Haker zatruł wodę w wodociągach, przez internet
O ciekawym incydencie, który mógł zagrażać życiu i zdrowiu kilkunastu tysięcy ludzi informuje szeryf z Florydy. W piątek ktoś włamał się do wodociągów w habstwie Pinellas i zwiększył stężenie wodorotlenku sodu stukrotnie.
“W tym można rozpuszczać zwłoki”
Wodorotlenek sodu jest stosowany przez wodociągi na Florydzie do sterowania kwasowością wody. Włamywaczowi udało się wpłynąć na jego stężenie, które zmienił do wartości 11000 ppm, ale na szczęście pracownik wodociągów zauważył tę zmianę i błyskawicznie przywrócił poprawne parametry. Władze uspokajają, że nawet jeśli pracownik nie przywróciłby ustawień ręcznie, to zadziałałyby inne systemy bezpieczeństwa m.in. monitorujące pH wody. Dodają też, że woda o zmienionych parametrach trafiłaby do mieszkańców i tak najwcześniej następnego dnia.
Gdyby jednak tak się nie stało, to skutki kontaktu z wodorotlenkami sodu mogły być tragiczne. Jakie? O wyjaśnienia poprosiliśmy Wojciecha Orlińskiego, nauczyciela chemii:
Jeżeli w tym artykule nie ma pomyłki w liczbach, to jest to bardzo wysokie stężenie NaOH (…) gwarantujące pH przekraczające 13. Przy takiej wartości to już nie tyle zatrucie, co poparzenie silną zasadą – po prostu woda w kranie zamieniłaby się w udrażniacz rur, zwany potocznie “kretem”. W tym można rozpuszczać zwłoki! W razie kontaktu ze skórą nie zeżre nam tak od razu, zdążymy opłukać wodą… no ale tutaj “woda” z kranu jeszcze pogorszy sytuację. A w razie wypicia… boję się myśleć, po prostu jakby pić wrzący olej. Zniszczy błony śluzowe i wszystko na swojej drodze.
Wbił się przez TeamViewera
Jak się okazało, atakujący do systemu uzyskał dostęp dwa razy. Za każdym razem na kilka minut, podczas których swobodnie zmieniał parametry w interfejsie. Choć praca włamywacza w systemie była obserwowana przez pracownika, to nie wzbudzała podejrzeń, bo do tego systemu zdalny dostęp regularnie wykorzystywał przełożony pracownika. Ruszający się kursor myszy był “normalnością”. Dopiero po tym incydencie władze wodociągów zdecydowały się na zablokowanie zdalnego dostępu do swoich systemów.
Wodociągi korzystały z TeamViewera — nie jest jednak jasne, jak włamywacz przejął nad nim kontrolę. Czy hasło pozyskał, a jeśli tak to skąd, czy odgadł?
Trudno uwierzyć, że to pierwszy raz
Aż dziwne, że takich incydentów jest tak mało. Niestety sporo HMI (Human-Machine Interface) różnego rodzaju rozwiązań ICS (w tym SCADA) / automatyki przemysłowej jest dostępnych z poziomu internetu. Aktualne dane z Shodana (dla Polski podaje 1600+ hostów):
Systemy te można, jak widać powyżej, łatwo znaleźć właśnie na Shodanie. Tu przykład panelu sterowania browarem:
Po internecie krąży też screen z panelu sterowania chyba (?) fabryki ogórków. Niestety gdzieś nam się zapodział screen, ale może któryś z Czytelników ma mirrora?
Wracając do HMI wystawionych do internetu. Do niektórych da się dostać się albo za pomocą prostych, domyślnych haseł albo wykorzystując proste błędy w panelach logowania, omijających uwierzytelnienie. Bo większość systemów automatyki przemysłowej nie była tworzona z myślą o “dostępie” do nich z poziomu niezaufanej sieci, z poziomu internetu. W dzisiejszym świecie jednak, zwłaszcza tym pandemicznym, zdalny dostęp jest coraz bardziej pożądany. Ale nie zawsze wdrażany z głową i odpowiednimi zabezpieczeniami.
Nie wpadajmy jednak w panikę. Choć wszystko wydaje się przerażające to jest jedna rzecz, która powoduje, że jeszcze nie pijemy “kwasu z kranów” a nasze jednofazowe gniazda wtykowe (zwane kontaktami) nie zioną ogniem.
To prawda, że rozwiązania ICS/OT bywają dziurawe jak sito, ale pocieszające jest to, że często złośliwa zmiana nastawów, np. w elektrowni spowoduje wzbudzenie sprzętowych mechanizmów bezpieczeństwa, które mają na celu zapobiec tragedii, awarii lub po prostu błędom upoważnionych pracowników. I na szczęście sprawdzają się też w przypadku takich ataków hackerskich (choć nie zawsze). Oby sprawdzały się jak najczęściej.
PS. Jeśli ktoś z Was ruszy po tym artykule na poszukiwania HMI w Shodanie, to zanim poklikacie po jakimś interfejsie, dwa razy się zastanówcie co robicie. To nie zwykły “pecet”. I nie zawsze będzie to też honeypot. Choć czasem będzie ;->
0 komentarzy