Кібербезпека на безкраїх морях



Складно переоцінити значення індустрії морських перевезень для сучасного суспільства: 90% товарів переміщується саме по морю. Мореплавство, як і будь-яка інша велика сфера діяльності, розвивається паралельно з плином технічного прогресу: суду збільшуються, а команди зменшуються, так як все більша кількість процесів автоматизується. Часи, коли перебуває в море судно було фактично повністю відрізане від решти світу, давно в минулому. В наші дні деякі бортові системи отримують оновлення під час плавання, у команд є вихід в інтернет. Питання кібербезпеки об'єктів сфери морських перевезень стоять досить гостро.

Згідно зі звітом ENISA «Analysis of cyber security aspects in the maritime sector» від листопада 2011 року, «спантеличений питаннями кібербезпеки в морському секторі знаходиться на низькому рівні, або взагалі відсутня» [1]. Малу стурбованість питаннями, пов'язаними з кіберзагрозами, відзначають аналітики компанії CyberKeel, що спеціалізується на безпеці морської індустрії. Вони відзначають той факт, що багато зайняті в морській сфері звикли бути частиною «практично невидимою» галузі, непомітною простому обивателеві. «Найчастіше, якщо звичайна людина не живе близько значного порту, він не може уявити собі дійсних масштабів всієї індустрії», — йдеться у звіті [2]. «Разом зі зростаючою опорою на автоматизацію, значно загострюється ризик зовнішнього втручання і зриву роботи ключових систем; хакери можуть перешкодити управлінню судном або роботі навігаційних систем, обрубати всі зовнішні комунікації судна або отримати конфіденційні дані», — йдеться у звіті Allianz безпеки судноплавства за 2015 рік [3]. Питання актуальності тематики ще ускладнюється тим, що, за даними Reuters, далеко не вся інформація про успішно проведені атаках отримує широкий розголос: часто власники бізнесу можуть замовчувати її, побоюючись таких наслідків, як втрата іміджу, претензій зі сторони клієнтів і страхових компаній, початку розслідувань, що проводяться сторонніми організаціями і державними органами [4].

Для того щоб продовжити розмову про кібербезпеки судноплавства, слід коротко висвітлити специфічні для цієї сфери інформаційні системи і технології.

AIS (Automatic Identification System) — автоматична ідентифікаційна система. Служить для передачі ідентифікаційних даних судна (у тому числі про його вантаж), інформації про його стан, поточне місцезнаходження і курс. Також використовується для попередження зіткнень суден, моніторингу їх стану, з її допомогою власник може стежити за своїм кораблем. Забезпечує комунікацію між судами. Пристрій працює за допомогою передачі сигналів в УКХ-діапазоні між судами, плаваючими ретрансляторами і береговими AIS-шлюзами, які підключені до інтернету. Всі судна, що здійснюють міжнародні рейси, судна місткістю не більше 500 регістрових тонн, а також всі пасажирські судна повинні бути оснащені AIS. Система працює на морської пошуково-рятувальної техніки.

ECDIS (Electronic Chart Display and Information System) — електронно-картографічна навігаційно-інформаційна система, збирає та використовує повідомлення AIS, дані з радарів, GPS і інших суднових датчиків (гірокомпас) і зіставляє їх з вшитими картами. Використовується для навігації, автоматизації деяких завдань судноводія і підвищення навігаційної безпеки мореплавства. Варто відзначити, що до 2019 року ECDIS повинні бути обов'язково встановлені на всіх судах. Система зазвичай представляє з себе приєднану до суднових датчиків і приладів робочу станцію (або дві — для моніторингу і для планування курсу), на якій встановлений ECDIS-софт.

VDR (Voyage Data Recorder) — реєстратор даних рейсу, бортовий самописець, аналог «чорного ящика», який використовується в авіації. Основні завдання — запис важливою рейсової інформації судна, включаючи як технічні та курсові дані, так і голосові записи з капітанського містка, і її збереження у разі надзвичайної ситуації.

TOS (Terminal Operating System) — IT-інфраструктура, що служить цілям автоматизації процесів, що відбуваються з вантажами в порту — їх навантаження і розвантаження, інвентаризацію та моніторинг руху по території порту, оптимізацію складування і пошук потрібних в даний момент контейнерів, забезпечення подальшого транзиту. Самий складний і неоднорідний пункт списку, так як на практиці може бути як цілісним продуктом конкретного вендора, так і сукупністю систем (в тому числі широкого призначення), виконують різні завдання.

CTS (Container Tracking System) — система, що дозволяє відслідковувати рух контейнерів за допомогою GPS і, рідше, інших каналів передачі даних. Більшість компаній, зайнятих у даній сфері, також пропонує і відстежують пристрої для інших сфер, наприклад персональні трекери для туристів, рішення для відстеження автотранспорту та ін

EPIRB (Emergency Position Indicating Radio Beacon) — аварійний радіобуй, передавач, подаючий при активації сигнал лиха, передача якого, в залежності технології виконання, може здійснюватися через супутник, в діапазоні УКВ або ж комбіновано. Крім сигналу лиха, деякі EPIRB можуть також передавати інформацію про судно (при синхронізації з AIS).



Радіобуй EPIRB

Дослідження, проведені в останні кілька років, а також інформація про інциденти, яка все-таки стала доступна широкому колу осіб, лише підтверджують побоювання про безпеку морського сектора.

Автоматична ідентифікаційна система AIS

Велике дослідження, присвячене безпеки AIS, було проведено дослідниками компанії Trend Micro. Результати дослідження були представлені на конференції Black Hat Asia 2014 [6]. Розглядалися два напрямки атаки: перший — на AIS-провайдерів, які збирають дані з AIS-шлюзів, встановлених на узбережжях для збору інформації AIS і далі для надання комерційних і безкоштовних сервісів у реальному часі (наприклад, MarineTraffic).



Зовнішній вигляд AIS-пристрої

Другий тип атаки — на рівні радіопередачі, тобто самого протоколу AIS. Атака на протокол була проведена з використанням SDR (software-defined radio). Архітектура протоколу була розроблена досить давно, механізми валідації відправника і шифрування переданих даних не було передбачено, так як ймовірність використання дорогого «залізного» радіообладнання для компрометації технології розцінювалася як низька. Дослідження показало можливість наступних сценаріїв:

  • зміна даних про судно, включаючи його місцезнаходження, курс, інформацію про вантаж, швидкість та ім'я;
  • створення «кораблів-примар», пізнаються іншими судами як даний судно, в будь-якій локації світу;
  • відправка неправдивої погодної інформації конкретним судам, щоб примусити їх змінити курс для обходу неіснуючого шторму;
  • активація помилкових попереджень про зіткнення, що також може стати причиною автоматичного коректування курсу судна;
  • можливість зробити існуюче судно «невидимим»;
  • створення неіснуючих пошуково-рятувальних вертольотів;
  • фальсифікація сигналів EPIRB, активуючих тривогу на розташованих поблизу судах;
  • можливість проведення DoS-атаки на всю систему шляхом ініціювання збільшення частоти передачі AIS-повідомлень.
Крім того, варто відзначити, що персонал судна може виключати свою AIS, стаючи «невидимкою» (за даними CyberKeel, досить поширена практика для проходження небезпечних ділянок акваторії, таких як Аденську затоку, «вотчину» сомалійських піратів), а в деяких випадках міняти трансльовану інформацію вручну.

Нанесення на AIS-карти неіснуючого військового корабля країни А в територіальних водах країни Б може спровокувати дипломатичний конфлікт. Крім того, атака зловмисника також може призвести до відхилення судна з курсу в результаті підміни повідомлень про можливе зіткнення з ним або до «заманиванию» в певну точку акваторії шляхом створення помилкового сигналу аварійного радіобуя.

Навігаційна система ECDIS

3 березня 2014 року NCC Group випустила звіт, що стосується безпеки ECDIS-систем. У звіті були представлені результати дослідження системи одного з провідних вендорів (назва у звіті не вказується) [7]. Відзначається, що більшість систем цього класу, представляють із себе комплект додатків, встановлених на робочу станцію під управлінням ОС сімейства Windows (часто XP) і розташований на містку судна. До робочої станції з ECDIS, за допомогою бортової LAN-мережі, з якої найчастіше є доступ в інтернет, підключені інші системи: NAVTEX (навігаційний телекс, уніфікована система передачі навігаційної, метеорологічної та іншої малої інформації), AIS, радари і GPS-обладнання, а також інші датчики та сенсори.



Інтерфейс системи ECDIS

У комплекті з ECDIS-системами зазвичай не поставляється ніяких засобів інформаційного захисту. Варто також відзначити, що Windows-системи, розгорнуті на суднах, які довго перебувають в рейсах, далеко не завжди встигають отримати навіть критично важливі оновлення безпеки в розумні терміни. Уразливості, знайдені дослідниками з NCC, в основному зв'язані c сервером Apache, що встановлюються в комплексі з системою. Впровадити шкідливий код може як зовнішній порушник через інтернет, так і член команди через фізичний носій, що використовується для оновлення або доповнення навігаційних карт. Знайдені вразливості дозволяли читати, завантажувати, переміщати, змінювати та видаляти будь-які файли, що знаходяться на робочій станції. При такому розвитку подій, атакуючий отримує доступ до читання і зміни даних зі всіх сервісних пристроїв, підключеним до бортової мережі корабля.

Коректна робота ECDIS-системи дуже важлива, її компрометація може призвести до несприятливих наслідків — травм і навіть смерті людей, забрудненню навколишнього середовища і великих економічних збитків. «Завмерла» судно, втративши можливість коректної навігації, перекриє жвавий канал або шлюз на невизначений термін, що викличе при певному збігу обставин величезні економічні збитки. Танкер, що перевозить нафту або інші хімічні продукти і сів на мілину через навігаційних помилок, — готовий сценарій екологічної катастрофи.

Реєстратор даних рейсу VDR

Як було сказано вище, VDR є аналогом літакового «чорного ящика». Дані, отримані з пристрою, вкрай важливі при розслідуванні інцидентів, аварій і катастроф, що сталися на море.



Так виглядає VDR

15 лютого 2012 року, що перебувають на борту італійського приватного танкера Enrica Lexie морські піхотинці, чиїм завданням була охорона судна від можливого нападу піратів, помилково відкрили вогонь на поразку по індійському риболовного судна і вбили двох громадян Індії. З бортового самописця танкера зникли дані з сенсорів та голосові записи за проміжок часу, коли стався інцидент [9]. Називалися дві версії причини того, що сталося: перезапис даних самим VDR та умисне знищення доказів. Пропажа даних природно ускладнила розслідування, яке породило дипломатичний конфлікт Індії та Італії і закінчилося тільки 24 серпня 2015 року.

Пару тижнів опісля після подій на Enrica Lexie, першого травня 2012-го, сінгапурський грузовоз Prabhu Daya протаранив риболовне судно у прибережних водах Індії, в районі Керала, і зник з місця події. В результаті зіткнення загинули троє рибалок. Після того як індійські правоохоронні органи почали розслідування, в пресі спливла цікава деталь: «Під час прибуття посадових осіб на сінгапурське судно, один з членів вставив USB-носій в VDR; це призвело до стирання з нього всіх файлів і голосових записів. Надалі, незважаючи на всі старання експертів, дані відновити не вдалося» [9].

Виробником реєстратора VDR, встановленому на італійському судні Enrica Lexie, була компанія Furino. Пізніше один з пристроїв цієї компанії (самописець VDR-3000) був досліджений співробітниками компанії IOActive. Досліджуване пристрій складався з двох модулів: DCU (Data Collection Unit) і DRU (Data Recording Unit). Модуль DCU представляв з себе Linux-машину з набором інтерфейсів (USB, IEEE1394 і LAN) для підключення до суднових сенсорів, датчиків і інших систем, а також оснащену HDD з частковою копією даних другого модуля. Всередині захищеного від агресивних зовнішніх впливів модуля DRU перебував стек з флеш-дисків, розрахованих на запис даних за 12-годинний період. Пристрій збирав і зберігав всілякі навігаційні та статистичні дані судна, звукозапису розмов на містку судна, всі радіопереговори і радарні знімки. За підсумками роботи були продемонстровані такі можливості, як зміна і видалення даних як з диска DCU, так і з DRU, а також можливість віддаленого виконання команд з привілеями суперкористувача, що повністю компрометує цей пристрій [10].

Справи Enrica Lexie і Prabhu Daya, явно відображають, що видалення даних на VDR може вкрай ускладнити, або ж повністю завести в глухий кут розслідування інциденту, що стався на море. Більш того, якщо в зловмисників є можливість редагування даних на самописці та їх підміни, існує велика ймовірність організації підроблення, що направить розслідування в помилкове русло.

TOS та інші портові системи

Портові інформаційні системи без сумніву є найбільш складними і великими IT-структурами в судноплавстві. «Якщо ти бачив один порт — ти бачив один порт» — фраза, адже кожен порт в цілому і з точки зору інформаційних систем унікальний. Однак багато що говорить про те, що кібербезпеки портів приділяється надзвичайно мало уваги.



Оператор TOS за роботою

Командор берегової охорони США Джозеф Крамек в монографії про кібербезпеки основних американських портів пише наступне: «З шести перевірених портів, тільки в одному була проведена оцінка ризиків кібербезпеки; жоден порт не мав плану реагування на інциденти в розглядуваній сфері. Більш того, з 2,6 млрд дол., виділених за програмою грантів на захист портів, створеної після подій 11 вересня 2001 року, менш 6 млн було витрачено на проекти, пов'язані з кібербезпеки» [11]. Іншими факторами ризику, зазначеними автором, є обслуговування деяких систем компаніями, що не мають відношення до порту, робота співробітників зі своїх пристроїв, відсутність практики проведення інструктажу з кібербезпеки серед персоналу.

Найвідоміший інцидент, пов'язаний з портової кібербезпеки, сталася в порту Антверпена в 2012 році [12]. Коротка схема, за якої контрабанда поставлялася в Європу, полягала в наступному: в контейнери, в яких перевозились зареєстровані та належним чином оформлені товари, що прибувають з Латинської Америки, в порту відправлення довантажувати контрабандні товари (в основному, наркотики і зброя). Після прибуття в Європу «IT-департамент» банди перехоплював 9-знакові PIN-коди, що використовуються для проведення операцій з контейнерами в системах DP World. Ці коди необхідні для проведення операцій з портовими системами навантаження—розвантаження. Після того, як контейнер з контрабандою прибував у Антверпен, контрабандисти, підключені до однієї з портових бездротових мереж, віддавали команду навантажувальним систем переміщати «заряджений» контейнер на свій вантажівка до приїзду власника. Оперативна робота, що почалася після скарг компаній періодичної про зникнення контейнерів, призвела до серії обшуків та рейдів в Данії, Нідерландах і Бельгії. Були знайдені зброю, готівка і кокаїн, п'ятнадцять людей було затримано. Забавно, що подібний технологічний підхід до контрабанди фігурував в масовій культурі за кілька років до подій в Антверпені: у другому сезоні телесеріалу «Прослушка» (The Wire) історія розвивається навколо американського порту Балтімор (за сюжетом однієї з серій, злочинці підкуповують робочих доків для підміни записів про контейнери, в яких перевозяться наркотики). Джим Гирмански, колишній агент ФБР, нині — голова компанії Powers International, що надає послуги охорони і моніторингу у сфері логістики, заявляє, що «антверпенское» справа його не здивувало, тому що більшість транспортних компаній не мають ні найменшого поняття про те, як захистити доставляється контейнер [13].



Зображення: Bloomberg

За останніми оцінками, щорічно по морю перевозиться понад 420 млн контейнерів щорічно, і тільки 2% піддаються перевіркам з оглядом, так що про реальні обсяги контрабанди, перевезеної навіть у «легальних» контейнерах, важко навіть будувати здогади. Крім наркоторговців і контрабандистів, дірами в безпеці портових та інших логістичних систем можуть у перспективі скористатися і терористичні і радикальні угруповання, наприклад організувати доставку вибухових пристроїв в потрібне місто і, можливо, за чужий рахунок.

CTS, GPS і системи супутникового зв'язку

Морська індустрія активно користується супутниковими технологіями SATCOM (Satellite Communications) для доступу в інтернет, зв'язку судно—судно і судно—суша, GPS/DGPS для позиціонування і навігації, а також відстеження перевезених вантажів.

На конференції Black Hat USA 2015 дослідником компанії Synack Колбі Муром був представлений звіт про безпеки систем GPS-трекінгу Globalstar [14]. Крім комерційних вантажних перевезень, пропоновані компанією рішення використовуються також у видобувній промисловості, системах екологічного моніторингу, автопромисловості, маломірних суднах та багатьох інших сферах. Проведене дослідження показало, що експлуатація знайдених вразливостей приводить до перехоплення і підміни інформації або глушению сигналу.

Як і у випадку з AIS, розкриття проблеми Globalstar стало можливим у зв'язку з розвитком технологій SDR, їх відносними простотою і дешевизною. У мережі Simplex, заснованої на радіопередачі, яка використовується компанією Globalstar для передачі даних між трекерами, супутниками і наземними станціями, відсутні механізми аутентифікації і шифрування, які обслуговують роботу систем, а механізм передачі даних, що працює тільки в одну сторону, не представляє можливості валідації переданих даних. Мур упевнений, що ця проблема присутня не тільки в Globalstar [15].

Супутникові системи зв'язку (SATCOM), у тому числі зв'язують через інтернет суду один з одним і з «великою землею», також містять велику кількість вразливостей, повідомляється в звіті IOActive [16]. Перевірка терміналів супутникового зв'язку, що використовуються в судноплавстві і в інших секторах (авіації, військовому комплексі) і вироблених провідними компаніями індустрії (Harris, Hughes, Cobham, JRC, Iridium), виявила такі критичні проломи в безпеці, як використання пристроями незахищених або навіть недокументованих протоколів, заведені «фабрично» облікові записи, можливість експлуатування функції скидання пароля, бекдори. Проте вся конфіденційна інформація, отримана в ході перевірок та досліджень, включаючи технічні аспекти та процедури проведення перевірок, а також інформацію про можливості експлуатації вразливостей, після передачі її вендорам і регулюючим комісіям, не була викладена у відкритий доступ.

Інший показовий випадок компрометації супутникових систем стався в липні 2013 року. Студенти з Техаського університету в Остіні змогли відмовитися від курсу яхту вартістю 80 млн дол., використовуючи обладнання, ціна якого не перевищувала 3 тис. дол. З допомогою імітатора GPS-сигналів (використовуються, наприклад, при калібруванні обладнання) дублюючи сигнал цього супутника і поступово підвищуючи потужність, їм вдалося «переконати» навігаційну систему судна приймати повідомлення спуфингового пристрою і відкидати сигнал цього супутника як перешкоди. Після того як навігаційна система почала орієнтуватися за даними двох супутників і атакуючого пристрою, дослідникам вдалося відхилити судно від початкового курсу [17].

На закінчення можна сказати про погану підготовленість настільки важливою для будь-якої країни індустрії до часів, коли кібератаки вже не є чимось новим і їх широко використовують в своїх інтересах держави та різні активістські, злочинні і терористичні угрупування. Крім вразливостей та інших дірок в захисті цих систем, також гостро стоїть і проблема неможливості миттєвого застосування оновлень безпеки для систем на суднах, що перебувають у рейсі або віддалених портах. Залишається лише сподіватися, що вищезазначені проблеми не перетворять морські перевезення «бомбу сповільненої дії» і масштабні роботи з виправлення проблем і «загартовування» розглянутих систем почнуться раніше, ніж з'являться серйозні прецеденти.

Список джерел:
  1. Analysis of cyber security aspects in the maritime sector, ENISA, 10.2011.
  2. Maritime Cyber-Risks, CyberKeel, 15.10.2014.
  3. Safety and Shipping Review 2015, H. Kidston, T. Chamberlain, C. Fields, G. Double, Allianz Global Corporate & Speciality, 2015.
  4. All at sea: global shipping fleet exposed to hacking threat, J. Wagstaff, Reuters, 23.04.2014.
  5. MARIS ECDIS900, MARIS brochure.
  6. AIS Exposed: Understanding Vulnerabilities & Attacks 2.0 відео), Dr. M. Balduzzi, Black Hat Asia 2014.
  7. Preparing for Cyber Battleships – Electronic Chart Display and Information System Security, Yevgen Dyryavyy, NCC Group, 03.03.2014.
  8. Voyage of Data Recorder Prabhu Daya may have been tampered with, N. Anand, The Hindu, 11.03.2012.
  9. Lost voice data recorder may cost India Italian marines case, A. Janardhanan, The Times of India, 13.3.2013.
  10. Maritime Security: Hacking into a Voyage Data Recorder (VDR), R. Samanta, IOActive Labs, 09.01.2015.
  11. The Critical Infrastructure Gap: U. S. Port Facilities and Cyber Vulnerabilities, Comdr (USCG) J. Kramek, Center for 21st Century Security and Intelligence at Brookings, 07.2013.
  12. The Mob's IT Department: How two technology consultants helped drug traffickers hack the Port of Antwerp, Robertson J. M. Riley, Bloomberg Businessweek, 07.07.2015.
  13. To Move Drugs, Traffickers Are Hacking Shipping Containers, A. Pasternack, Motherboard, 21.10.2013.
  14. Spread Spectrum Satcom Hacking: Attacking the Globalstar Simplex Data Service, C. Moore, Black Hat USA 2015.
  15. Hackers Could Heist Semis by Exploiting This Satellite Flaw, K. Zetter, Wired, 30.07.15.
  16. A Wake-Up Call for SATCOM Security, R. Santamarta, IOActive, 09.2014.
  17. University of Texas team takes control of a yacht by spoofing its GPS B. Dodson, gizmag, 11.08.2013.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.