Internet ogledalo-Specijalno izdanje: Business Security IO 189 BUSINESS SECURITY - Page 33

Eksperti ICS CERT tima kompanije Kaspersky Lab su analizirali arhitektu- ru OPC UA protokola i njegova rešenja. Oni su ispitali njegov otvoren kod (dostupan na GitHubu), uključujući i uzorak servera, i otkrili da su postojeće implementacije protokola sadržale u sebi greške vezane za projektova- nje i pisanje koda. Ove greške ne bi smele da budu prisutne u ovako široko rasprostranjenom infrastrukturnom softveru od ključnog značaja. Sve u svemu, 17 prethodno nepoznatih ra- njivosti u rešenjima OPC fondacije je identifikovano i prijavljeno developeri- ma, koji su ih sanirali na odgovarajući način. Takođe, ICS CERT tim kompanije Kaspersky Lab analizirao je softver koji su razvila treća lica u skladu sa ovim industrijskim protokolom, uključujući rešenja koja su razvili vodeći prodavci u okviru industrije. U većini slučajeva, oni su otkrili da su mane izazvane time što developeri nisu pravilno koristili neke od funkcija za implementaci- ju protokola. U drugim slučajevima, ranjivosti su bile posledica neispravnih modifikacija izvršenih nad infrastruk- turom protokola. S toga, eksperti su otkrili nebezbednu implementaciju funkcija u okviru komercijalnih rešenja, uprkos činjenici da originalna imple- mentacija OPC fondacije nije sadržala ove greške. Ovo je rezultovalo time da su takve modifikacije logike protokola, koje su načinili prodavci iz nepoznatih razloga, dovele do stvaranja rizičnih funkcionalnosti. Sve ranjivosti pronađene u imple- mentacijama OPC UA protokola mo- gle bi da izazovu veliku štetu u okvi- ru industrije. Sa jedne strane, postojao je rizik javljanja problema sa DoS na- padima, koji bi mogli da predstavljaju ozbiljnu opasnost po industrijske si- steme ometajući ili potpuno prekida- jući industrijske procese. Sa druge strane, ostavljen je prostor za daljin- sko izvršenje koda, što omogućava napadačima da šalju bilo kakvu vrstu serverskih komandi kako bi kontrolisa- li industrijske procese ili nastavili svoj upad na mrežu. „Veoma često developeri softvera imaju previše poverenja u industrijske protokole, i primenjuju tu tehnologi- ju u okviru svojih rešenja bez testi- ranja koda bezbednosnim provera- ma. S toga, ranjivosti koje su navedene u korišćenom primeru mogu da utiču na cele linije rešenja, tako da je izuze- tno važno da prodavci posebno obra- te pažnju na ovakve široko dostupne tehnologije. Štaviše, oni ne bi trebalo da budu zaslepljeni idejom da mogu sami da projektuju svoj softver. Mnogi misle da ovo može biti efikasnije i bez- bednije od postojećeg softvera, ali čak i noviji softver može sadržati u sebi brojne ranjivosti“, istakao je Sergej Teminkov (Sergey Teminkov), viši bez- bednosni istraživač u ICS CERT timu kompanije Kaspersky Lab. Preporuka Kompanija Kaspersky Lab prepo- ručuje organizacijama da: • posebno obrate pažnju na bez- bednosne provere i testiranje kao neo- phodne korake tokom procesa razvo- ja aplikacije, kao i da se ne oslanjaju u potpunosti na protokole, • sporovode provere i testiranje na penetracije kako bi otkrili ranjivosti, • izoluju procese razvoja softvera, tako da u slučaju hakovanja određene aplikacije, napadači ipak ne mogu do- biti pristup mreži. Io Opširnije o OPC UA bezbednosnoj analizi na sajtu ICS CERT tima kom- panije Kaspersky Lab. Internet ogledalo - specijalno izdanje Business Security