Jak společnost ICONICS získala zásadní bezpečnostní statistiky prostřednictvím soutěže Pwn20wn Miami 2022 Ethical Hacking Competition

Minulý týden se konal Pwn2Own Miami 2022 sponzorovaný Zero Day Initiative. Jako vždy u této akce byly peníze uděleny týmům, které našly nejlepší zranitelnosti. Tím, že se dodavatelé dozví o nových zranitelnostech od etických hackerů nebo „bezpečnostních výzkumníků“, jak se jim říká, získají nezbytné a zásadní poznatky o tom, jak vylepšit zabezpečení svého softwaru. Než se vrhnu na popis samotné události, myslím, že je rozumné definovat “Pwn“. Jedná se o internetový/herní slang, který znamená vlastnit, porazit nebo ovládat někoho či něco, zejména hru nebo někoho kdo ji hraje. Společnost Pwn20wn pozvala světově uznávané bezpečnostní výzkumníky a poctivé hackery (white hat hackers). Tito softwaroví géniové hledají bezpečnostní zranitelnosti etickým způsobem na rozdíl od black hat hackerů, kteří se nabourávají do systémů ze zlomyslných důvodů. Akce se zúčastnilo deset (white hat) týmů hackerů, kteří testovali softwarovou bezpečnost několika dodavatelů. Letošní soutěž představovala následující softwarové komponenty a platformy, včetně produktu ICONICS:

• Unified Automation C++ Demo Server 
• OPC Foundation OPC UA .Net Standard 
• Prosys OPC UA SDK for Java 
• Softing Secure Integration Server 
• Triangle Microworks SCADA Data Gateway 
• Kepware KEPServerEx 
• AVEVA Edge 
• Schneider Electric EcoStruxure Operator Terminal Expert 
• Inductive Automation Ignition 
• ICONICS GENESIS64 

Výzkumníci věděli, kteří prodejci budou cíleni a dostali software před konáním akce. Mnozí proto studovali a strategicky plánovali své přístupy k narušení softwaru v dostatečném předstihu. Přece jen byla lákavá peněžní odměna! V rámci Pwn20wn byly týmy povolány na pódium, aby předvedly své útoky na každého prodejce s přihlížejícími rozhodčími. Ti, kteří byli schopni úspěšně předvést exploit, získali body a následný tým s nejvyšším počtem bodů vyhrál. Organizátoři udělili 400 000 $ za 26 unikátních 0 – dnů (nové narušení bezpečnosti) a několik kolizních chyb (již hlášených softwarem). Vítězný tým soutěže byl Computer Sector 7 zastoupen Daanem Keuperem a Thijsem Alkemadem. Software ICONICS byl testován a byly nalezeny některé zranitelnosti. Co to tedy znamená pro koncovéé uživatele ICONICS GENESIS64? Měli by mít obavy?

ICONICS ujišťuje uživatele GENESIS64

Věřím, že každý v našem odvětví má povinnost pečovat o naši společnost bez ohledu na to, zda je licencovaným profesionální inženýrem nebo ne. Počítačoví i softwaroví inženýři jsou vyškoleni tak, aby vždy měli bezpečnost svých systémů za nejvyšší prioritu a zabezpečení je tedy nezbytnou součástí. Takže svou odpověď uvedu velkým tučným písmem „ANO“. Ano, naši zákazníci by se měli vždy obávat nových hrozeb, které se objeví a které by mohly potencionálně ohrozit bezpečnost jejich aplikací, jako jsou ty objevené během akce Pwn20wn. V ICONICS jsme vděční, že se tyto nedostatky dostaly na světlo. Snažíme se být vždy na vrcholu softwarového zabezpečení tím, že využíváme nejnovější techniky bezpečného vývoje a neustále kontrolujeme slabiny našeho softwaru. Ale jak dokazují výsledky letošní soutěže, máme před sebou ještě hodně práce.

Rádi bychom ubezpečili všechny naše zákazníky, partnery a čtenáře, že bezpečnost bereme extrémně vážně a snažíme se vyřešit každou zranitelnost našeho softwaru před jeho vydáním. Přebíráme odpovědnost za mezery, které týmy v Pwn20wn našly, a v současné době pracujeme na opravách těchto zjištění. Položky, které se objevily během akce z minulého týdne, jsme začali vyšetřovat, jakmile k nám dorazily. Hned jak budou tyto opravy připraveny k nasazení v jejich provozních systémech budeme co nejdříve komunikovat s našimi zákazníky. V té době budeme proaktivně oslovovat naše zákazníky a povzbuzovat je, aby aktualizovali svůj nainstalovaný software a snížili tak svá rizika. Za zmínku také stojí, že problémy identifikované na akci nebyly zveřejněny a všechny informace související s takovými exploity byly sdíleny pouze s ICONICS v zájmu co nejrychlejšího ověření a následné opravy zranitelností.

Víme také, že někteří naši zákazníci mají určitá místní omezení v oblasti životního prostředí a požadavky na zjednodušení, které je vedly k tomu, že nasazovali své systémy nezabezpečeným způsobem. To potencionálně ponechává komponenty vystavené hackerům v případě, že se k systému přistupuje nebo se k němu připojuje nechráněným způsobem. Vyzýváme všechny zákazníky, aby průběžně kontrolovali své konfigurace ICONICS a přezkoumali celou infrastrukturu, pokud chtějí své systémy propojit přes sítě nebo do cloudu.

Jsme vděční za úsilí všech organizátorů, výzkumníků a účastníků akce Pwn20wn Miami 2022 a gratulujeme Keuperovi a Alkemademu k jejich vítězství. Události jako je tato nám umožňují učit se od odborníků a vývojářské komunity. Jsme hrdí na to, že poskytujeme jednu z předních průmyslových softwarových platforem na trhu pro vizualizaci, analýzu a reporting používané v široké škále globálních projektů. Testujeme zranitelnosti interně, se zákazníky i třetími stranami, abychom tyto problémy zdokumentovali a rychle opravili. Opět přebíráme odpovědnost za mezery, které týmy v Pwn20wn našly, a jako společnost je vlastníme. V současné době pracujeme na dvou zjištěných chybách a až budou opravy připraveny k nasazení v jejich runtime systémech, budeme přímo kontaktovat zákazníky.

Níže jsou uvedeny další komentáře k technickým bodům softwaru a návrhy pro naše zákazníky a systémové integrátory pro navrhování a zabezpečení jejich systémů a aplikací:

Technické softwarové body: 

• Provozní runtime systémy pro většinu našich zákazníků, zejména ty v kritické infrastruktuře jsou spravovány jako součást automatizačního sytému vysoce strukturovaným způsobem, aby se minimalizovala možnost úmyslného odpojení systému nebo jeho napadení. To nám dává určitou míru jistoty, že velká část našich zákazníků není v bezprostředním ohrožení.
• U projektů, které jsou nasazeny v kritické infrastruktuře jsou mnohé z nich navrženy tak, aby byly izolovány od vnějšího světa a měly více úrovní zabezpečení, a to jak ze strany nástrojů třetích stran, sítí a softwaru, tak v rámci GENESIS64. Tato bezpečnostní opatření pomáhají zmírnit potenciál útoku pomocí exploitů předvedených na Pwn20wn.

Návrhy pro naše zákazníky:

• Důrazně doporučujeme všem našim zákazníkům, aby udržovali svůj software aktuální a měli zavedeny strategie aktualizací/upgradů, aby mohli přijmout hlavní, vedlejší a kritické souhrnné opravy (CFR) od našeho týmu.
• Vyzýváme naše zákazníky, aby se spojili s našimi partnery pro systémovou integraci nebo našimi profesionálními inženýry služeb řešení, aby zkontrolovali systémy a snížili potenciální vektory hrozeb, které by mohly vést ke kompromitovanému nasazenému runtime systému. To je důležité zejména pro systémy, které odesílají/přijímají data a alarmy přes sítě, do cloudu, nebo mají součásti softwarového řešení ICONICS hostované v cloudu.
• Dále vyzýváme naše klienty a partnery pro systémovou integraci, aby navrhovali bezpečné systémy, které berou v úvahu operační systémy, sítě a veškerý software třetích stran jako holistický systém.

Lekce získané z Pwn20wn 2022

Můj kolega, Richard Henderson, ICONICS US Quality Assurance Manager se akce osobně zúčastnil a na vlastní oči viděl, jak se soutěž vyvíjí. Když bylo jakékoli zneužití úspěšně prokázáno během vyhrazených 20 minut na pokus, bezpečnostní výzkumníci byli odvedeni do soukromé místnosti se zástupci ZDI a dotyčný prodejce s nimi spolupracoval na ověření, zda se skutečně jedná o nová zjištění. Pokud ano, pak by prodejce mohl mít všechny podrobnosti, takže by se mohl okamžitě pustit do práce na zmírnění zranitelnosti.

Existovala možnost, že bezpečnostní výzkumníci najdou něco, co je již známým problémem (známým jako kolize chyb), a v těchto případech byl Richard schopen říci: „Ne, to pro nás není nový problém.“ Když jsem se Richarda zeptal na jeho zkušenosti s Pwn20wn, měl skvělý citát, o který bych se s vámi rád podělil:

“„Celkově byl Pwn20wn 2022 pro všechny účastníky nesmírně cenný. Bylo to pozitivní, zasvěcené a jedinečné, protože to není něco, co bychom mohli sami snadno udělat, ani nemáme schopnost uspořádat obdobnou událost v takovém rozsahu.“

Jaké ponaučení jsme si tedy z Pwn20wn 2022 přinesli? V ideálním světě by existoval software bez chyb a bez zranitelností, ale nikdy tomu tak nebude. Nakonec chyby najdeme my, najdou je hackeři, partneři a najdou je zákazníci – my jako ICONICS to chápeme a budeme se i nadále snažit zůstat o krok napřed.

Chceme být transparentní a dát všem vědět, že tyto nové bezpečnostní problémy bereme vážně. Pwn20wn považujeme za významnou a užitečnou událost pro všechny strany, protože jsme se dozvěděli, kde jsou nové chyby v naší platformě. Ujišťujeme vás, že jakmile budou k dispozici opravy, budeme proaktivně oslovovat naše zákazníky, abychom je povzbudili k aktualizaci nainstalovaného softwaru a snížili rizika.

Pokud máte nějaké dotazy či obavy napište mi nebo mě najděte na twitteru @Ryzner.

Kyle Reissner
Director, Product Management