GM Business & Lifestyle-specijal Business Security GM 120 BUSINESS SECURITY | Page 33
Eksperti ICS CERT tima kompanije
Kaspersky Lab su analizirali arhitektu-
ru OPC UA protokola i njegova rešenja.
Oni su ispitali njegov otvoren kod
(dostupan na GitHubu), uključujući i
uzorak servera, i otkrili da su postojeće
implementacije protokola sadržale
u sebi greške vezane za projektova-
nje i pisanje koda. Ove greške ne bi
smele da budu prisutne u ovako široko
rasprostranjenom infrastrukturnom
softveru od ključnog značaja. Sve u
svemu, 17 prethodno nepoznatih ra-
njivosti u rešenjima OPC fondacije je
identifikovano i prijavljeno developeri-
ma, koji su ih sanirali na odgovarajući
način.
Takođe, ICS CERT tim kompanije
Kaspersky Lab analizirao je softver koji
su razvila treća lica u skladu sa ovim
industrijskim protokolom, uključujući
rešenja koja su razvili vodeći prodavci
u okviru industrije. U većini slučajeva,
oni su otkrili da su mane izazvane time
što developeri nisu pravilno koristili
neke od funkcija za implementaci-
ju protokola. U drugim slučajevima,
ranjivosti su bile posledica neispravnih
modifikacija izvršenih nad infrastruk-
turom protokola. S toga, eksperti su
otkrili nebezbednu implementaciju
funkcija u okviru komercijalnih rešenja,
uprkos činjenici da originalna imple-
mentacija OPC fondacije nije sadržala
ove greške. Ovo je rezultovalo time da
su takve modifikacije logike protokola,
koje su načinili prodavci iz nepoznatih
razloga, dovele do stvaranja rizičnih
funkcionalnosti.
Sve ranjivosti pronađene u imple-
mentacijama OPC UA protokola mo-
gle bi da izazovu veliku štetu u okvi-
ru industrije. Sa jedne strane, postojao
je rizik javljanja problema sa DoS na-
padima, koji bi mogli da predstavljaju
ozbiljnu opasnost po industrijske si-
steme ometajući ili potpuno prekida-
jući industrijske procese. Sa druge
strane, ostavljen je prostor za daljin-
sko izvršenje koda, što omogućava
napadačima da šalju bilo kakvu vrstu
serverskih komandi kako bi kontrolisa-
li industrijske procese ili nastavili svoj
upad na mrežu.
„Veoma često developeri softvera
imaju previše poverenja u industrijske
protokole, i primenjuju tu tehnologi-
ju u okviru svojih rešenja bez testi-
ranja koda bezbednosnim provera-
ma. S toga, ranjivosti koje su navedene
u korišćenom primeru mogu da utiču
na cele linije rešenja, tako da je izuze-
tno važno da prodavci posebno obra-
te pažnju na ovakve široko dostupne
tehnologije. Štaviše, oni ne bi trebalo
da budu zaslepljeni idejom da mogu
sami da projektuju svoj softver. Mnogi
misle da ovo može biti efikasnije i bez-
bednije od postojećeg softvera, ali čak
i noviji softver može sadržati u sebi
brojne ranjivosti“, istakao je Sergej
Teminkov (Sergey Teminkov), viši bez-
bednosni istraživač u ICS CERT timu
kompanije Kaspersky Lab.
Preporuka
Kompanija Kaspersky Lab prepo-
ručuje organizacijama da:
• posebno obrate pažnju na bez-
bednosne provere i testiranje kao neo-
phodne korake tokom procesa razvo-
ja aplikacije, kao i da se ne oslanjaju u
potpunosti na protokole,
• sporovode provere i testiranje na
penetracije kako bi otkrili ranjivosti,
• izoluju procese razvoja softvera,
tako da u slučaju hakovanja određene
aplikacije, napadači ipak ne mogu do-
biti pristup mreži. Io
Opširnije o OPC UA bezbednosnoj
analizi na sajtu ICS CERT tima kom-
panije Kaspersky Lab.
Internet ogledalo - specijalno izdanje Business Security