnet dolazi do PLC uređaja je prikazan na sljedećoj slici.

Industroyer (poznat i pod nazivom “Crashoverride”) je zloćudni program koji je zaslužan za napad na Ukrainsku električnu mrežu. Napad je izvršen 17. prosinca 2016. godine, te je prouzrokovao nestanak struje u petini glavnog grada Kijeva. Poseban je jer je prvi program koji je uočen da napada električnu mrežu. Sastavljen je od 4 komponente:

• Glavni “backdoor” - koristi se za upravljanjem ostalim komponentama. Spaja se na servere preko koji napadači dalje mogu upravljati sustavom
• Dodatni “backdoor” - osigurava dodatni mehanizam koji omogućava napadačima da si vrate pristup sustavu u slučaju da je glavni backdoor otkriven ili onemogućen.
• Komponenta koja napada specifične komunikacijske protokole, pronalazi uređaje u mreži i inicijalizira napad prema uređajima koje želi napasti
• Komponenta koja briše Windows Registy ključeve i zamjenjuje određene datoteke s ciljem da se uređaj ne može ponovo pokrenuti i da je teže oporavljanje od napada.

Havex (poznat kao Backdoor.Oldrea) je RAT (remote access trojan) čija je namjena krađa informacija o industrijskim postrojenjima. Modul za skeniranje mreže se primarno fokusirao na Siemens i Rockwell Automation uređaje. Sakupljene informacije su se prenosile na server preko kojeg je napadač imao pristup sustavu. Kada bi Havex bio instaliran na jednom uređaju, skenirao bi industrijsku mrežu za bilo kakve SCADA uređaje. Nakon toga je pomoću OPC standarda, koji je standardni komunikacijski protokol, slao informacije napadačevom serveru.

Ideja je da Havex prvotno skuplja brojne informacije i podatke koje bi napadač kasnije mogao koristiti za neki drugi vektor napada. Napadač je mogao koristiti brojne metode napada, no najčešće je fokus bio na napad dobavnim lancem (supply chain) ili watering-hole napad.

1. Supply chain napad je napad na legitimnog proizvođača software-a gdje se prvo iskoristi ranjivost na njihovoj stranici i zatim stavi maliciozni trojanac u legitiman software
2. Watering-hole je napad gdje se korisnik preusmjerava s legitimne stranice na napadačevu stranicu gdje preuzima maliciozni software bez da to primijeti.

PLC uređaji su izrazito jednostavni, ali to ne znači da je njihova sigurnost manje bitna od ostalih dijelova sustava. Iz navedenih napada možemo vidjeti koliko opasne posljedice napada mogu biti i koliko štete mogu prouzročiti. Ne postoji jedan krivac u ovim sigurnosnim incidentima. Korisnici PLC uređaja isto kao i proizvođači moraju više razmatrati sigurnost njihovog okruženja. Proizvođači moraju biti transparentniji i omogućiti penetracijskim testerima potrebne alate kako bi se što lakše pronašle ranjivosti. Iako su PLC uređaji intelektualno vlasništvo proizvođača njihova sigurnost se ne bi trebala temeljiti na načelu “security through obscurity” (Sigurnost kroz zaborav). Inženjeri trebaju imati redovite edukacije kako bi ih se osvijestilo o najboljim praksama i potencijalnim greškama koje rade. Potrebno je provoditi i redovita testiranja sigurnosti sustava.

[1] Hajda, J.; Jakuszewski, R.; Ogonowski, S. Security Challenges in Industry 4.0 PLC Systems 2021.

[2] Wikipedia: Programmable logic controller

[3] Wikipedia: LogicLocker

[4] CSOnline Članak:What is stuxnet, who created it and how does it work

[5] Wikipedia: Stuxnet

[6] Wikipedia: Industroyer

[7] Sigurnosni izvještaj tvrtke Eset o Industroyer crvu

[8] Wikipedia: Havex