Причина взлома очистных сооружений в США — один пароль TeamViewer на всех и отсутствие брандмауэра

    Власти штата Массачусетс опубликовали предупреждение компаниям-поставщикам услуг по водоснабжению в связи с инцидентом со взломом водоочистных сооружений во Флориде, которое произошло 5 февраля в городе Олдсмар на западе штата. В сообщении они ссылаются на уведомление ФБР о произошедшем взломе.

    Согласно предупреждению, причиной инцидента стали многочисленные нарушения со стороны сотрудников и руководителей предприятия. Злоумышленники использовали слабые стороны кибербезопасности на очистной станции, пишет Ars Technica со ссылкой на сообщение ФБР. Благодаря этому им удалось захватить контроль над предприятием на короткое время, что в итоге могло привести к непоправимым последствиям. 

    Так, утверждается, что злоумышленники получили доступ к программному обеспечению SCADA, которое управляет работой станции, через сервис удалённого доступа TeamViewer. По данным властей, сотрудники очистной станции использовали один и тот же пароль для входа в систему. Кроме того, предприятие использовало компьютеры с устаревшей 32-разрядной Windows 7, на которых, помимо прочего, отсутствовал брандмауэр. 

    Скриншот сообщения ФБР для компаний, оказывающих услуги по водоснабжению
    Скриншот сообщения ФБР для компаний, оказывающих услуги по водоснабжению

    Власти опубликовали список рекомендаций для поставщиков воды. В нём они посоветовали ограничить использованием программ удалённого доступа для подключения к системам SCADA — особенно в том случае, если с их помощью осуществляется контроль над физическими процессами. Также власти рекомендуют использовать актуальные версии ПО и брандмауэров, ввести двухфакторную аутентификацию с надёжными паролями и работать только в безопасных сетях. 

    Сотрудники водоочистной станции в Олдсмаре и городского офиса не ответили на просьбу прокомментировать публикацию властей Массачусетса. 

    5 февраля неустановленные лица на несколько минут захватили контроль над системами водоочистной станции в Олдсмаре и увеличили концентрацию щёлочи в воде в 111 раз. Операторы своевременно заметили это и вернули значение параметра к исходному. В результате количество попавшего в систему гидроксида натрия оказалось минимальным, а потребителям ничего не угрожало, утверждал шериф округа Пинеллас Боб Гуалтьери. Тем не менее, власти обеспокоились произошедшим, поскольку последствия могли быть более существенными — высокие концентрации щёлочи вызывают раздражения кожи и глаз, а также химические ожоги в более тяжёлых случаях.

    Similar posts

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 48

      +5
      5 февраля неустановленные лица на несколько минут захватили контроль над системами водоочистной станции в Олдсмаре и увеличили концентрацию щёлочи в воде в 111 раз.

      Чисто теоретически, зачем система вообще позволяет увеличить этот показатель в 111 раз.
        +15

        Там скорее всего насос-дозатор жидкого раствора щелочи и объем определяется временем включения.
        Люди сделали систему, управляющую критической инфарструктурой, с удаленным доступом через Интернет, причем посредством teamviewer. Вряд ли эти же люди могли предусмотреть весьма неочевидную блокировку про времени работы насоса.

          0

          Люди которые устанавливали насосы должны были подумать про блокировку вне зависимости от типа доступа к насосу.

            +14

            Я видел много схем управления. Подобную защиту никогда не видел и, по большому счету, нужды в ней не вижу. У людей, работающих в подобных местах, слишком много способов накосячить, чтобы от всех аппаратно страховаться.

              +15
              Вот пример того, как гуляет расход воды с водопроводных станций в течении суток:
              imageИ это в штатном режиме работы, а бывают еще и всякие нештатные ситуации. Поэтому дозирующее оборудование на станциях водоподготовки должно обеспечивать достаточно большой запас производительности.
                –5

                К сожалению по графику непонятно в каких единицах расход — но вот что-то терзают смутные сомнения что он может отличаться аж на два порядка в течение суток — а расход щёлочи скорее всего линейно зависим от расхода и он был превышен в 111(!) раз.


                В самом крайнем случае можно жёстко привязать расход одного к расходу другого, хотя бы в каких-то разумных границах.


                Просто реально странно — раз уж от этого жизнь и здоровье зависят, то должны быть какие-то защитные меры, хотя бы от самих операторов.

                  +2
                  Ну в нижней точке он порядка единицы (не важно, чего) в верхней — порядка 40 (того же). Не два порядка, конечно, но близко.
                    0
                    Расход и более чем на 2 порядка изменяется — утренний и вечерний пики, ночной и дневной спады. Ну а какие меры? Реакция изменения pH большого объема воды будет растянутой по времени до 20-30 минут. Как защита от «дурака» раз в некий промежуток времени, обычно час, оператор берет воду на анализ и проверяет в лабораторных условиях. Соответственно защита со стороны оператора тут и сработала.
                      0

                      Имеем:


                      • расход воды в единицу времени (он измеряется — раз есть графики, и судя по ним чаще чем раз в 30 минут);
                      • расход щёлочи в единицу времени (даже если не измеряется то вычисляется по положению клапана или что там регулирует расход).

                      Может я ошибаюсь (совсем ничего не знаю про устройство очистных станций), но разве не достаточно ограничить дозу щёлочи исходя из максимально допустимой дозы для конкретного расхода воды, или хотя бы бить тревогу если дозатор открыт больше чем максимально допустимо? Причём в этом случае время реакции на "что-то не то" будет гораздо меньше чем 20-30 минут.

                        0

                        Я так понимаю, проблема в том, что если достаточно тщательно проработать все эти вопросы — ручное управление оператором станет уже не нужно. А если оператор всё же сидит и управляет этим расходом — значит, по какой-то причине модель расхода щёлочи не проработана.

                          0
                          Скорее всего в штатном режиме работы системы дозирования ручное управление оператором и не используется. Но оно все равно имеется на случай работы в нештатном режиме. Например, при пропадании или недостоверности показаний какого-либо датчика (хотя бы того же расходомера).
                            0

                            Да, дозация идёт по показаниям pH метра. Оператор проверяет его показания в лаборатории и если, что-то пошло не так, переходит на ручной режим. В мат модели, к сожалению, очень много возмущающих факторов — простыми моделями идеального перемешивания и т.д. тут не обойтись.

                      +3
                      К сожалению по графику непонятно в каких единицах расход
                      Те графики, что я привел — в кубометрах в час.
                      но вот что-то терзают смутные сомнения что он может отличаться аж на два порядка в течение суток
                      Я привел данные с одной из реально работающих систем (более конкретно в каком именно городе, извините, не скажу).
                      Правда я тоже немного слукавил и привел данные по расходу на ПНС (повысительной насосной станции). На станции водоочистки расход немного сглажен за счет РЧВ (резервуар чистой воды), но тоже колеблется в значительных пределах.
                      В самом крайнем случае можно жёстко привязать расход одного к расходу другого, хотя бы в каких-то разумных границах.
                      Это все логично и работает пока все функционирует штатно. Вот накрылся или, что еще хуже, стал врать расходомер и вся эта логика ломается, а воду подавать все равно нужно.
                      Просто реально странно — раз уж от этого жизнь и здоровье зависят, то должны быть какие-то защитные меры, хотя бы от самих операторов.
                      А еще жизнь и здоровье людей зависит от самого бесперебойного подачи воды. Подачу холодной воды, в отличие от горячей, перекрывать ни в коем случае нельзя — остановка холодного водоснабжения считается очень серьезным ЧП. Поэтому системы строятся так, чтобы оператор мог, в случае необходимости, обеспечить работу системы даже в случае выхода из строя части датчиков, или их недостоверных показаниях.
                        +1

                        Защитные меры должны быть реализованы вне системы, иначе отказ системы приведёт к отказу защиты. Конечно круто было бы тройное резервирование с прогностическими моделями но это водоподготовка а не АЭС (когда унитаз взорвётся тогда и сделаем).
                        Касательно разумных ограничений в железе — не всегда это целесообразно, тот же дозатор для обслуживания может требовать расходов много больших штатного.
                        В конечном счёте важно одно — проблема была обнаружена тогда когда нужно, и устранена сразу после обнаружения. Системы защиты сработали, дальше можно принимать шаги по минимизации риска повторения в будущем, или не предпринимать. Если бы это была механическая поломка то мы бы об этом инциденте даже не узнали.

                  +3
                  Хакер-то, похоже, непростой — не только знал пароли, дыры в безопастности, но и какие действия могут нанести максимальный ущерб. Похоже на месть бывшего сотрудника станции или разработчика системы
                    +2

                    Я, наоборот, мону поспорить, что совершенно случайный взлом. Открылось перед хакером окно скады, он нажал там что-то и все.

                      +2
                      Я помню в одной книге по управлению персоналом читал, как рабочие в каком-то американском городе отомстили за невыплату зарплаты — переключили задвижку, соединив трубы горячей и холодной воды в строящемся небоскребе. Холодная вода там подавалась под большим давлением, горячая нет, т.к. нагревалась уже непосредственно внутри здания (там была своя котельная). Холодная вода выдавила горячую и все протекло с верхнего этажа до нижнего, полностью уничтожив отделку. Но чтобы такое сделать — надо было очень хорошо знать систему.
                        +1

                        В небоскребах вода нагнетается насосами на верхние этажи.


                        Давление холодной и горячей воды одинаково, потому что газовые колонки везде свои, давление на входе колонки от холодной воды и горячей на выходе одинаковы.


                        Лучше заслонку в канализацию сделать, посредине небоскрёба. Их там правда нет, зато есть очистные люки, забить можно при наличии желания

                    0

                    Можно предположить, что это нужно для чистки трубопроводов станции: закрывается подача воды потребителю, включается внутренний контур, подаётся высокая концентрация каустической соды.

                    0
                    Google, помоги братьям своим меньшим
                      +1
                      Какой подарок взломщикам- безответственность и халатность
                        +4
                        Что, ржд уже не самая беззащитная?
                          +8
                          Все беззащитны. Вообще. Вопрос только в потенциальном ущербе. Попасть на деньги в случае с ржд, или, там, не знаю, условно стрелки куда не надо перевести — это одно. А тут реально жесть какая-то. Просто люди попили бы воды и хз чё там случилось бы дальше. В масштабах города такое замутить, это надо быть злючим мудаком. Что ржд, что очистная станция, везде люди работают. Везде людям поболту. И никакая система этого не исправит. Просто безответственные чуваки окажутся на уровне выше и так далее по этой лесенке ответственности. У нас на работе разраб при любом удобном случае напоминает бизнесу, что любая их хотелка должна быть заверена подписью ИБшников. Потому что он, считая, что эта хотелка потенциально опасна, не хочет отвечать за любой инцидент, связанный с этой хотелкой. И это абсолютно правильный подход. Ну а в случае с ржд и этой станцией, видимо, всем было плевать и никто не думал, что может произойти какая-то неприятность. Хотя «неприятность» в случае с водой, это мягко сказано.
                            0
                            Вполне вероятно что хакеры вообще не поняли что они потрогали. Зашли посмотреть а, там какая-то скада, они подвигали настройки, ничего с виду не случилось и они ушли.
                            +9
                            Вчера заместитель гендиректора РЖД, кстати, охарактеризовал описанное в той статье, как «подтвердивишийся факт неправомерного доступа» и «провоцирование массовых атак», а также пообещал, что «оценку действиям автора дадут органы правопорядка».

                            В январе этого года пользователь под псевдонимом LMonoceros на одном из популярных сайтов опубликовал пост о взломе сети передачи данных компании и получении доступа к ресурсам двух дирекций, в том числе к камерам видеонаблюдения на вокзальных комплексах. В ходе расследования факт неправомерного доступа был подтверждён. Автор нашумевшей статьи воспользовался уязвимостью в настройке маршрутизатора, обеспечивающего сопряжение сети Интернет и не введённого в эксплуатацию сегмента обособленной информационной системы. Описав подробный сценарий действий и предположительные угрозы, он привлёк к сети РЖД внимание широкой аудитории хакеров как в России, так и из других стран. Таким образом, он спровоцировал массовые атаки на информационную систему огромной компании, от деятельности которой зависит безопасность миллионов пассажиров. С сожалением должен отметить, что массовое распространение непроверенной информации через СМИ только ухудшило ситуацию.
                            Факт наличия выхода этой сети в Интернет – тема внутреннего расследования, которое сейчас ведётся в компании. Не исключена намеренно оставленная уязвимость. С этим будет разбираться служба безопасности РЖД. А органы правопорядка, в свою очередь, дадут правовую оценку действиям автора этой публикации.
                              +1
                              он спровоцировал массовые атаки на информационную систему огромной компании
                              image
                            –2
                            Мы стали ставить двойные пароли и доступы — администратора и оператора на критически важные параметры оборудования очистных сооружений после того, как однажды бухой оператор чуть пол города миллионника не затопил фекалиями. Ему лень было следить за оборудованием, закрыл задвижку (у него был к управлению доступ) и проводок от сирены отрезал.
                              +4
                              Пароли не нужны, их всё равно будут забывать или записывать на бумажке. Выдать работникам смарт-карты — и всё. Критически важные операции выполнять по двум картам (оператор + начальник смены). Внутреннюю сеть физически изолировать (чтобы никто не подключился ни по какому тимвьюеру).
                                +1

                                Из всего этого достаточно только изоляции. Смысл во всех этих паролях и смарткартах, если любой присутствующий на территории может пойти и отверткой нужный пускатель или реле поджать.
                                Только интрефейс нормальный, чтобы оператор не мог случайно не то сделать.

                                  +3
                                  Проблема в том, что оператор это сделал не случайно. От осмысленных вредоносных действий защитится сложнее
                                    +2

                                    Да от них вообще не защититься. Я думаю, если персонал, к примеру, АЭС захочет ее взорвать, у них это без каких-либо проблем получится.

                                      +1
                                      Со старыми реакторами можно было поэкспериментировать (как в Чернобыле), новые вроде должны иметь дополнительную «защиту от дурака»
                                        +4
                                        Система двух ключей у двух людей, или доп.оператор который мониторит на удалёнке (один для многих АЭС), для подтверждения потенциально опасных действий. Вообще, одному человеку доверять жизни сотен тысяч людей не желательно. У него может поехать крыша или семью в заложники взять.
                                      +3
                                      может пойти и отверткой нужный пускатель или реле поджать.

                                      Это решается пломбами, физическими замками, сигнализацией, видеонаблюдением и т.п. Информационная безопасность не отменяет безопасность физическую.
                                      0

                                      Карты можно забыть или потерять

                                        +1
                                        Карта вешается на шею или на цепочку. И ничего не потеряется. А при уходе с работы карточка сдаётся охране. Впрочем, это уже детали.
                                        +2
                                        Вы придумали «Галю»! ))))
                                          +4
                                          Там этих критически важных операций по три штуки в час.
                                          Просто один человек будет вводить 2 пароля или прикладывать две карточки. А то и просто примотают скотчем и все.

                                          Защищаться от работников бесполезно. Поставить независимую от работников автоматику которая будет мониторить и орать можно и скорее всего даже нужно. И вот ее можно вывести через нелюбимый вами интернет в некий центральный мониторинговый офис.

                                          Отключать интернет это самая большая глупость которую только можно сделать. У вас не будет ни мониторинга удаленного, ни автоматизации, ни контроля. Ничего. А будут вот такие дыры, которые люди сами себе для удобства сделают.

                                          Лучше уж централизованно и безопасно доступ дать. Будь в этом случае у начальника легальный и правильный способ войти в сеть стал бы он такую чушь делать? Нет, естесвенно.
                                            0

                                            Мониторинг можно сделать SMS-ками.
                                            Я сталкивался с ситуацией, когда безопасники соглашались на интернет, но только чтобы трафик был только входящий — поставить диодики на витуху, чтобы ни одного байта не ушло :)

                                              0
                                              Мониторинг можно сделать SMS-ками.

                                              Мониторинг овер СМС. После получения такого тикета бежать из такого места надо.
                                              Медленно, ненадежно, да еще и денег прилично стоит. Хотя бы полсотни показателей хотя бы раз в минуту передавать.
                                          –1
                                          Это было 20 лет назад, тогда еще смарткарт не было
                                          +1
                                          слабые стороны кибербезопасности

                                          Шта?


                                          удалённого доступа TeamViewer
                                          использовали один и тот же пароль для входа
                                          устаревшей 32-разрядной Windows 7
                                          отсутствовал брандмауэр

                                          Как вообще комп с виндой 7 выставили в интернет, какого хрена на ней оказался тимвьювер, что за дичь с паролями? Да как они вообще до этого времени дожили?? Одни вопросы, никаких ответов.

                                            0
                                            Ну как, срочно нужно было инженеру подключиться, вставили Триджик модем да и остался там. Раньше тоже подключались, только еще был физический разрыв в сети, который включал техник по звонку и отправлял письмо в СБ.
                                            Еще начальство очень любит, когда техпроцесс можно смотреть из дома. Пришлось промежуточный сервер ставить, который в две стороны смотрит. ИСА, ВПН, доступ только с авторизированных ноутов, пароли…
                                            Вот пишешь по ТЗ защиты от «дурака», а потом утром на разборе смотришь какую дичь натворили. Вот прямой выбор шага, вот смена сорта на лету, вот симуляция сигналов. Пишешь рекомендацию запретить для операторов, только мастер/технолог. Ответ — мы должны быть гибкими.
                                              0
                                              Любая система должна быть гибкой и делать то что хотят пользователи.

                                              Доступ с определенного ноута или ноутов через интеренет это разумная и адекватная хотелка. Это можно сделать безопасно.

                                              Гибкость чтобы люди могли подменять друг друга это вообще мастхев. Люди знаете ли могут заболеть или просто на работу на прийти в случайных день. Это вообще не влияет на безопасность. Человек вошел под собой. В соответсвии с инструкцией у него есть права на такие действия. Так пусть делает.
                                            +1

                                            Вообще есть возможность сделать контроль подачи чего-то от расхода основного потока (например впрыск водорода в тройник смешения реактора гидроочистки, для поддержания идеального стереометрического баланса). Но это сделано не для защиты, а для автоматизации. Поэтому у человека, имеющего доступ к консоли всегда есть возможность изменить это соотношение или переключить с каскада в ручной режим и таким образом руками полностью открыть/закрыть подачу.

                                              0

                                              Голой пятой точкой в сети, просто прелестно.


                                              Разгильдяи использующие на работе привычные но не совсем правильные и удобные инструменты не редкость.
                                              Уже лет как 20 есть коробки помогающие настроить в той или иной мере секурное удаленное подключение. И куча других полезных инструментов.

                                                +2
                                                «предприятие использовало компьютеры с устаревшей 32-разрядной Windows 7, на которых, помимо прочего, отсутствовал брандмауэр.»
                                                А как замена «устаревшей 32-разрядной Windows 7» на «защищённую Windows 10» и установка брандмауэра помогут в ситуации, когда сконфигурирован постоянный доступ в систему с помощью TeamViewer?
                                                  –3
                                                  Давно уже пора приравнять хакеров к террористам, и вводить минимум пожизненное, а максимум смертную казнь.

                                                  Only users with full accounts can post comments. Log in, please.