استاکس‌نت و خدماتش به امنیت جهانی!

ابوالفضل کریمی: با وجود آن‌که در نگاه اول به نظر می‌رسد کرم استاکس‌نت فقط برای ایجاد اختلال در برنامه‌ هسته‌ای ایران طراحی شده، اما نرم‌افزارهای کنترلی کارخانه‌ها و مراکز مهم آن‌قدر ساده توسط این کرم هدف قرار گرفتند که محققان امنیتی را به فکر جستجو برای کشف ضعف‌های احتمالی در سیستم‌های مهم خود انداخت.

به گزارش نیوساینتیست، اکنون کارشناسان امنیتی ده‌ها تهدید و حفره امنیتی را در نرم‌افزار نظارت، کنترل و اطلاع‌گیری (SCADA) پیدا کرده‌اند که اکثر زیرساختارهای ملی و کارخانه‌های سازنده در سراسر جهان به طور کامل به آن‌ها وابسته هستند.

در طول هفته گذشته، کارشناسان کامپیوتری در ایتالیا، روسیه و آمریکا جزئیاتی را در مورد تهدیدات و ضعف‌هایی که در چندین بسته SCADA پیدا کرده بودند به صورت آنلاین منتشر کردند. بسیاری از این بسته‌ها برای خودکارسازی عملیات متفاوت در بخش‌های مختلف از جمله نیروگاه‌های برق، واحدهای صنعتی تصفیه آب، پالایشگاه‌های نفت، کارخانه‌های تولید غذا و مانند آن مورد استفاده قرار گرفته‌ بودند.

البته تاکنون هیچ کدام از این حفره‌ها و مشکلات امنیتی توسط کرم استاکس‌نت مورد هدف قرار نگرفته، اما دانشمندان با بررسی نمونه‌هایی کدهای مخرب اثبات کردند که این تهدیدات نرم‌افزاری کاملا جدی بوده و باید هرچه سریع‌تر برای رفع آن‌ها اقدام کرد.

اگر یک هکر بتواند از حفره‌های امنیتی شناسایی شده استفاده کند، ممکن است به طور کامل نرم‌افزارهای SCADA را از کار انداخته یا دسترسی اپراتورها را به اطلاعات ارزشمند قطع کند. حتی ممکن است فرد خرابکار بتواند فرآیندهای صنعتی آن بخش را در دست گرفته و به طور کامل عملیات دلخواه خود را اجرا کند.

این تهدیدات آن‌قدر جدی بودند که گروه فوریت‌های امنیت رایانه‌‌ای آمریکا (US-CERT) از مراجع مسوول در مورد نرم‌افزار SCADA درخواست کرد برای برطرف کردن حفره‌های امنتی هرچه سریع‌تر شروع به کار کنند.

حفرها در سراسر جهان
حفره‌های و ضعف‌های امنیتی SCADA در تاریخ 17 مارس توسط تیم امنیتی Gleg در مسکو همراه با 11 مثال فاش شد. بلافاصله بعد از گلگ، لوئیجی آریما یک تحلیل‌گر مستقل در ایتالیا فهرستی از 34 تهدید امنیتی دیگر را منتشر کرد که طبق ادعای او، نرم‌افزارهای صنعتی نوشته شده توسط زیمنس در آلمان، آیکونیکس در ماساچوست، 7-Technologies در دانمارک و دیتاک در ایرلند نسبت به این حملات آسیب‌پذیر هستند. سپس US-CERT خودش حفره‌هایی را در یک سیستم که توسط اکاوای کوآلالامپور در مالزی ساخته شده بود کشف کرد.

مشکلات SCADA شامل طراحی‌های نرم‌افزاری بود که برای نمونه اجازه می‌داد رشته‌های اطلاعاتی بسیار طولانی به عنوان ورودی‌های معتبر پذیرفته شوند. به این ترتیب بعد از سرریز شدن بافر، حافظه برنامه مختل شده و اجازه اجرا به دستوراتی داده می‌شود که به هکرها امکان کنترل کردن از راه دور تجهیزات را می‌داد.

اگرچه بعضی از مجرمان فضای سایبر این اطلاعات را در بعضی از فروم‌ها به فروش می‌رساندند، اما محققان امنیتی درستکار اغلب این مشکلات را به نویسندگان نرم‌افزار اطلاع می‌دهند تا آن‌ها بتوانند این حفره‌های امنیتی را اصلاح کنند. برخی دیگر نیز مانندن گلگ و آریما اطلاعات را به صورت آنلاین منتشر می‌کنند تا کدنویسان را به اصلاح این مشکلات ترغیب کنند.

ساکیر سزر یک مهندسی امنیت شبکه از دانشگاه کوئین واقع در بلفاست انگلستان در این باره می‌گوید:« ممکن است این حفره‌ها توسط رقبای شرکت‌ها با اهداف جاسوسی، خرابکاری و حتی اخاذی کردن و حق‌ السکوت گرفتن استفاده شود. حتی برخی از شرکت‌ها ممکن است به یک تیم از هکرها پول بدهند تا آن‌ها به رقبای خود حمله کرده و به این ترتیب زمان عرضه محصولاتشان را به بازار به تاخیر بیندازند.»

SCADA ها معمولا برنامه‌های مبتنی بر ویندوزی هستند که به عنوان یک واسط برای کامپیوترهای بزرگ و بدون کیبورد با نام کنترل‌های منطقی قابل برنامه‌ریزی(PLC) عمل می‌کنند. این PLC فعالیت‌های تجهیزاتی مانند بازوهای روباتی، نقاله‌های حمل‌ و نقل، ماشین‌‌آلات نساجی، پرس‌های فولادی، حسگرها و دریچه‌ها را کنترل می‌کنند. آن‌ها کاری را انجام می‌دهد که با SCADA ها با برنامه‌های خاص به آ‌ن‌ها می‌گوید. بنابراین باید برای جلوگیری از دسترسی غیر مجاز به SCADA ها حداکثر تلاش صورت بگیرد.

استاکس‌نت که از طریق فلش‌های یو‌اس‌بی باقی‌مانده در نیروگاه ایرانی و طی یک حمله "مهندسی اجتماعی" منتقل شد. این کرم سپس حفره‌های امنیتی ویدوزهای غیر مطمئن استفاده کرده و به داخل برنامه SCADA در نیروگاه غنی‌سازی نطنز نفوذ کرد. این نرم‌افزار سپس کدهایی را وارد سیستم کرد که می‌توانست باعث افزایش یا کاهش سرعت موتورهای سانتریفیوژ‌ها شده و به این ترتیب توانست بیش از 400 ماشین را تخریب کند. سازنده هر دو برنامه(SCADA (WinCC و (PLC (S7-300 شرکت زیمنس بود که توسط استاکس‌نت مورد حمله قرار گرفتند.

اقدام سریع
شرکت زیمنس بعد از آن‌که در فهرست اخیر آریما قرار گرفت، به سرعت وارد عمل شد. الکساندر ماکویتز سخنگوی زیمنس در این باره گفت: «این بار اطلاعات منتشرشده به سرعت تحلیل شد. از 6 مورد نقص اعلام شده 5 مورد سریعا اصلاح شد و با تغییر پیکربندی هم می‌توان مشکل ششم را حل کرد.»

آریما پس از آن‌که از طریق سایت نیوساینتیس متوجه شد زیمنس به سرعت مشکلات را برطرف کرده، گفت: «این خبر بسیار خوبی است. من انتظار نداشتم آن‌ها با این سرعت بتوانند نواقص موجود را برطرف کنند. اما برخلاف آژانس‌های دولتی، شرکت‌هایی که SCADA ها را ساخته یا از آن‌ها استفاده می‌کنند نسبت به هشدارهای داده شده واکنش مناسب و سریعی از خود نشان نداده‌اند.»

سزار در این باره گفت: «چیزی که در این جا مورد نیاز است طراحی روشی است که این سیستم‌ها بتوانند حملات را شناسایی و از آن‌ها اجتناب کنند. به همین دلیل این هفته اتحادیه اروپا بر سر بودجه 4 میلیون یورویی برای پروژه تحقیقاتی دفاعی SCADA توافق کرد. از جمله تمهیداتی که در این باره اندیشیده شده می‌توان به محدود کردن دسترسی به اینترنت توسط SCADA به کم‌ترین حد مورد نیاز اشاره کرد. »

سزار که تیم او نیز بخشی از پروژه است در این باره گفت: «شما می‌دانید که SCADA به چه نوع ترافیک اینترنتی نیاز دارد، بنابراین شما باید بتوانید با استفاده از پروتکل‌ها بسته‌های اطلاعاتی را بررسی کرده و حملات احتمالی را تشخیص بدهید.»

50132