"Пальчики + цифры" = поезд под откос. Что могут хакеры

Как взломать систему управления железной дорогой через интернет и зачем охотникам за банкоматами тепловизоры? Почему уязвимы все мировые системы управления техпроцессами и могут ли хакеры устроить техногенную катастрофу, обсуждали в Москве на международной конференции Positive Hack Days III.

Автор: Арсений Прудников

Как взломать систему управления железной дорогой через интернет и зачем охотникам за банкоматами тепловизоры? Почему уязвимы все мировые системы управления технологическими процессами и могут ли хакеры устроить настоящую техногенную катастрофу? В Москве прошла международная хакерская конференция Positive Hack Days III.

Черный лимузин "Mercedes" и множество молодых людей с пакетами ЛДПР – верный признак того, что где-то рядом находится лидер партии Владимир Жириновский. На форум Positive Hack Days 2013, который прошел в Москве 23-24 мая, он приехал анонсировать новый партийный проект "Интернет без наркотиков".  Его суть – сбор информации о наркоторговцах, которые предлагают в интернете "курительные смеси" и "легальные порошки", и передача этих данных правоохранительным органам.  Пока правда не совсем понятно, каким образом ЛДПР реализует такой проект – большинство подобных сайтов заблокированы провайдерами и даже в социальной сети "ВКонтакте", которую часто незаслуженно обвиняют в хранении незаконного контента, найти такие сообщества проблематично.  А достаточно ли в партии ЛДПР умелых интернет-разведчиков, которые ловко найдут ресурсы и форумы, продолжающие открыто торговать, вопрос сложный.  

"Хакеры работают молча - пальчики и цифры", - отметил Жириновский и даже предложил призывать компьютерных взломщиков в Вооруженные Силы, чтобы они работали в интересах кибер-безопасности страны. Лидер ЛДПР вообще был очень благосклонно к ним настроен и предложил также открывать по всей стране Дома хакеров, чтобы они могли оттачивать там свои навыки в поисках уязвимостей.   

Атаки на банкоматы 
На PHD проходили конкурсы, доклады и мастер-классы по самому широкому кругу тем: скрытые возможности iOS и Andorid, атаки на систему SAP, взлом и вывод денег через интернет-банкинг, вскрытие реальных замков и многое другое.

Например, как устроен банкомат и как воруют данные чужих карт – подробную демонстрацию провела эксперт Positive Technologies Ольга Кочетова. Оказывается, помимо скиммеров (накладки на карто-приемники, которые незаметно считывают данные карт), существуют трэппинги – специальные ленты, которые задерживают карту внутри и позволяют ее вытащить, когда владелец отошел в сторону. То есть если карту клиента банкомат зажевал – это не обязательно означает, что аппарат неисправен.

Трэппинг

Есть также кэш-трэппинги – это замаскированные ловушки, которые забирают деньги из отсека выдачи. Купюры, которые выдает банкомат, заворачиваются в маленький "карман", соответственно владелец карты, не знающий правил безопасности, денег не получает и уходит. Далее приходят мошенники, снимают свой кэш-трэппинг и забирают чужие средства. Скорее всего, такая схема может быть рассчитана только на невнимательных людей и едва ли может использоваться часто, но всегда нужно проявлять внимательность - читать информационные сообщения на экране банкомата и использовать смс-информирование обо всех операциях по карте.    

Также наряду со скиммерами могут применяться шиммеры – это тончайшее электронные устройства (0.1-0,2 мм), которые преступник засовывает в карто-приемник. Шиммер подключается к электронике банкомата и записывает данные вводимых карт. Определить шиммер в банкомате для рядового пользователя вообще невозможно, хоть он и не перехватывает пин-код.

Зато пин-код записывает накладная клавиатура или, например, тепловизор в руках мошенника, который подойдет к банкомату следом за жертвой и проверит, на каких кнопках осталось тепло пальцев.  Чтобы сбить с толку возможных мошенников и их аппаратуру, эксперты советуют выбирать сумму, которую вы хотите получить, не на 8 кнопках вокруг экрана, а на клавиатуре вручную.


Тепловизор считывает пин-код

Советы: всегда нужно осматривать банкомат на предмет наличия нештатной аппаратуры, проверять нет ли на нем маленьких видео-камер и зеркал. Разумеется нельзя допускать, чтобы кто-то подсматривал пин-код. Ну а если вы обнаружили скиммер или поддельную клавиатуру на банкомате, не пытайтесь их отломать – за банкоматом могут следить сами преступники, которые установили скиммеры, или спецслужбы, которые этих преступников ждут – это может закончиться очень печально 

А еще некоторым хакерам ничего не стоит превратить банкомат - по сути, обычный компьютер с Windows - в игровую консоль для игры в Angry Birds:

Угон поезда Choo Choo Pwn
Один из самых интересных конкурсов – захват системы управления железной дорогой. Системы, которые используются в ЖД-транспорте, по сути такие же, как те, которые управляют технологическими процессами на предприятиях и любых критически-важных объектах (АСУ ТП). К интерфейсам таких систем можно зачастую подключиться в Интернете или через подключенные к ним внутренние сети, которые также могут иметь подключение через интернет. 

На форуме был представлен игрушечный макет железной дороги, но система управления реальная. Она позволяет управлять как поездом, так и элементами железной дороги – стрелки, шлагбаумы, грузовой кран для погрузки контейнеров. Задача хакеров – подключиться к системе, используя уязвимости промышленных протоколов, и обойти аутентификацию SCADA-систем и веб-интерфейсов промышленного оборудования. Далее – работу системы управления можно нарушить разными способами.

Эксперты Positive Technologies рассказали, что в реальной жизни нередко можно встретить компьютерные системы для контроля железнодорожного транспорта, напрямую подключенные к интернету. То есть веб-интерфейс такой системы можно найти через Google, далее можно пройти различные уровни защиты (в первую очередь подобрать логин и пароль с помощью специальных программ) и перейти непосредственно к управлению железной дорогой. Более того, таким способом можно отправить управляющим компьютерам и диспетчеру ложные данные. Это может вызвать масштабный сбой оборудования или настоящую катастрофу. Такого рода атаки особенно опасны для подвижных составов, которые путешествуют полностью на автопилоте – без машинистов. Причем веб-интерфейсы российских железно-дорожных систем в России тоже можно найти в сети, говорят специалисты.   

"Инженеры в первую очередь делают так, чтобы все работало, а вопросы безопасности – вторичны", - пояснил специальному корреспонденту Вестей.Хайтек эксперт Positive Technologies Илья Карпов.

Техногенные кошмары SCADA   
Подобные системы управляют не только движением поездов – от них зависит вся критически-важная инфраструктура, которая обеспечивает привычную жизнедеятельность современных стран. Это атомные и гидроэлектростанции, нефтяные и металлургические заводы, газопроводы, системы водопровода и канализации, метрополитены, системы распределения электроэнергии и многое другое.

О критических уязвимостях АСУ ТП в целом и в частности на форуме говорили много. "То, что системы SCADA не подключены к интернету, это миф", - отметил замгендиректора Positive Technologies Сергей Гордейчик. Доступ в сеть они имеют главным образом для удобства обслуживания. В США, например, за работу разных критически-важных объектов отвечают сторонние сервисные компании. Промышленных компьютерных сетей с подключением к интернету там очень много, но от нападения они защищены лучше, тогда как в России таких систем гораздо меньше, но и защищены они хуже.

Таким образом, если эти системы подключены к интернету (напрямую или через офисные компьютерные сети), есть возможность их атаковать, внедрить вредоносный код и в конце концов перехватить управление или задать неверную обработку событий.

Статистика Positive Technologies об уязвимостях систем АСУ ТП  такова:

·       С 2010 года в 20 раз выросло число обнаруженных уязвимостей

·       50% уязвимостей позволяют хакеру запустить выполнение кода

·       Более 40% интернет-доступных систем могут взломать хакеры-любители

·       Треть доступных в интернете систем находятся в США

·       Уязвимы 54% интернет-доступных систем в Европе, 39% в США

·       Уязвима каждая вторая система в России, имеющая выход в интернет 

Дело не только в том, что эти системы подключены к интернету, но и в том, что программное обеспечение, используемое сегодня в SCADA, разрабатывалось еще в 90е годы, когда о вопросах безопасности мало кто задумывался. "В АСУ ТП нет ни одного компонента, которому можно доверять", - уверен главный архитектор ПО "Лаборатории Касперского" Андрей Духвалов. 

О том, что атаки на SСADA вовсе не миф, можно судить по истории с червем Stuxnet, который в 2010 году сбил управление урановыми центрифугами на ядерных объектах в Иране.

Другой интересный пример – в 2011 году весь мир облетела новость о том, что русские хакеры сломали канализацию в Иллинойсе. Со ссылкой на Антитеррористический разведывательный центр штата Иллинойс газеты сообщили, что некие злоумышленники из России вошли в компьютерную SCADA-систему, управлявшую водонасосной станцией, и вывели ее из строя. Как доказательство – российский IP-адрес, отобразившийся в логах системы управления.

Вскоре выяснилось, что инженер компании, обслуживающей компьютерную систему водонасосной станции, находился в отпуске в России и со своего смартфона зашел в систему через веб-интерфейс, чтобы произвести какие-то настройки. Соответственно станция сломалась по другим причинам, но русский IP-адрес остался, и это многое объясняет.

Разумеется, проблема актуальна не только для Ирана и США, но и для всего мира. И заключается она не только в том, что отсутствует нормальная защита. Важную роль играет и человеческий фактор - компьютеры для управления техническими процессами работники повсеместно используют для интернет-серфинга, а также вставляют в них флэшки. Это уже создает большую угрозу.

Уязвимости в системах SCADA открывают возможности не только для атак, но и для мошенничества штатного персонала. Например, сотрудники АЗС могут в свою пользу менять данные и логику подсчетов в кассовых и топливо-раздаточных аппаратах, обсчитывая клиента или свою компанию, рассказал Гордейчик.  

На форуме приводилась также статистика о том, что на первом месте по количество компьютерных инцидентов объекты ТЭК, на втором – объекты водоснабжения, на третьем – пищевая промышленность, а на четвертом – металлургия.

Все эксперты сходятся во мнении, что для безопасности жизнедеятельности общества нужна иная операционная система, которая будет работать только по заранее заданным сценариям.

Пока же злоумышленники могут, например, получить контроль над произведенной Siemens системой климат-контроля в здании через веб-интерфейс: