Nowa generacja specjalizowanych narzędzi do cyberataków zabije automatykę przemysłową cofając ją o kilkanaście lat w rozwoju …
W Europie zaczęło się niewinnie w 1347 roku w Messynie na Sycylii kiedy do portu przypłynęły okręty uciekinierów z Kaffy na Krymie. To ostatnie miasto było oblegane przez Tatarów, którzy nie mogąc porodzić sobie z obrońcami, sięgnęli po broń ostateczną i za pomocą katapult wrzucili do miasta zarażone zarazą zwłoki. Tą chorobą była Yersinia pestis (dżuma dymieniczna – bakteryjna – aczkolwiek niektórzy naukowcy skłaniają się w kierunku wirusowej dżumy krwotocznej). Niezależnie od nazwy i sposobu zakażenia (bakteryjne lub wirusowe) – efekt był piorunujący. Do wygaśnięcia w 1352 r, kolejno zaraza przechodziła przez Włochy, Hiszpanię, Anglię i Francję i właściwie całą resztę Europy, zadziwiającym przypadkiem omijając jedynie tereny Polski, przyczyniła się do wyginięcia około 1/3 ówczesnej populacji. Efekt był oczywiście globalny, bo czarna śmierć w Europie to końcowy akord wielkiej epidemii, która rozpoczęła się w Chinach i następnie wędrowała szklakiem jedwabnym redukując liczbę mieszkańców Azji i Europy o około 50 milionów (mniej więcej 10 % wszystkich ludzi). Po przejściu mors nigra, nic już nie było takie same, na niektórych obszarach wyginęło prawie 80 % populacji, a prawie 1/3 ziemi w Europie leżała odłogiem, cofając rozwój cywilizacyjny kontynentu o kilkadziesiąt lat. Okazuje się, że zastosowanie nowatorskich broni , rzadko kiedy ma charakter lokalny, bo uwolnienie śmiercionośnego „dżina z butelki” potem już nie oszczędza nikogo.
W sposób mniej spektakularny licząc śmiertelne ofiary ludzkie, ale nie mniej dramatycznie, patrząc przez pryzmat bajtów komputerowych rozpoczęła się od dwóch lat nowa faza wojen w cyberprzestrzeni, która w konsekwencji przyniesie zatrzymanie rozwoju technologii systemów komputerowych służących do sterowania instalacjami. Nowa epidemia nie będzie śmiertelna i tak powszechna, ale przyniesie izolację, wzmożoną ochronę danych i algorytmów i powrót do systemów „zamkniętych” jak przed pierwszymi latami 90-tymi ubiegłego wieku. Sam powód pierwszego ataku był pewnie i słuszny moralnie (dla atakującego) – zaczęło się w 2010 czymś o dźwięcznej nazwie Stuxnet, a chodziło o zatrzymanie lub spowolnienie irańskiego programu nuklearnego. Stuxnet to „nowa jakość” w dziedzinie złośliwego oprogramowania. Po raz pierwszy zaatakowano profesjonalnie sterowniki służące do kontroli maszyn i urządzeń, po raz pierwszy zrobiono to celowo, skupiając się na wybranych modelach i typach urządzeń i po raz pierwszy zrobiono to super profesjonalnie. Między innymi pierwszy raz dla elementów systemów automatyki użyto zmodyfikowanego rootkit-a (modyfikacja plików systemowych i ukrycie wybranych procesów, co wielokrotnie utrudnia detekcję wirusa) – a to już wyższa szkoła developerstwa, zakładająca niewątpliwie nie tylko wiedzę informatyczną a też dostęp do „serca” układów automatyki, ale i skala ataków dostępna prawdopodobnie jedynie dla cyberzawodowców będących na usługach państw, a nie wolnych strzelców lub anarchistycznych grup programistycznych. Istotny jest też cel ataków – po raz pierwszy chodzi o celowe uszkodzenie urządzeń i zatrzymanie procesów (co dalej można rozciągnąć na możliwość spowodowania wielu szerszych katastrof) choć skala zastosowanej technologii była tak duża, że prawdopodobnie łatwo pozwoliłaby na uzyskanie szybkich przychodów w postaci włamań do systemów bankowych i sprawnego czyszczenia kont lub modyfikacji transakcji.
Aby uzmysłowić sobie jak to jest możliwe trzeba wrócić trochę do historii automatyki przemysłowej.
Cyfrowe systemy sterowania rozwijały się wraz z technologiami komputerowymi, ale przez dłuższy czas jakby obok głównego nurtu informatycznego. Zazwyczaj stanowiły silnie wewnętrzną tajemnicę danego producenta, ze specjalizowanymi systemami operacyjnymi i często zastrzeżonymi protokołami wymiany informacji po magistralach (sieciach). Przełom nastąpił dopiero w pierwszych latach 90-tych (tu liderem był OVATION ówczesnej firmy Westinghouse) gdzie po raz pierwszy użyto standardowych komponentów – zarówno w architekturze (sprzęcie) jak i w samym oprogramowaniu. Ponieważ postęp w „tradycyjnej” informatyce był kilka rzędów wielkości szybszy niż w „informatyce przemysłowej”, przełożyło się to na analogiczny poziom obniżki cen – a więc za chwile już wszyscy producenci powszechnie zaczęli używać Windows jako systemu operacyjnego stacji operatorskich systemów DCS I SCADA, a klasycznego Ethernetu (no może w wersjach trochę przemysłowych – ale wciąż stricte niedeterministycznego protokołu) do transmisji danych w magistralach. Systemy staniały, stały się wielokrotnie bardziej otwarte, uniwersalne, łatwiejsze w programowaniu i umożliwiły wszechstronną automatyzację procesów ….ale też i pewnie niespotykane do tej pory możliwości.
Stuxnet jest czymś zupełnie nowym i z punktu widzenia informatycznego …mistrzowskim. Atakował jedynie wybrane modele urządzeń automatyki (sterowniki PLC S7 Siemensa i to wybranego typu) służące do regulacji napędów o zmiennej prędkości obrotowej (też unikatowe) i skupiając się na pozostaniu niewykrytym, realizował złowieszczy algorytm celowego zastąpienia układu regulacji (stworzonego w unikatowym dla PLC języku) który zmieniał prędkości obrotowe maszyn prowadząc do uszkodzeń – całość była opracowana dla jak najefektywniejszego uszkodzenia wirówek (urządzeń służących do wzbogacania uranu). Z jednej strony można powiedzieć, że epidemia została opanowana – pomimo uszkodzenia (wg niektórych danych) ponad 1000 irańskich wirówek, kolejne 4 tys. zostały nietknięte, a kolejne weryfikacje zarówno systemów operacyjnych (Stuxnet korzystał też z dziur w Windowsie i słabej aktualizacji nowymi patchami) zablokowały łatwy sposób rozprzestrzeniania się kodu. Zweryfikowano też i zmodyfikowano same PLC i wg producenta kolejne modele pozostaną bezpieczne. Stuxnet jednak jak dżuma, trochę wymknął się spod kontroli – z jednej strony zaczął atakować szeroko na świecie wszystkie instalacje, z drugiej, poprzez dokładne rozpoznanie zagrożenia, dał pożywkę dla wszystkich innych państw, które chciałyby mieć taką zabawkę dla siebie. Wkrótce wykryto coś nowego o dźwięcznych nazwach Duqu i Flame, a w newsach pojawia się obraz tajnej operacji pod kryptonimem „Igrzyska olimpijskie”.
Same problemy technologiczne to jedno , bardziej smutny jest efekt dla postępu technologicznego. Na razie zaatakowano PCS7 i WinCC (system quasi SCADA oparty na Windows), ale problem rozpoznany przez wszystkich producentów. Nikt już ochoczo nie będzie produkował systemów „otwartych” , a i sama wiedza dotycząca rozwiązań technicznych zostanie nieuchronnie utajniona. Już dziś nowe systemy sterowania nie maja możliwości podłączenia pen-drivów (tak wskakiwał do systemu Stuxnet i jego następcy) a każdy musi sobie uzmysłowić jak skutecznie utrudnia to prowadzenie prac dla inżynierów obiektowych. Systemy automatyki odpowiedzialne za instalacje są obecnie praktycznie zupełnie odcinane od świata zewnętrznego i w zadziwiający sposób za chwile będą podobne do swoich zamierzchłych przodków ze specjalizowanymi systemami operacyjnymi, specjalnymi algorytmami i maksymalnie „wiedzą tajemną” dla wszystkich na zewnątrz. Sami sobie zgotowaliśmy ten los i cała epidemia musi przetoczyć się przez świat automatyzacji, skutecznie cofając nas w rozwoju o kilkanaście lat do tyłu. Chyba bardzo ograniczy to możliwość stosowania cyfrowych magistrali obiektowych, nie mówiąc już o bezprzewodowych (WiFi) – systemach pomiarowych, które na razie będą czekały w kolejce na nowe osiągnięcia w dziedzinie bezpieczeństwa. Ogólnie – wracamy do czasów „ciemności” gdzie niewiele rzeczy będzie udokumentowanych i dostępnych dla inżynierów, a wrócimy do izolowanych , hermetycznych systemów z algorytmami opracowanymi tylko dla wybranego klienta. Będzie na pewno bezpiecznie …ale i smutno bo o rozwój tak jak w najlepszych dla nauki latach 90-tych będzie trudno – no chyba że skupimy się jedynie na kryptografii, szyfrowaniu i informatycznej kontroli bezpieczeństwa. Niestety … krytyczne systemu automatyki (w tym energetyka) nieodwołalnie przechodzi w ręce speców od bezpieczeństwa, a technologia bardziej będzie nadzorowana i rozwijana przez wojskowych … a Ci jak wiadomo bardziej zawsze specjalizują się w ataku niż w pokojowej koegzystencji i wymianie informacji …
Problemem chyba nie są algorytmy sterowania, a raczej komunikacja pomiędzy urządzeniami. Protokoły profibusowe, modbusowe etc. mają już sporo lat na karku a wciąż nie widać ich następców. Czy wynika to z tego że są w pełni rozwinięte, wystarczające? Bo dla bardzo dużych obiektów zawsze pojawią się jakieś problemy czy komplikacje. Komunikacja bezprzewodowa? Moduły GPRS-owe, komunikacja po bluetooth – problem z zasięgiem, zakłóceniami, no i większe ryzyko że ktoś z zewnątrz będzie chciał nam namieszać.
Może i to dlatego, że jestem w tej branży od niedawna, nie widzę w 100% zadowalającego rozwiązania,
pozdrawiam!