Téléavertisseurs d'entreprise - une source de fuite d'informations critiques

Après le piratage en décembre dernier de l'infrastructure énergétique ukrainienne , les services de sécurité des installations industrielles d'Ukraine, de Russie et d'autres pays ont commencé à accorder plus d'attention au problème de la protection contre les cyberattaques. Il est vrai que des vulnérabilités dans la protection des informations subsistent, et il y en a plusieurs. Certains moyens potentiels d'accéder à d'importantes ressources d'entreprises industrielles, de centrales nucléaires, d'usines et d'usines peuvent sembler très inhabituels. Par exemple, les téléavertisseurs. Pour la plupart, ces appareils primitifs n'utilisent pas de chiffrement, ce qui les rend vulnérables aux intrus.

Grâce aux canaux de pagination, les employés de l'entreprise envoient et reçoivent des données importantes liées au diagnostic et aux caractéristiques techniques de l'équipement des entreprises. De la même manière, souvent, d'autres informations propriétaires sont transmises, y compris les noms des employés, les téléphones internes de l'entreprise et parfois les informations de compte.

«Étant donné que les téléavertisseurs ne chiffrent pas les données transmises, un attaquant peut recevoir des informations de ces appareils à distance. Tout cyberespion a besoin d'obtenir de telles données est un système radio défini par logiciel et 20 $ US pour le dongle lui-même », a déclaré Trend Micro dans un communiqué .

Les experts de l'entreprise ont fait une telle conclusion après avoir cherché des moyens possibles d'obtenir des données fermées des entreprises par des crackers. Ce travail a été effectué pendant quatre mois à la fois dans plusieurs entreprises aux États-Unis et au Canada. Au total, les spécialistes de Trend Micro ont vérifié environ 55 millions de pages de messages de téléavertisseurs enregistrés, où environ un tiers des messages étaient constitués de lettres et de chiffres. D'autres messages étaient simplement des numéros ou une tonalité d'appel d'employé.

Dans certains cas, les employés de l'entreprise ont reçu des notifications des systèmes de sécurité de l'entreprise contenant des informations sur ce qui s'était passé. Par exemple, il s'agit de notifications concernant la défaillance du chauffage, de la ventilation et d'autres éléments d'infrastructure des hôpitaux et des entreprises industrielles. Dans un cas, des informations secrètes sur des paramètres importants des systèmes de production ont été régulièrement envoyées au téléavertisseur d'un employé d'une grande entreprise chimique. Il sera superflu de dire que ces données ont également été transmises sous une forme ouverte.

« , . , , , ..», — Trend Micro.

Trend Micro , :

• ;
• , , ;
• ;
• ;
• ;
• ;
• .

Le rapport de la société, en particulier, déclare ce qui suit: «Nous avons été surpris que les messages non cryptés envoyés aux téléavertisseurs des employés de grandes entreprises industrielles contiennent des informations aussi importantes. Nous parlons de centrales électriques, d'usines chimiques, d'entreprises de l'industrie de défense, d'usines de production de semi-conducteurs. Ces messages non chiffrés sont un canal de surveillance passive possible par les attaquants. »

Les téléavertisseurs n'utilisent pas le chiffrement ou l'authentification des utilisateurs - rien qui puisse être considéré comme une protection des données. Les données sont transmises en texte clair. Après avoir reçu un message, un employé de l'entreprise ne sait généralement pas qui l'a envoyé - mais il est tout simplement impossible de vérifier la fiabilité de la source.

Dans certaines situations, les experts en sécurité de l'information de Trend Micro ont eu du mal à comprendre de quoi parlait le téléavertisseur. Mais pour un attaquant qui se soucie de toutes sortes d'informations sur l'entreprise surveillée, tout cela peut être d'un intérêt considérable. Selon les règles, la surveillance des sociétés d'énergie aux États-Unis est effectuée par un organisme de réglementation spécial, la North American Electric Reliability Corporation (NERC). Cette organisation a le droit d'amende les sociétés d'énergie qui protègent mal les données critiques, violant ainsi les exigences de sécurité. Il existe un régulateur similaire dans l'industrie chimique.

Après avoir étudié la situation du chiffrement des données dans les entreprises publiques, les experts en sécurité de l'information posent une question logique: "Pourquoi les programmes de communication comme WhatsApp sont-ils mieux protégés contre le piratage que les systèmes de notification fonctionnant dans les centrales nucléaires et autres entreprises d'importance similaire?" Cette question peut encore être qualifiée de rhétorique, mais une solution à ce problème doit être recherchée maintenant.



Selon les employés des entreprises eux-mêmes, ils ne pourront pas se débarrasser complètement des téléavertisseurs. Le fait est que dans certaines situations, il est nécessaire d'envoyer des messages aux employés dans des endroits où il n'y a ni communication cellulaire ni Internet. Les ingénieurs système SCADA travaillant dans des centrales nucléaires et des entreprises d'importance nationale devraient être disponibles 24h / 24 et 7j / 7. Ces employés reçoivent des téléavertisseurs et le système de communication de certains d'entre eux est satellite. De plus, le problème ne se pose pas seulement dans les téléavertisseurs, mais aussi dans les téléphones satellites: de nombreux systèmes de ce type n'utilisent pas non plus de cryptage. «Lorsque seules les communications sont importantes et qu'il est extrêmement important de restaurer un service ou un équipement, la fiabilité des communications, plutôt que la sécurité, est primordiale», explique un employé de l'une des entreprises.

La recommandation de Trend Micro pour les entreprises qui utilisent des téléavertisseurs est de commencer d'urgence à utiliser le chiffrement et d'ajouter un système d'authentification des utilisateurs. En outre, il est nécessaire d'auditer régulièrement toutes les sources possibles de fuite de données d'entreprise.

Source: https://habr.com/ru/post/fr398689/