CyberLAB w Świerku skutecznie bada cyberbezpieczeństwo

| Bezpieczenstwo IT
Marcin Jakubowski, NCBJ

Działające od niedawna Laboratorium Cyberbezpieczeństwa Narodowego Centrum Badań Jądrowych odnotowało pierwszy sukces: naukowcy wykryli niebezpieczną lukę w oprogramowaniu firmowym jednego z powszechnie używanych sterowników logicznych PLC wykorzystywanym m.in. w instalacjach nuklearnych. Producent naprawił już błąd, zalecając niezbędne poprawki wszystkim użytkownikom.

W ramach udziału Narodowego Centrum Badań Jądrowych w programie „Enhancing Computer Security Incident Analysis at Nuclear Facilities” prowadzonego przez Międzynarodową Agencją Energii Atomowej, w Świerku powstaje specjalistyczne laboratorium CyberLAB. Laboratorium to testuje pod kątem cyberbezpieczeństwa programowalne sterowniki logiczne (PLC), a w przyszłości będzie badało również inne elementy przemysłowych systemów sterowania.

Mimo, że laboratorium dopiero powstaje, może się już pochwalić znacznym sukcesem. Zespół CyberLAB odnalazł lukę w oprogramowaniu firmowym sterownika PLC Siemens S7–1500. Sterownik ten jest powszechnie wykorzystywany między innymi w instalacjach nuklearnych. Odnaleziona luka (podatność) pozwala na przeprowadzenie ataku odmowy dostępu prowadzącego do utraty łączności ze sterownikiem. W przypadku, gdy sterownik kontroluje procesy krytyczne, taki atak może mieć katastrofalne skutki. Dodatkowo, w przypadku tego błędu, utrata łączności może zostać przywrócona tylko po ręcznym restarcie sterownika.

Badanie układu, który standardowo komunikuje się z innymi urządzeniami przemysłowymi za pomocą łączy sieciowych, polega na wysyłaniu do niego ogromnej ilości zmodyfikowanych komunikatów wejściowych – wyjaśnia mgr inż. Marcin Dudek (NCBJ). Wysyłane komunikaty generowane są komputerowo, zgodnie ze składnią protokołu komunikacyjnego testowanego urządzenia – w tym wypadku był to protokół Profinet. Sprawdzamy, czy pewne komunikaty lub ich sekwencje nie prowadzą do zachowań nieoczekiwanych. Procedura ta nazywa się fuzzing lub fuzz testing. W przypadku sterownika S7–1500 okazało się, że są takie sekwencje wysyłanych do niego komunikatów, które powodują awarię komponentu odpowiedzialnego za komunikację sieciową, w rezultacie odcinając możliwość łączności z nim. Udało nam się dość precyzyjnie zidentyfikować zagrożenie, a nasze obserwacje przekazaliśmy inżynierom Siemensa.

Podatność została zgłoszona do producenta w ramach opracowanej przez CyberLAB procedury, zgodnej z dobrą praktyką odpowiedzialnego ujawniania błędów (ang. Responsible Disclosure). Zespół NCBJ dostarczył pełną dokumentację błędu i skrypt „Proof of Concept” pozwalający na proste powtórzenie błędu w laboratorium producenta. Podatności został nadany numer CVE-2018-13805, a jej szczegóły zostały opublikowane na stronie firmy Siemens pod adresem https://cert-portal.siemens.com/productcert/pdf/ssa-347726.pdf. Przed opublikowaniem wszyscy dotychczasowi użytkownicy dostali informacje o sposobach usunięcia luki.

Producent docenił pracę zespołu CyberLABu. Osoby, które przyczyniły się do odnalezienia błędu zostały wymienione na „ścianie podziękowań” (ang. Hall of Thanks) firmy https://www.siemens.com/global/en/home/products/services/cert/hall-of-thanks.html. Są to pracownicy NCBJ: Marcin Dudek, Jacek Gajewski, Kinga Staszkiewicz, Jakub Suchorab i Joanna Walkiewicz.

Kwestie cyberbezpieczeństwa są jednym z priorytetów NCBJ i stanowią przedmiot badań prowadzonych w ośrodku. Poza budową wcześniej wspomnianego laboratorium, Instytut uczestniczy m.in. w projekcie Narodowa Platforma Cyberbezpieczeństwa, (NPC; realizowany wspólnie z Naukową Akademicką Siecią Komputerową – NASK, Politechniką Warszawską i Instytutem Łączności). Zespół CyberLAB złożył w 2018 r. trzy kolejne wnioski projektowe do programów H2020 i RPO. Liczymy, że realizacja przynajmniej części z nich pozwoli na znaczną rozbudowę istniejącego laboratorium oraz zwiększenie liczby zatrudnionych specjalistów.

Tematyka cyberbezpieczeństwa jest też przedmiotem współpracy zespołów CyberLAB i Parku Naukowo-Technologicznego „Świerk” z Wyższą Szkołą Gospodarki Euroregionalnej i z Centrum Naukowo-Badawczym Ochrony Przeciwpożarowej z Józefowa. Instytucje wspólnie organizują doroczną ogólnopolską konferencję naukową na temat bezpieczeństwa. Jej tegoroczna XI edycja jest zatytułowana „Technologie informatyczne w tworzeniu kultury cyberprzestrzeni – elementu bezpieczeństwa cyfrowego”. Odbędzie się ona 25 października w NCBJ w Świerku.

Narodowe Centrum Badań Jądrowych błąd CyberLAB sterownik PLC Siemens