-
08/10/2013
-
400
-
985 bài viết
Phân tích bộ dữ liệu mật khẩu mặc định của hệ thống SCADA
Ở bài viết Phương thức kẻ gian tấn công hệ thống OT thì bước đầu tiên là thu thập thông tin về hệ thống mục tiêu. Trong bước này kẻ gian sẽ dò quét mạng, xác định các thiết bị được kết nối, xác định vị trí địa lý của các thiết bị, thu thập mật khẩu mặc định, phát hiện các cổng đang mở và các dịch vụ đang chạy, v.v.. Trong hệ thống IT thì chúng ta đã quen với rất nhiều công cụ và kỹ thuật dò quét mật khẩu người dùng/hệ thống, đặc trưng là kỹ thuật tấn công dictionary attack với tập dữ liệu là các mật khẩu yếu, dễ đoán mà người dùng hay sử dụng. Đối với hệ thống OT thì đặc trưng là hệ thống máy móc công nghiệp tự làm việc với nhau, có tính tự động hóa rất cao. Các thiết bị máy móc này do một số hãng sản xuất chế tạo. Các thiết bị máy móc này cho phép người vận hành truy cập bằng tài khoản mặc định để quản lý, cấu hình. Đây là một điểm yếu dễ bị khai thác khi kẻ gian bằng cách nào đó đã xâm nhập được vào bên trong hệ thống OT.
CRITIFENCE (scadapass) là cơ sở dữ liệu trực tuyến lưu trữ mật khẩu mặc định của cơ sở hạ tầng quan trọng, SCADA, ICS và lloT. Những kẻ tấn công có thể sử dụng công cụ trực tuyến này để khám phá thông tin xác thực của thiết bị hoặc sản phẩm chỉ bằng cách nhập tên thiết bị hoặc tên nhà sản xuất của nó. Cơ sở dữ liệu liệt kê các thông tin như nhà cung cấp, mã sản phẩm, tên người dùng và mật khẩu mặc định, cổng sử dụng, loại sản phẩm, giao thức truy cập, nguồn thông tin tham khảo. (hình dưới)
Hình. Một phần cơ sở dữ liệu scadapass
Phân tích cơ sở dữ liệu này thì nhà sản xuất nhiều thiết bị nhất là Emerson (16) sau đó đến Siemens (12) và Schneider (13) như hình dưới.
Về chủng loại thiết bị, phần lớn các thiết bị là bộ PLC (24 bộ), sau đó là Router công nghiệp (17), Router thường (9) và các bộ Controller.
Giao thức truy cập vào quản lý thiết bị được sử dụng phổ biến nhất là http (59.3%)
Qua việc phân tích ở trên có thể thấy được sự phổ biến trong các sản phẩm của các hãng sản xuất, giao thức và số cổng thường được các hãng sử dụng. Từ đó có các hướng bảo vệ cho mạng SCADA bằng cách thay đổi tài khoản mặc định và kiểm soát giao thức/port truy cập.
CRITIFENCE (scadapass) là cơ sở dữ liệu trực tuyến lưu trữ mật khẩu mặc định của cơ sở hạ tầng quan trọng, SCADA, ICS và lloT. Những kẻ tấn công có thể sử dụng công cụ trực tuyến này để khám phá thông tin xác thực của thiết bị hoặc sản phẩm chỉ bằng cách nhập tên thiết bị hoặc tên nhà sản xuất của nó. Cơ sở dữ liệu liệt kê các thông tin như nhà cung cấp, mã sản phẩm, tên người dùng và mật khẩu mặc định, cổng sử dụng, loại sản phẩm, giao thức truy cập, nguồn thông tin tham khảo. (hình dưới)
Hình. Một phần cơ sở dữ liệu scadapass
Về chủng loại thiết bị, phần lớn các thiết bị là bộ PLC (24 bộ), sau đó là Router công nghiệp (17), Router thường (9) và các bộ Controller.
Giao thức truy cập vào quản lý thiết bị được sử dụng phổ biến nhất là http (59.3%)
Qua việc phân tích ở trên có thể thấy được sự phổ biến trong các sản phẩm của các hãng sản xuất, giao thức và số cổng thường được các hãng sử dụng. Từ đó có các hướng bảo vệ cho mạng SCADA bằng cách thay đổi tài khoản mặc định và kiểm soát giao thức/port truy cập.