Hakerzy pokazali, jak łatwo zhakować krytyczną infrastrukturę
Na skutek rosyjskiego cyberataku z połowy kwietnia, wymierzonego w jedną z największych firm energetycznych w Ukrainie, 2 mln mieszkańców tego kraju groził blackout - ostatecznie udało się go zneutralizować, ale zagrożenie było ogromne. Niestety holenderscy hakerzy nie mają dobrych wieści, bo jak właśnie udowodnili, podobne ataki można przygotować... dosłownie w 2 dni.
Tegoroczne mistrzostwa hakerskie Pwn2Own zostały rozstrzygnięte, a ich zwycięzcami okazali się “informatycy" z Holandii - to ich czwarte zwycięstwo w tym dorocznym konkursie organizowanym w Miami, za które zainkasowali 90 tysięcy dolarów. Wcześniej hakerzy triumfowali w 2012, 2018 i 2021 roku, ale to właśnie ich tegoroczne dokonanie powinno wywoływać niepokój wśród specjalistów od zabezpieczeń cybernetycznych.
Hakerzy przekonują, że infrastruktura przemysłowa to najłatwiejszy cel
Na tegorocznym konkursie Pwn2Own badacze bezpieczeństwa Daan Keuper i Thijs Alkemade postanowili wziąć na cel oprogramowanie do sterowania przemysłowego o nazwie "OPC UA". Ten protokół komunikacyjny o otwartym kodzie źródłowym jest używany na całym świecie do łączenia systemów przemysłowych, takich jak sieci energetyczne i innych elementów infrastruktury o znaczeniu krytycznym.
Holendrzy nie tylko zdołali włamać się do OPC UA, ale przyznali przy okazji, że był to... “najłatwiejszy" system, jaki zhakowali na konferencji hakerskiej - za dowód niech służy fakt, że zajęło im to tylko dwa dni. Nie trzeba chyba dodawać, że nie wróży to nic dobrego:
W przemysłowych systemach sterowania wciąż jest tyle łatwych celów. Zabezpieczenia mocno odstają. To zdecydowanie łatwiejsze środowisko do działania
Fakt, że do infiltracji systemu odpowiedzialnego za kontrolowanie systemów elektrycznych, wodnych i jądrowych potrzeba tylko dwóch hakerów i dwóch dni, jest naprawdę mocno niepokojący, szczególnie w kontekście konfliktu w Ukrainie. W zeszłym miesiącu Biały Dom ostrzegł amerykańskie korporacje, aby wzmocniły swoją cyberobronę na wypadek, gdyby Rosja próbowała zemścić się za amerykańskie sankcjach.
Podobne działania zabezpieczające i przygotowawcze prowadzone są zresztą na całym świecie, również w Polsce, bo warto pamiętać, że premier podpisał ostatnio choćby rozporządzenie o przedłużeniu na terenie całego kraju obowiązywania do 30 kwietnia trzeciego stopnia alarmowego CRP (CHARLIE-CRP) oraz drugiego stopnia alarmowego BRAVO.
Technology Review nie wspomniało, czy programiści załatali już tę lukę, jednak gospodarz konkursu Pwn2Own, Zero Day Initiative, stosuje politykę "nagradzania badaczy za dyskretne ujawnienie luk w zabezpieczeniach", więc można założyć, że tak właśnie się stało. Przypominamy, że Pwn2Own to konkurs hakerski organizowany od 2007 roku, w którym biorą udział tzw. białe kapelusze, czyli hakerzy specjalizujący się w wyszukiwaniu luk w zabezpieczeniach, ale w celu ich załatania i zapewnienia bezpieczeństwa zatrudniającym ich organizacjom czy instytucjom.