Peneliti menemukan lubang keamanan berbahaya di pembangkit listrik AS dan perangkat lunak pabrik

Lubang menakutkan dalam perangkat lunak industri dapat memungkinkan peretas untuk mendapatkan kontrol parsial atau bahkan menyebabkan kerusakan fisik di pembangkit listrik, kilang, dan banyak lagi – lebih lanjut mengungkap kelemahan infrastruktur negara yang baru ditemukan, kata seorang analis keamanan.

Dillon Beresford, seorang peneliti yang bekerja untuk Laboratorium NSC di Texas, Rabu lalu mengidentifikasi lubang terbaru dalam perangkat lunak khusus Siemens — yang disebut sistem “kontrol pengawasan dan akuisisi data”, atau SCADA — yang menjalankan pembangkit listrik industri, pabrik, dan infrastruktur lainnya.

Siemens mengumumkan rencana untuk menambal lubang Kamis lalu.

Tidak cukup baik, kata Beresford, Senin.

“‘Fitur keamanan’ yang diusulkan yang direkomendasikan oleh Siemens dilewati dalam 45 menit,” tulis Beresford surat terbuka di papan obrolan tentang perangkat lunak keamanan. “Saya tahu fitur itu cacat sejak mereka menyarankan perbaikan dan menjelaskannya kepada saya.”

Sama seperti komputer yang menjalankan program nuklir Iran disabotase dan dilumpuhkan oleh virus “superworm” dunia maya – yang disebut Stuxnet dan dikutuk keras oleh pemerintah Iran sebagai serangan Barat – perangkat lunak yang digunakan untuk menjalankan sebagian besar industri Amerika (dan dunia), transportasi dan infrastruktur listrik — termasuk pembangkit nuklir dan bahkan beberapa bandara — rentan terhadap serangan dunia maya.

Sistem perangkat lunak tampaknya esoteris, hampir tidak ada produk rak yang akan ditemukan di toko komputer lokal. Tetapi masalahnya serius — cukup nyata sehingga Tim Tanggap Darurat Siber AS dari Keamanan Dalam Negeri mencoba membantu.

“Tim Tanggap Darurat Siber Sistem Kontrol Industri DHS (ICS-CERT) secara teratur terlibat dengan mitra industri dan anggota komunitas keamanan siber untuk berbagi informasi kerentanan yang sesuai dan langkah-langkah mitigasi dalam upaya untuk lebih mengamankan infrastruktur penting negara kita,” seorang pejabat DHS kepada FoxNews. .com.

Setelah penemuan virus Stuxnet, peneliti keamanan mengalihkan penyelidikan mereka ke perangkat lunak SCADA dari perusahaan seperti Siemens, Iconics, 7-Technologies, dan lainnya. Pada bulan Maret, serangkaian lubang pada perangkat lunak jenis ini terungkap.

Sisi positifnya, sistem ini seringkali terisolasi dan sulit diakses, dan jarang terhubung ke Internet untuk tujuan keamanan.

Risiko penyusupan tetap ada, dan perlindungan aktif adalah pertempuran yang berkelanjutan.

Beresford mengatakan bahwa dia menyadari bahaya dari pengungkapan kelemahan keamanan tersebut. Minggu lalu, dia menarik diri dari presentasi yang direncanakan di sebuah konferensi keamanan (“Reaksi Berantai — Meretas SCADA”) pada menit-menit terakhir, mengutip risiko mengungkapkan terlalu banyak informasi.

“Saya sepenuhnya menyadari potensi risiko terhadap ICS dan individu yang menggunakan perangkat ini,” tulisnya pada Senin. “Kerentanannya sangat luas dan memengaruhi setiap negara industri di seluruh dunia.”

Tetap saja, Beresford merasa dia harus maju untuk memaksa pabrikan mengatasi masalah lebih cepat. Siemens mengatakan kepada FoxNews.com bahwa kelemahan yang ditemukan oleh peneliti hanya terletak pada modul tertentu, yang dilindungi oleh sistem keamanan tanpa kompromi.

“Modul kontrol individual tidak mewakili konsep keamanan TI dari pabrik atau jalur produksi,” kata Wieland Siemens, juru bicara Siemens. Dia mencatat bahwa kesalahan ditemukan “dalam kondisi laboratorium dan tanpa tindakan keamanan TI,” dan bahwa dalam semua kasus sistem “masuk ke mode berhenti aman dan menghentikan proses pembuatan.”

“Tidak ada bahaya bagi pabrik, pekerja, dan lingkungan,” tambahnya.

Beresford memohon untuk berbeda.

“Apartemen pribadi saya di sisi kota yang salah tempat saya bisa mendengar suara tembakan di malam hari hampir tidak bisa dijadikan laboratorium khusus,” bantahnya.

“Jam terus berdetak dan waktu sangat penting. Saya berharap lebih dari perusahaan senilai $80 miliar – begitu juga dengan pelanggan Anda,” katanya.