Proteggere l'approvvigionamento idrico - edizione hacker
- Categoria: Web-Reti-AF-OTT-IP
- Pubblicato: Venerdì, 12 Febbraio 2021 14:07
(non sono i temi tipici di presspool tuttavia data l'importanza dell'argomento siamo lieti di fare un'eccezione).
Abbiamo recentemente letto di un attacco contro l'approvvigionamento idrico a Oldsmar, in Florida e, siamo preoccupati per il potenziale di attacchi futuri e imitatori contro altri sistemi di trattamento dell'acqua malamente difesi in piccole città in tutto il mondo: cosa si può fare per arginare tali incursioni.
Nel caso della Florida, i criminali hanno utilizzato strumenti di accesso remoto per prendere piede e modificare i livelli di sostanze chimiche nell'approvvigionamento idrico, portandoli a livelli potenzialmente pericolosi.
Ciò è preoccupante, anche perché gli hacker normalmente dovrebbero acquisire una conoscenza specifica dei sistemi di gestione del trattamento dell'acqua, un target demografico molto specifico. Non è un attacco "spruzza e prega"; è mirato e richiede del tempo per essere creato e distribuito. E sebbene questo incidente non sia stato un attacco zero-day super furtivo, è probabile che qualcuno fosse interessato all'obiettivo per un po 'di tempo.
Dal punto di vista dell'aggressore (ovvero un tipico attaccante intenzionale che concepisce ed esegue un attacco ben congegnato), come potrebbe funzionare uno scenario del genere?
In primo luogo, gli aggressori identificano l'obiettivo, raccolgono informazioni e formano un piano. Una volta ottenuto l'accesso, devono quindi setacciare la rete per i sistemi di controllo che interagiscono direttamente con il processo di trattamento dell'acqua. Ancora una volta, questo può richiedere molto tempo e pianificazione.
Una volta identificati i potenziali bersagli, gli aggressori devono capire quale ruolo hanno questi bersagli nel processo chimico e quale accesso hanno questi sistemi alle apparecchiature fisiche coinvolte nella produzione, siano esse valvole, relè, sensori di livello, termocoppie o altri controlli.
Quindi devono creare un attacco specifico nel contesto che sono in grado di valutare lungo il percorso e quindi lanciare in un momento preciso che avrebbe le migliori probabilità di successo, il tutto mantenendo l'accesso non rilevato a tutti i sistemi della catena.
Nel caso di Oldsmar, una volta lanciato l'attacco, c'erano altri sistemi in atto che fornivano feedback in grado di avvisare il personale in tempo per affondare l'attacco.
Questa è la buona notizia.
La cattiva notizia è che avrebbero potuto essere sotto attacco silenzioso per settimane o mesi prima del vero tentativo di avvelenamento e non lo sapevano.
Il mio collega Tony Anscombe si chiede perché la struttura di Oldsmar non avesse un piano accuratamente controllato e implementato in conformità con le linee guida specifiche del settore CISA per i sistemi idrici e di acque reflue, comprese misure come l'autenticazione a due fattori (2FA) e controlli simili. È molto utile che queste linee guida siano rese disponibili per i piccoli comuni per accelerare rapidamente, anche se non hanno accesso ai ninja della sicurezza informatica sul personale, il che può essere molto costoso con i budget tipici delle piccole città.
Nel frattempo, aspettiamo di vedere futuri tentativi di exploit contro altri comuni. I tentativi di ransomware sarebbero un'ovvia tendenza successiva.
Cosa possono fare le piccole città? Dovrebbero prendersi il tempo necessario per comprendere e implementare la guida disponibile, che può essere semplice come aggiungere / applicare 2FA, applicare patch ai sistemi, implementare buoni processi di controllo delle modifiche (secondo i resoconti dei media, TeamViewer era stato sostituito come soluzione di accesso remoto in uso presso questo impianto di trattamento delle acque, eppure era ancora in funzione, esponendo l'impianto a Internet attraverso un'interfaccia non richiesta) e formando il personale sulla cyberhygiene.
Inoltre, fai un esercizio di pratica assumendo una violazione e "pensa come un hacker" per impedire loro di entrare. È anche una buona idea avere un piano in atto nel caso in cui si verifichi un attacco ransomware; in questo modo, le piccole città non dovranno affrontare la prospettiva insostenibile di spiegare ai cittadini perché hanno appena speso denaro pubblico per fermare un attacco che non sarebbe dovuto accadere in primo luogo.
https://www.welivesecurity.com/2021/02/11/protecting-water-supply-hacker-edition/
