NCBJ: CyberLAB w Świerku skutecznie bada cyberbezpieczeństwo (komunikat)

– NCBJ informuje:

Działające od niedawna Laboratorium Cyberbezpieczeństwa Narodowego Centrum Badań Jądrowych odnotowało pierwszy sukces: naukowcy wykryli niebezpieczną lukę w oprogramowaniu firmowym jednego z powszechnie używanych sterowników logicznych PLC wykorzystywanym m.in. w instalacjach nuklearnych. Producent naprawił już błąd, zalecając niezbędne poprawki wszystkim użytkownikom.

W ramach udziału Narodowego Centrum Badań Jądrowych w programie “Enhancing Computer Security Incident Analysis at Nuclear Facilities” prowadzonego przez Międzynarodową Agencją Energii Atomowej, w Świerku powstaje specjalistyczne laboratorium CyberLAB. Laboratorium to testuje pod kątem cyberbezpieczeństwa programowalne sterowniki logiczne (PLC), a w przyszłości będzie badało również inne elementy przemysłowych systemów sterowania.

Mimo, że laboratorium dopiero powstaje, może się już pochwalić pierwszym sukcesem. Zespół CyberLAB odnalazł lukę w oprogramowaniu firmowym sterownika PLC Siemens S7-1500. Sterownik ten jest powszechnie wykorzystywany między innymi w instalacjach nuklearnych. Odnaleziona luka (podatność) pozwala na przeprowadzenie ataku odmowy dostępu prowadzącego do utraty łączności ze sterownikiem. W przypadku, gdy sterownik kontroluje procesy krytyczne, taki atak może mieć katastrofalne skutki. Dodatkowo, w przypadku tego błędu, utrata łączności może zostać przywrócona tylko po ręcznym restarcie sterownika.

„Badanie układu, który standardowo komunikuje się z innymi urządzeniami przemysłowymi za pomocą łączy sieciowych, polega na wysyłaniu do niego ogromnej ilości zmodyfikowanych komunikatów wejściowych” – wyjaśnia mgr inż. Marcin Dudek (NCBJ). „Wysyłane komunikaty generowane są komputerowo, zgodnie ze składnią protokołu komunikacyjnego testowanego urządzenia – w tym wypadku był to protokół Profinet. Sprawdzamy, czy pewne komunikaty lub ich sekwencje nie prowadzą do zachowań nieoczekiwanych. Procedura ta nazywa się fuzzing lub fuzz testing. W przypadku sterownika S7-1500 okazało się, że są takie sekwencje wysyłanych do niego komunikatów, które powodują awarię komponentu odpowiedzialnego za komunikację sieciową, w rezultacie odcinając możliwość łączności z nim. Udało nam się dość precyzyjnie zidentyfikować zagrożenie, a nasze obserwacje przekazaliśmy inżynierom Siemensa.”

Podatność została zgłoszona do producenta w ramach opracowanej przez CyberLAB procedury, zgodnej z dobrą praktyką odpowiedzialnego ujawniania błędów (eng. Responsible Disclosure). Zespół NCBJ dostarczył pełną dokumentację błędu i skrypt “Proof of Concept” pozwalający na proste powtórzenie błędu w laboratorium producenta. Podatności został nadany numer CVE-2018-13805, a jej szczegóły zostały opublikowane na stronie firmy Siemens pod adresem https://cert-portal.siemens.com/productcert/pdf/ssa-347726.pdf. Przed opublikowaniem wszyscy dotychczasowi użytkownicy dostali informacje o sposobach usunięcia luki.

Producent docenił pracę zespołu CyberLABu. Osoby, które przyczyniły się do odnalezienia błędu zostały wymienione na “ścianie podziękowań” (ang. Hall of Thanks) firmy https://www.siemens.com/global/en/home/products/services/cert/hall-of-thanks.html. Są to pracownicy NCBJ: Marcin Dudek, Jacek Gajewski, Kinga Staszkiewicz, Jakub Suchorab i Joanna Walkiewicz.

Kwestie cyberbezpieczeństwa są jednym z priorytetów NCBJ i stanowią przedmiot badań prowadzonych w ośrodku. Poza budową wcześniej wspomnianego laboratorium, Instytut uczestniczy m.in. w projekcie Narodowa Platforma Cyberbezpieczeństwa, (NPC; realizowany wspólnie z Naukową Akademicką Siecią Komputerową – NASK, Politechniką Warszawską i Instytutem Łączności). Zespół CyberLAB złożył w 2018 r. trzy kolejne wnioski projektowe do programów H2020 i RPO. Liczymy, że realizacja przynajmniej części z nich pozwoli na znaczną rozbudowę istniejącego laboratorium oraz zwiększenie liczby zatrudnionych specjalistów.

Tematyka cyberbezpieczeństwa jest też przedmiotem współpracy zespołów CyberLAB i Parku Naukowo-Technologicznego „Świerk” z Wyższą Szkołą Gospodarki Euroregionalnej i z Centrum Naukowo-Badawczym Ochrony Przeciwpożarowej z Józefowa. Instytucje wspólnie organizują dorocznąogólnopolską konferencję naukową na temat bezpieczeństwa. Jej tegoroczna XI edycja jest zatytułowana„Technologie informatyczne w tworzeniu kultury cyberprzestrzeni – elementu bezpieczeństwa cyfrowego”.Odbędzie się ona 25 października w NCBJ w Świerku.

Informacje uzupełniające

Programowalny sterownik logiczny (PLC) to uniwersalne urządzenie mikroprocesorowe przeznaczone do sterowania pracą maszyny lub urządzenia technologicznego https://pl.wikipedia.org/wiki/Programowalny_sterownik_logiczny

Narodowe Centrum Badań Jądrowych jest instytutem badawczym działającym na podstawie przepisów ustawy o instytutach badawczych z dnia 20 kwietnia 2010 r. (Dz.U. 2010 Nr 96 poz. 618; z późniejszymi zmianami). Ministrem nadzorującym instytut jest minister energii. NCBJ jest największym instytutem badawczym w Polsce zatrudniającym ponad 1100 pracowników, w tym ponad 200 osób ze stopniem naukowym doktora, z czego ponad 60 osób ma status samodzielnych pracowników naukowych. W NCBJ pracuje ponad 200 osób z tytułem zawodowym inżyniera. Główna siedziba instytutu znajduje się w Otwocku w dzielnicy Świerk, gdzie zlokalizowany jest ośrodek jądrowy należący do NCBJ, w tym reaktor badawczy Maria. Instytut prowadzi badania naukowe i prace rozwojowe oraz wdrożeniowe w obszarze powiązanym z szeroko rozumianą fizyką subatomową, fizyką promieniowania, fizyką i technologiami jądrowymi oraz plazmowymi, fizyką materiałową, urządzeniami do akceleracji cząstek oraz detektorami, zastosowaniem tych urządzeń w medycynie i gospodarce oraz badaniami i produkcją radiofarmaceutyków. Instytut posiada najwyższą kategorię A+ przyznaną w wyniku oceny polskich jednostek naukowych dokonanej w 2017 r. Pozycję naukową instytutu wyznacza także liczba publikacji (ok. 500 rocznie) i liczba cytowań mierzona indeksem Hirscha (ok. 160). Są to wartości lokujące NCBJ w pierwszej piątce wśród wszystkich jednostek badawczych i akademickich w Polsce prowadzących porównywalne badania.

UWAGA: komunikaty publikowane są w serwisie PAP bez wprowadzania przez PAP SA jakichkolwiek zmian w ich treści, w formie dostarczonej przez nadawcę. Nadawca komunikatu ponosi odpowiedzialność za jego treść – z zastrzeżeniem postanowień art. 42 ust. 2 ustawy prawo prasowe. (PAP)

kom/ nmk/

Źródło: Centrum Prasowe PAP