【专家博客】Digital Bond测试证明Tofino可以增强脆弱的SCADA协议

       Digital Bond每年举办的SCADA安全科学研讨会（S4），是我期待看到的盛会。它汇集了ICS安全领域领先的研究人员。去年研讨会结束后我指出，这是一个让我学会用新的方式思考PLC安全的未来的会议。会上准备的餐点也很棒。

       今年的会议与我有关，因为会上有研究员Reid Wightman关于测试Tofino安全模块的演讲。去年的S4上首次露面的“Project Basecamp”，报告了在SCADA和自动化厂商的PLC设备中发现的漏洞。S4的创办人Dale Peterson公开介绍了漏洞和利用漏洞的Exploit攻击代码，他的目的是为了激励供应商提高他们产品的安全性。

SCADA系统安全性有待提高。但现有的系统不应处于风险中。

       尽管我也认为自动化产品的安全性需要提高，但是我想声明我并不支持S4/Dale为实现这一目标所采取的方法。在我看来，为表明自己的观点而将设备和人们的安全处于风险之中是无法接受的。未与ICS-CERT和供应商协商就发布漏洞的作法是存在问题的。发布软件来利用漏洞只会显得很疯狂。

       我也觉得Dale 2013年的目标——在1-3年内企业组织更换其PLC，是令人钦佩的，但这是完全不切实际的。自动化和过程控制行业是现有的发展最慢的行业。这是有原因的。花点时间来确保新设计是安全的是个不错的主意。对运营商来说，在三年内替换掉他们所有的PLC，在经济上不可能，而且也不安全。

        对供应商来说，在三年时间内把使用不安全工业协议的不安全产品设计更换为安全的设计和更好的协议也是不可能的。供应商应承担责任来制定并执行计划以提高安全性，但是企业不可能在三年时间内把一个差的解决方案变得完美。

为什么允许Project Basecamp测试多芬诺安全模块？

       你可能想知道为什么我同意允许Project Basecamp对多芬诺安全模块进行检测。毕竟，去年许多供应商产品都被发现存在安全问题，在未经协商的情况下，这些安全问题的公开使许多供应商经历了大规模的困窘。

       有两个原因。首先，我致力于提供好的产品，能为SCADA和ICS系统提供真正的安全。因此，我想知道专业的Project Basecamp安全研究员会发现什么。如果真的发现了问题，我也好主动应对。

       我宁愿应对短期的尴尬，也不想我们的产品可能会造成破坏性的安全事故。换言之，我宁愿Dale团队发现任何问题（让我们感到尴尬），也不愿恶意分子发现问题并加以利用来攻击关键系统。

       我也认为与Basecamp 团队合作的效率会更高。我们很乐意通过提供我们的设备以及与首席分析师Reid Wightman持续沟通的方式来合作。我们提供如何有效使用多芬诺的培训，我们通过解释多芬诺安全策略使测试尽可能高效。

Project Basecamp做了什么测试？

       Reid Wightman是IOActive的安全研究员。他原先在Digital Bond，并与他们合作2013 Project Basecamp项目。无论是作为SCADA设备设计师还是作为安全研究员，他的技能都很强。换句话说，Reid了解SCADA产品和安全测试，知道任何产品中可能潜伏的漏洞。

       Reid的初步测试包括对多芬诺组态管理平台（CMP）软件进行许多逆向工程攻击来查找可能的密钥、隐藏的密码或软件漏洞。Reid解释到，他尝试用IDA Pro和Immunity Debugger来调试多芬诺CMP，还尝试反汇编多芬诺管理模块，但都没能成功

       接下来，他又测试多芬诺硬件，通过串口或电路板上的JTAG接口来寻找硬件的后门，同样没有成功。

       然后Reid创建了一套攻击工具，生成混合了有效和无效通信的网络通信（包括Flooding攻击、片段储存和模糊攻击）。这是为了确定多芬诺是否会被误导阻止有效通信或允许无效信息通过。Reid特别关注Modbus协议——世界领先的工业协议之一。多芬诺通过了所有的测试。

Basecamp的SCADA安全版包含了对工业设备的网络安全稳健性的专业测试。

多芬诺安全模块的Project Basecamp测试的结果是什么？

       对我们的产品和顾客来说，好消息就是在多芬诺硬件和管理系统（CMP）中，Reid都没找到任何明显的安全漏洞。他说：
       “多芬诺公司提供了一款了不起的安全模块。我向所有寻求工业网络安全解决方案的人推荐这个模块。总之，多芬诺安全模块给我留下了很深的印象。”

       Reid也告诉我：“多芬诺安全模块可以很好地保护Modbus协议，阻止不被允许的功能码通过。”他接着说，“我想增加防火墙的负荷来看看我能否耗尽其内存，并看看这种情况发生时防火墙的表现，但是我想这种情况永远不会发生。”

       我对这个结果非常满意。我们的开发人员努力研究先进的深度包检测（DPI）技术，也就是可以提供这项功能的我们所谓的“多芬诺增强模块”。使用该技术，多芬诺安全模块可以判断出SCADA通信是读信息还是写信息，并丢弃所有的写信息。

       多芬诺增强技术也可以对所有通信进行“完整性检查”，以确保他们符合协议标准。我们的产品不仅针对Modbus TCP协议有增强功能，对OPC和EtherNet/IP协议也有。

       Reid认为最大问题就是针对SCADA协议本身，我无法否认。他们需要被改进。例如，对于隧道攻击，不是任何一个安全设备能解决的，因为这是协议本身的功能。多芬诺不知道哪些数据是有效的PLC数据，只知道哪些是有效的通信、有效的指令和有效的地址范围。

       幸运的是，这种类型的攻击发生的可能性也不大。它要求攻击者已经可以完全控制防火墙两侧的电脑，并能在电脑上加载软件。对这种攻击最好的防御就是阻止对关键系统的不受控制的物理访问。

该赞许的就赞许

       对于此次测试，很多人值得表扬。首先，多芬诺公司幕后辛勤工作的开发人员们应大加赞赏。他们慎密的研发实践和反复分析威胁的工作已见成效。他们是优秀的工作团队。

       Reid和Dale也值得赞许。除了是技能娴熟的研究人员，他们还非常专业。任何时候我们提问，Reid都认真回答问题。感谢Reid和Dale。

       此外，我要感谢以往所有的安全测试团队，他们测试多芬诺的早期版本，帮助我们发现隐藏的安全问题。要特别感谢西班牙S21sec的两位著名研究员Iñaki López和Chávarri。还有很多我不能说出名字的政府机构也帮助指导我们怎样使多芬诺更加完善，Reid的工作更辛苦一些。谢谢你们！

提供实用的SCADA安全

       我的梦想就是提供易于操作的SCADA和ICS安全产品，不仅能提供强大的安全保障，还可以长远工作。尽管现在现场很多的自动化系统都不安全，但是这些测试告诉我们，多芬诺产品有助于为这些系统提供简单的安全解决方案。这些测试也表明，即使不花费巨资，小型SCADA设备也能获得强健的安全。我想对整个工业领域来说，这都是个好消息。