לגלות פרצה בזמן הבישול

"אם הקדשתם תשומת לב לתעשיית אבטחת המידע בזמן האחרון, אתם בטח מכירים את העמדות של חוקרי אבטחת מידע בנושאי חשיפה של פרצות בארגונים, הכוללות אי הסגרה, הסגרה אחראית והסגרה מלאה", נכתב בפוסט בבלוג של חברת Exodus בפתח לפוסט המבקר מדיניות של הסתרת מידע ומדגים איך עושים הסגרה נאותה על בזמן שמכניסים הודו לתנור.

הפוסט מציין כי ככל שהערך של פרצות הולך וגדל לאורך השנים, כך יותר חוקרים מוצאים עצמם מצדדים בצד של אי הסגרה – והסיבות הברורות הן הגדלת הכנסות על חשבון אחריות קהילתית.

"כשאני קורא כי חברה חדשה ממלטה בשם Revuln גילתה פרצה ביישום SCADA והחליטה לא לדווח לספקים המושפעים מכך אלא למכור את המידע באופן פרטי ללקוחותיה, הסתקרנתי", נכתב בפוסט, כשהוא מביא ציטוט מפי מייסד Revuln כי: "לפני מספר דקות יצרו איתנו קשר מ- ICS-CERT וביקשו פרטים נוספים, אך אנו לא משחררים מידע…הפרצות הן חלק מהפורטפוליו שלנו ללקוחות, כך ששום פרט לא יתפרסם, והפרטים יישארו פרטיים".

מערכות SCADA מפעילות דברים כמו תחנות כוח, שדות תעופה, מתקני ייצור ועוד. בעוד אלא אינם מוגדרים כ"תשתיות אינטרנט", ומחבר הפוסט טוען  כי הם אף יותר חשובים לאבטחה והגנה על הציבור הכללי".

כתגובה, כותב הפוסט מצוות Exodus ניצל זמן חופשי בבוקר חג ההודיה, בזמן שהמתין לאפיה של תרנגול ההודו המסורתי, ובחר למצוא מספר רב ככול שניתן של פרצות יום 0 ב- SCADA. המטרה שלו  "לדווח על כל ממצא כזה ל- ICS-CERT, הקבוצה האחראית על שיתוף פעולה עם ספקי SCADA כדי להבטיח שהפרצות יתוקנו"

רשימת 23 הפרצות בפוסט המקורי (כאן)

"הדבר המעניין ביותר אודות הבאגים האלה", נכתב בפוסט, " הוא כמה טריוויאלי היה למצוא אותם. את הפרצה הראשונה לקח למצוא 7 דקות מרגע שהתוכנה הותקנה. כמי שבילה זמן רב בבקרה של יישומים בסביבות ארגוניות ופרטיות, SCADA היה פשוט להחריד בהשוואה. נראה שהחלק הקשה ביותר במציאת פרצות היה לאתר את התוכנה עצמה. אני מתכנן להגיש בקשה ל- ICS-CERT כי יקימו מאגר של יישום SCADA כדי שחוקרים כמוני יוכלו לבצע בקרה (בתמורה לגילוי הפרצות)".