https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

從資安角度看SCADA遭駭客入侵

2009 / 09 / 28
余俊賢
從資安角度看SCADA遭駭客入侵

委外廠商的權限管理一直是大漏洞之一,尤其是IT與資安相關的委外任務,除了簽訂保密NDA之外,確實執行與列於合約中的安全管理程序和賠償責任更不可免,此案例凸顯了對於委外人員的控管不落實,甚至根本沒有管理控制可遵循,而導致此可能造成嚴重災難與人命喪失的危機。

最近一則新聞把監視控制與資料擷取系統(SCADA, Supervisory Control and Data Acquisition)的安全性凸顯出來。加州Long Beach油品與天然氣公司的離職IT顧問竄改SCADA電腦系統,利用職務之便建立且未被刪除的系統帳號,在2008年五月至六月關閉與干擾瓦斯外洩偵測功能與大型鑽油平台的安控系統,美國FBI在2009年9月表示28歲的馬利歐(Mario Azar)將面對最長十年的刑期。
 
該員的職務原本是協助該公司建立各外點與總公司的通訊設備與網路,職務上獲得各種可以存取系統之帳號權限,這些系統是用於確保瓦斯不至於外洩與平台安全監控之用。而他在了解這樣做的嚴重後果後,還做出此違法情事,雖未真正釀成災難,但還是因此被處以重刑。再者,委外廠商的權限管理一直是大漏洞之一,尤其是IT與資安相關的委外任務,除了簽訂保密NDA之外,確實執行與列於合約中的安全管理程序和賠償責任更不可免,此案例凸顯了對於委外人員的控管不落實,甚至根本沒有管理控制可遵循,而導致此可能造成嚴重災難與人命喪失的危機。

常見的SCADA問題,與常見資安問題十分相似,包含各種裝置使用通用密碼、廠商預設密碼,存取權限根本沒有控制、未加密的資料傳輸、沒有防火牆的觀念與建置、缺乏入侵偵測系統、網路品質與流量控制(似乎是柵湖線其中一個故障原因)等等。針對這些問題其實也已經有各種方案可用,像是SCADA所採用通訊架構的防火牆、入侵偵測與誘捕系統,以及針對平台作業系統的弱點修補。
 
再以台北捷運作為例子,捷運系統的電力設施、行控系統、列車開關門與例外處理均透過行控中心自動化管理與人員監控,但是仍有各種意外事故的發生,也不禁令人猜測其SCADA系統本身的整合性和資訊環境的安全性是否出問題,當然包含SCADA網路與委外廠商的資訊設備安控管制。而SCADA應該說是資安系統的祖師爺,很多控制和管理的觀念與現在資訊環境安全不謀而合,且極為相似。但是,鮮少SCADA系統建置與管理參考現行資安已臻成熟的控制措施,如弱點掃描、滲透測試與稽核觀念融入,均可協助大大改善整體系統的可靠度與安全性。

SCADA是系統監控和資料擷取功能的軟硬體系統總稱,常用於電力、水、溫度、空調、自動化控制等監控與回饋控制,採中央集控在遠端或本地的設備,像是工廠各個區域的溫度、氣壓、濕度以及機台的即時狀態資訊,透過資料擷取感應設備(sensor)將類比資料透過RS232或RS485等介面或可程式化邏輯控制器(PLC)轉為數位訊號,提供固定格式的訊息給中央控管機器,然後透過人機介面提供資訊給管理單位。在遠端設備可以用一般的網路即可串連,所以會有網路的問題,或者是撥接系統(dial-up)斷線與傳輸資料加密的問題。包含電力、交通、捷運列車、水壩、瓦斯以及各種工業製造設施,都需要依賴偵測器將實體環境參數輸入到電腦中,以方便總管系統的監督與全管理,一旦被關閉或篡改參數將導致重要的關鍵設施癱瘓,嚴重的將會危害公共安全。
 
 一般SCADA會透過圖形介面來標示實體物件的各種狀態,提供即時的資料顯示、將資料存於資料庫或檔案中再加以運用,包含設定正常與異常狀態的警示條件(rules),如果溫度或壓力超過界限(threshold),就會產生警報,在傳送給手機、燈號或其他通報管道。SCADA 監控平台軟體、感應器與被控制的硬體設備,使用相同的標準的資料交換介面,兩者就可以直接溝通,例如DDE (Dynamic Data Exchange)、OPC (OLE for Process Control),也有透過DLL(動態連結函式庫)提供呼叫硬體裝置的API,對資訊人員來說都是再熟悉不過了,不過沒接觸之前就會覺得蒙上一層紗,也創造了商業的進入門檻和獨特性,但是越封閉的系統,在測試與稽核時就容易因為本身的問題與獨特性造成類似固有風險(inherent risk)難以轉移,變成是系統先天不良或後天整合問題。