Я уже неоднократно писал о SCADA-системах. И теперь хочу еще раз сделать это - как и обычно, вдохновляют меня новости о них. Новость, правда, сложно назвать вдохновляющей - она скорее ужасает. Дело в том, что сразу в нескольких SCADA-системах обнаружены уязвимости «нулевого дня» .
Думаю, что аудитории нашего блога не стоит слишком подробно рассказывать о том, что такое уязвимость нулевого дня . О SCADA-системах пару слов скажу: это программное обеспечение, контролирующее производственные процессы. Причем под производственными процессами имеются в данном случае в виду не только сборка автомобилей или распил досок. Атомные электростанции, нефтеперерабатывающие заводы, хладокомбинаты с сотнями тонн аммиака в старых советских холодильниках - всё это тоже "вотчина" SCADA-систем. Думаю, "радость" от нахождения огромного количество 0day-язвимостей испытают даже те, кто далек от вопросов обеспечения информационной безопасности.
Самое, впрочем, ужасное даже не в том, что эти язвимости в SCADA есть, и даже не в том, что их нашли. Самое "веселое" - это то, КАК их нашли. "По словам Ориеммы, поиск уязвимых мест занял совсем немного времени. В одном случае для удаленного исполнения кода оказалось достаточным просто ввести в систему нужную команду".
Очевидно, несмотря на специально разработанные для SCADA методики написания и тестирования программного кода, человеческий фактор в программировании по-прежнему означает слишком многое. Значит, надо пересмотреть подходы и, возможно, включить в процесс создания систем специалистов принципиально нового класса, которые будут заниматься дизайном безопасности подобных систем, посколько исключить ошибки нужно уже на этом этапе. Впрочем, вряд ли мы увидим коренные изменения в процессе создания SCADA в ближайшее время - инерция мышления, знаете ли...
Р. Идов,
аналитик компании SearchInform
