В начале текущей недели стало известно об опасных уязвимостях в реализациях протокола WPA2, позволяющих обойти защиту и перехватить передаваемый Wi-Fi трафик. Как полагают исследователи «Лаборатории Касперского», атака, получившая название KRACK (Key Reinstallation Attack), может также представлять угрозу для систем промышленной автоматизации. К примеру, существует ряд ПЛК (программируемый логический контроллер), применяющих технологию Wi-Fi для беспроводной настройки и управления. Но в основном проблема безопасности WPA2 затрагивает сетевые устройства, смартфоны и планшеты, используемые инженерами и операторами для удаленного доступа к АСУ ТП.
Угроза MitM-атак уже давно является актуальной проблемой для промышленных сетей. В отличие от персональных операционных систем, производители которых уже устранили большинство уязвимостей в реализациях сетевых протоколов транспортного уровня, ПО промышленного оборудования до сих пор подвержено множеству позволяющих осуществить перехват и внедрение трафика проблем, таких как использование предсказуемых ISN для TCP пакетов, reusing the nonce и т.п. Обнаруженные уязвимости в реализациях протокола WPA2 предоставляют злоумышленникам еще одну возможность для атак «человек посередине» на промышленные сети, использующие Wi-Fi для управления промышленным оборудованием, отмечают эксперты.
Wi-Fi используется на промышленных объектах, в том числе на складах (включая порты и сортировочные терминалы), в логистике и при автоматизации производства (особенно в медицинской и пищевой промышленности), в том числе для сбора данных в рамках технического и коммерческого учета. Несанкционированный доступ к такого рода информации, полученный атакующими после расшифровки Wi-Fi трафика, может привести к серьезным последствиям, вплоть до временной остановки процесса транспортировки грузов и потери продукции.
По словам экспертов, проблему не решит даже полный запрет Wi-Fi на территории промышленных предприятий. Как показывают проверки информационной безопасности АСУ ТП, наличие неконтролируемых беспроводных сетей и прямого подключения беспроводных маршрутизаторов к сети управления входят в число типовых нарушений.
Ряд производителей уже выпустили патчи, устраняющие данные уязвимости. До выхода и установки исправлений безопасности при передаче данных по Wi-Fi специалисты рекомендуют использовать шифрование, не связанное с беспроводной передачей данных, например, SSL (SSH, VPN и пр.), которое обеспечит защиту информации даже в случае компрометации Wi-Fi.

Источник: securitylab.ru