Радиационные мониторы, находящиеся в зоне риска, не исправляются

Возможно, вы помните статью, которую я недавно написал о риске хакеров для различных мониторов радиации. В то время информация была основана на предварительном просмотре презентации Рубена Сантамарты «Go Nuclear: Breaking Radiation Monitoring Devices». В то время затронутые поставщики держались в секрете до конференции Black Hat. Теперь, после презентации, мы знаем имена вендоров и, к сожалению, на момент написания этой статьи они не воспринимают угрозу так серьезно, как следовало бы.

Как сообщает Threatpost «Лаборатории Касперского», затронуты три поставщика: «Ludlum, Mirion и Digi, производители радиационных портальных мониторов, мониторов ворот, RF-модулей, систем управления и другого промышленного оборудования, используемого на пограничных переходах, в аэропортах и на атомных электростанциях. локации». Несмотря на серьезные проблемы, которые могут быть вызваны уязвимостями, особенно создание ложных показаний на мониторах, поставщики не исправляют уязвимости. Это проблематично, поскольку Сантамарта заявил до отказа от своего исследования следующее:

Потенциально ложные считыватели могут заставить операторов выполнять неправильные действия, если они ошибочно предупреждены о том, что произошло радиационное облучение… Злоумышленник может ввести ложные показания в устройство радиационного контроля атомной электростанции, имитируя массивную утечку радиации… Что делает оператор реагировать?

Решение, похоже, коренится в вопиющем невежестве или, возможно, в управленческой лени. Ludlum отказывается вносить исправления, полагая, что безопасность в местах, где развернуты их устройства, достаточна. Мирион, который выглядит как отговорка из-за предполагаемых технических проблем, заявил, что патч «нарушит совместимость с протоколом WRM2, который он использует для связи». Самые наглые ответы были от Digi, поскольку они просто не верили, что проблемы действительно связаны с безопасностью.

Здесь следует отметить, что полное исследование было предоставлено этим компаниям задолго до презентации Black Hat, поэтому они не принимали решение, основываясь только на презентации в виде слайд-шоу. Это, вероятно, самый разочаровывающий компонент работы в области кибербезопасности, а именно: иметь дело с умышленно глупыми решениями, которые ставят под угрозу человеческие жизни, несмотря на конкретные доказательства, призванные предотвратить эту опасность.

Рубен Сантамарта выразил обеспокоенность по поводу выбора продавцов, заявив:

Я могу сказать для злоумышленника, что эти атаки легко выполнить, но нелегко приобрести знания для выполнения этих атак… Чтобы выполнить тупую атаку, когда вы отправляете вредоносную информацию и смотрите, что происходит, это просто сделать [если вы изучили устройство.]

Я буду прямолинеен. Если произошел какой-то крупный инцидент, связанный с радиацией, и эти неисправные мониторы были в центре атаки, я считаю, что виновные в этом официальном отказе от исправления должны быть привлечены к уголовной ответственности. Мы имеем дело с ядерной энергетикой, и если призраки Чернобыля и Фукусимы нас чему-то учат, то последствия крупного радиационного инцидента могут быть катастрофическими. Национальные государства и террористы больше всего хотели бы, если бы им представилась возможность, атаковать ядерные объекты. Это будет многоплановая атака, которая нанесет ущерб как производству энергии в регионе, так и поставит под угрозу тысячи жизней.

Я могу только надеяться, что приказ об игнорировании патча будет пересмотрен. Я бы не хотел, чтобы в результате этого случился наихудший сценарий.