In che modo si progetterebbe la sicurezza in dispositivi industriali con connessione in rete e in esecuzione per decenni in cui il malfunzionamento potrebbe costare la vita? [chiuso]

1

La tendenza attuale consiste nel rendere accessibile ogni dispositivo da Internet per motivi di praticità, motivi economici e così via (a volte includendo anche la stazione di controllo di una centrale elettrica).

Ma molte soluzioni industriali come i sistemi SCADA, le unità di controllo motori delle automobili, i robot industriali, il controllo ferroviario, i dispositivi medici come le macchine a raggi X e così via non vengono aggiornate per decenni perché:

  • Il produttore non fornisce aggiornamenti
  • Gli aggiornamenti richiederebbero la riconvalida / ricertificazione (interna o da un'organizzazione esterna / autorità governativa)
  • Gli aggiornamenti non sono consentiti (il produttore supporta ufficialmente solo un livello di patch specifico del sistema operativo sottostante e così via)
  • "Non cambiare mai un sistema in esecuzione" (specialmente se l'aggiornamento potrebbe causare situazioni / passività pericolose)
  • Da alcuni addetti ai lavori di questi rami ho sentito che alcuni di loro sono autorizzati a usare solo compilatori di 5 anni, perché in questo modo pensano a tutti i bug nel compilatore che si trovano nei 5 anni e usano la lista ufficiale dei bug del compilatore e utilizzare i rimedi per loro.

L'esecuzione di Windows NT 4 non è raro in questi ambienti per questi motivi.

Il mio primo passo sarebbe stato utilizzare HTTPS / SSL per proteggere il canale, ma molti di noi hanno sentito parlare di Heartbleed , POODLE , Diginotar , ecc. che richiedono aggiornamenti in pochi giorni o più velocemente. Ma questo sarebbe impossibile perché la riconvalida richiede normalmente settimane o mesi e nel frattempo lascia il sistema vulnerabile. Successivamente potrebbero esserci vulnerabilità nello stack di rete, nell'autentificazione e in altri sottosistemi.

Quindi, come si potrebbe progettare la sicurezza in Internet / dispositivi industriali rivolti alla rete per decenni in cui i malfunzionamenti potrebbero costare vite umane?

(Questa è solo una domanda ipotetica poiché non sono coinvolto nello sviluppo di tali dispositivi e gli addetti ai lavori che so non possono rispondere alle mie domande. Questa domanda si concentra principalmente sul dispositivo incorporato o sul computer / dispositivo che controlla il dispositivo e un utente malintenzionato per accedervi / controllarlo.)

    
posta H. Idden 28.12.2015 - 22:40
fonte

2 risposte

3

Il tuo "primo passo" è in realtà la trappola in cui è caduto l'industria. Credendo che ci sia un modo per mettere online questi sistemi senza una conoscenza approfondita del dominio di sicurezza, e senza fornire un modo per aggiornare i componenti di sicurezza senza compromettere l'integrità del resto dei sistemi, si sono intrappolati con dipendenze di processi su antiche , protocolli insicuri. Con ciò intendo che offrivano la promessa di una manutenzione a basso costo controllata a distanza, eliminando così la necessità che costosi esperti si recassero in siti remoti. Ridussero il numero di teste; che si sono lasciati completamente dipendenti dai sistemi di controllo remoto. Non possono chiuderli ora anche di fronte a un'emergenza di sicurezza informatica, perché dipendono da quel controllo per tenerli in esecuzione.

Il primo passo è quello di separare i componenti di Internet dal resto dei sistemi. Lasciare il controller di sistema online e sperare che la sua pagina di accesso integrata dal 2003 lo tenga al sicuro è un fallimento.

Poiché le reti SCADA sono così vulnerabili, l'intero ICN deve essere protetto da firewall da ogni altro sistema; compresi altri sistemi e reti interni. Vedi te stesso come l'operatore SCADA e presumi che tutti gli altri membri della tua organizzazione, inclusi amministratori di sistema e amministratori di rete, stiano tentando di hackerare la tua rete SCADA, quindi difenderlo.

Può darsi che tu non abbia una difesa adeguata, o che il rischio di compromessi sia troppo grande in termini di sicurezza. Un traferro è l'ultima, la migliore difesa; anche allora, non è perfetto. Stuxnet è stato un esempio di un attacco ICN che ha saltato il traferro usando un exploit di 0 giorni su un'unità USB.

    
risposta data 29.12.2015 - 00:30
fonte
2

Non incorporare la parte Internet del software nel dispositivo stesso. Idealmente il dispositivo dovrebbe avere solo un software semplice (in esecuzione su un microcontrollore) responsabile delle funzioni di base del dispositivo (come prima di controllare gli interblocchi di sicurezza prima attivare le cose pericolose o gestire le funzionalità che richiedono tempi precisi) e comunicare con il mondo esterno tramite un'interfaccia semplice e standard come una porta seriale.

Tutto il resto dovrebbe essere gestito tramite software sviluppato per un sistema operativo generico, in modo che possa essere aggiornato indipendentemente dal fornitore (stranamente, in realtà consiglierei Windows per questo - la sua retrocompatibilità è piuttosto buona, posso ancora funzionare Il software XP-era su Windows 8.1) piuttosto che legare il software a un intero sistema operativo che non può essere aggiornato una volta che il fornitore non fornisce aggiornamenti. Anche il protocollo per comunicare con il dispositivo deve essere pubblicato in modo che una terza parte possa reimplementare il software originale qualora non fosse più possibile eseguire su un sistema operativo moderno.

Anche i costi ricorrenti per mantenere il dispositivo sicuro (inclusa la riscrittura del software se necessario) devono essere considerati nel costo totale di proprietà / manutenzione del dispositivo.

Infine, non mettere le cose su Internet se non lo richiedono - è un rischio contro una situazione di compromesso in quanto nessun software è sicuro, e in questo caso direi che mettere il dispositivo su Internet dovrebbe essere una soluzione di ultima istanza a causa del costo di un compromesso (una perdita di vita umana non può essere espressa in $$$), e se si è deciso di mettere il dispositivo in rete occorre adottare le dovute precauzioni, come nasconderlo dietro un gateway VPN e formazione degli utenti sulle pratiche di sicurezza corrette (ho visto molti dispositivi SCADA con password predefinite, il che significa che non è più un problema tecnico ma umano)

    
risposta data 29.12.2015 - 03:02
fonte

Leggi altre domande sui tag