Brace voor meer aanvallen op industriële systemen in 2013

Een toenemend aantal onderzoekers op het gebied van kwetsbaarheid zal hun aandacht de komende jaren richten op industriële controlesystemen (ICS), maar ook cyberaanvallen, beveiligingsdeskundigen geloven.

Controlesystemen bestaan ​​uit supervisiesoftware die wordt uitgevoerd op speciale werkstations of servers en computerachtige programmeerbare hardwareapparaten die zijn verbonden met en de controle hebben over elektromechanische processen. Deze systemen worden gebruikt voor het bewaken en besturen van verschillende activiteiten in industriële faciliteiten, militaire installaties, elektriciteitsnetten, waterdistributiesystemen en zelfs openbare en particuliere gebouwen. Sommige worden gebruikt in kritieke infrastructuur - de systemen waarvoor grote populaties afhankelijk zijn voor elektriciteit, schoon water, transport, enz., zodat hun potentiële sabotage verreikende gevolgen zou kunnen hebben. Andere zijn echter alleen relevant voor de bedrijven van hun eigenaren en hun storing zou geen wijdverspreide impact hebben.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Malware vertoont fouten

De beveiliging van SCADA (toezichtcontrole en data-acquisitie) en andere soorten industriële besturingssystemen is een onderwerp van veel discussie geweest in de IT-beveiligingsindustrie sinds de Stuxnet-malware werd ontdekt in 2010.

Stuxnet was de eerste bekende malware die specifiek SCADA targette en infecteerde systemen en werd met succes gebruikt om uraniumverrijkingscentrifuges in de Iraanse kerncentrale in Natanz te beschadigen.

Stuxnet was een geavanceerd cyberwapen dat vermoedelijk werd ontwikkeld door natiestaten - naar verluidt VS en Israël - met toegang tot bekwame ontwikkelaars, onbeperkte fondsen en gedetailleerde informatie over tekortkomingen in het controlesysteem.

Aanvallen op kritische infrastructuurcontrolesystemen vereist serieuze planning, informatieverzameling en het gebruik van alternatieve toegangsmethode ds-Stuxnet is ontworpen om te verspreiden via USB-apparaten omdat de Natanz-computersystemen geïsoleerd waren van het internet, misbruikten voorheen onbekende kwetsbaarheden en gerichte zeer specifieke SCADA-configuraties die alleen op de site te vinden zijn. Besturingssystemen die geen deel uitmaken van kritieke infrastructuur worden echter steeds gemakkelijker aan te vallen door minder ervaren aanvallers. Dit komt omdat veel van deze systemen zijn verbonden met internet voor het gemak van extern beheer en omdat informatie over kwetsbaarheden in ICS software, apparaten en communicatieprotocollen zijn gemakkelijker toegankelijk dan in de pre-Stuxnet-dagen. Details over tientallen SCADA- en ICS-kwetsbaarheden zijn in de afgelopen twee jaar openbaar gemaakt door beveiligingsonderzoekers, vaak vergezeld van proof-of-concept exploitcode.

"We zullen een toename zien in de exploitatie van de internettoegankelijke besturingssystemen naarmate de exploits geautomatiseerd worden ", zegt Dale Peterson, CEO van Digital Bond, een bedrijf dat gespecialiseerd is in ICS-beveiligingsonderzoek en -beoordeling, via e-mail.

De meeste internettoegankelijke besturingssystemen maken echter geen deel uit van wat de meeste mensen zouden kritieke infrastructuur overwegen, zei hij. "Ze vertegenwoordigen kleine gemeentelijke systemen, gebouwautomatiseringssystemen, enz. Ze zijn erg belangrijk voor het bedrijf dat ze bezit en beheert, maar zouden voor een groot deel geen grote bevolking of economie beïnvloeden."

Aanvallers die mogelijk geïnteresseerd zouden kunnen zijn bij het richten op dergelijke systemen zijn onder meer politiek gemotiveerde hackers die proberen een verklaring af te leggen, hacktivistische groepen met een interesse in het onder de aandacht brengen van hun zaak, criminelen die geïnteresseerd zijn in bedrijven die chanteren of zelfs hackers die het leuk of opscheppen doen.

Hackers vinden doelen

Een recent gelekt FBI-cyberalert-document van 23 juli onthulde dat hackers eerder dit jaar ongeautoriseerde toegang tot het verwarmings-, ventilatie- en airconditioningsysteem (HVAC) kregen, dat in het kantoorgebouw van een airconditioningsbedrijf uit New Jersey werkte door misbruik te maken van een backdoor-kwetsbaarheid in de besturing doos er op aangesloten - een Niagara besturingssysteem van Tridium. Het doelgerichte bedrijf installeerde soortgelijke systemen voor banken en andere bedrijven.

De inbreuk gebeurde nadat informatie over de kwetsbaarheid in het Niagara ICS-systeem in januari online was gedeeld door een hacker met de naam "@ntisec" (antisec). Operatie AntiSec was een reeks hacking-aanvallen gericht op wetshandhavingsinstanties en overheidsinstellingen georchestreerd door hackers in verband met LulzSec, Anonymous en andere hacktivistische groepen.

"Op 21 en 23 januari 2012 plaatste een onbekend onderwerp opmerkingen op een bekende Amerikaanse website, getiteld '#US #SCADA #IDIOTS' en '#US #SCADA #IDIOTS part-II', "zei de FBI in het gelekte document.

" Het gaat er niet om of aanvallen tegen ICS mogelijk zijn of niet omdat ze zijn, "Ruben Santamarta, een beveiligingsonderzoeker bij beveiligingsadviesbureau IOActive, die in het verleden kwetsbaarheden heeft gevonden in SCADA-systemen, zei via e-mail. "Zodra de motivatie sterk genoeg is, zullen we grote incidenten onder ogen zien. De geopolitieke en sociale situatie helpt niet zo zeker, het is niet absurd om aan te nemen dat 2013 een interessant jaar zal worden."

Gerichte aanvallen zijn niet het enige probleem; SCADA-malware is ook. Vitaly Kamluk, hoofd malware-expert bij antivirusleverancier Kaspersky Lab, gelooft dat er in de toekomst zeker meer malware gericht zal zijn op SCADA-systemen.

"De demonstratie van Stuxnet over hoe kwetsbaar ICS / SCADA een volledig nieuw gebied voor whitehat en blackhat wordt geopend onderzoekers, "zei hij via e-mail. "Dit onderwerp staat in de toplijst van 2013."

Sommige beveiligingsonderzoekers zijn echter van mening dat het maken van dergelijke malware de capaciteiten van de gemiddelde aanvallers nog te boven gaat.

"Het maken van malware die een ICS kan aanvallen. is niet triviaal en vereist veel inzicht en planning, "zei Thomas Kristensen, chief security officer bij vulnerability intelligence en managementfirma Secunia, via e-mail. "Dit beperkt ook aanzienlijk de hoeveelheid mensen of organisaties die in staat zijn om een ​​dergelijke aanval uit te voeren."

"We zijn echter niet overtuigd dat we aanvallen tegen ICS zullen zien," benadrukte Kristensen.

"Most van de ingezette SCADA- en DCS [distributed control system] -toepassingen en -hardware werden ontwikkeld zonder een SDL (Security Development Lifecycle) - denk Microsoft aan het eind van de jaren 90 - dus het is vol met programmeerfouten die leiden tot bugs, kwetsbaarheden en exploits, "zei Peterson. "Dat gezegd hebbende, de PLC's en andere veldapparatuur zijn onveilig van ontwerp en vereisen geen kwetsbaarheid om een ​​kritisch proces te verwerken of op een kwaadaardige manier te veranderen a la Stuxnet."

Peterson's bedrijf Digital Bond bracht verschillende exploits uit voor kwetsbaarheden die worden aangetroffen in veel PLC's (programmeerbare logica-controllers) -SCADA-hardwarecomponenten-van meerdere leveranciers als modules voor het populaire Metasploit-penetratietestraamwerk, een open-brontool die door vrijwel iedereen kan worden gebruikt. Dit gebeurde in het kader van een onderzoeksproject genaamd Project Basecamp, waarvan het doel was om te laten zien hoe fragiel en onveilig veel bestaande PLC's zijn.

"De enige beperking om grote aantallen SCADA- en DCS-kwetsbaarheden te vinden, is dat onderzoekers toegang krijgen tot de apparatuur., "Zei Peterson. "Meer probeert en lukt, dus er zal een toename zijn van kwetsbaarheden die zullen worden bekendgemaakt op welke manier dan ook die de onderzoeker geschikt acht."

Nog steeds patches nodig

Santamarta was het ermee eens dat onderzoekers gemakkelijk zwakke plekken in SCADA-software kunnen vinden.

Er is zelfs een markt voor SCADA-kwetsbaarheidsinformatie. ReVuln, een in Malta gevestigde opstartbeveiligingsfirma, opgericht door veiligheidsonderzoekers Luigi Auriemma en Donato Ferrante, verkoopt informatie over softwarekwetsbaarheden aan overheidsinstanties en andere particuliere kopers zonder ze aan de betrokken leveranciers te melden. Meer dan 40 procent van de kwetsbaarheden in de portefeuille van ReVuln zijn op dit moment SCADA.

De trend lijkt te groeien voor zowel aanvallen als investeringen in het SCADA-beveiligingsveld, volgens Donato Ferrante. "In feite, als we denken dat verschillende grote bedrijven in de SCADA-markt veel geld investeren in het verharden van deze infrastructuren, betekent dit dat het SCADA / ICS-onderwerp een hot topic is en zal blijven voor de komende jaren," zei Ferrante via e-mail.

Het beveiligen van SCADA-systemen is echter niet zo eenvoudig als het beveiligen van reguliere IT-infrastructuren en computersystemen. Zelfs wanneer beveiligingspatches voor SCADA-producten worden vrijgegeven door leveranciers, kunnen de eigenaars van kwetsbare systemen er heel lang over doen om ze te implementeren.

Er zijn maar weinig geautomatiseerde oplossingen voor patchimplementatie voor SCADA-systemen, zei Luigi Auriemma via e-mail. Meestal moeten SCADA-beheerders de juiste patches handmatig toepassen, zei hij.

"De situatie is kritisch slecht," zei Kamluk. Het hoofddoel van SCADA-systemen is continue werking, wat normaal gesproken geen hot-patching of update toestaat - het installeren van patches of updates zonder het systeem of het programma opnieuw te starten - zei hij.

Bovendien moeten SCADA-beveiligingspatches grondig worden getest voordat ze in productieomgevingen worden geïmplementeerd, omdat onverwacht gedrag een aanzienlijk effect kan hebben op de werking.

"Zelfs in die gevallen waarin een patch voor een kwetsbaarheid bestaat, zullen we kwetsbare systemen lange tijd vinden", zei Santamarta..

De meeste SCADA-beveiligingsexperts willen dat industriële besturingsapparatuur zoals PLC's opnieuw worden ontworpen met het oog op beveiliging.

"Wat nodig is, zijn PLC's met elementaire beveiligingsmaatregelen en een plan om deze in de meest kritieke infrastructuur te implementeren. in de komende een tot drie jaar, "zei Peterson.

" Het ideale scenario is dat industriële apparaten veilig zijn ontworpen, maar we moeten realistisch zijn, dat zal tijd vergen, "zei Santamarta. "De industriële sector is een wereld apart, we moeten er niet strikt naar kijken vanuit ons IT-perspectief, maar iedereen beseft dat er iets moet gebeuren, inclusief de industriële verkopers."

Bij afwezigheid van ontwerpapparaten, ICS-bezitters moeten een diepgaande aanpak nemen om deze systemen te beveiligen, zei Santamarta. "Aangezien er standaard industriële protocollen zijn die standaard onveilig zijn, is het zinvol om beperkende maatregelen en verschillende beschermingslagen toe te voegen."

"Koppel ICS los van internet, plaats het in een geïsoleerd netwerksegment en beperk strikt / auditief toegang tot het, "Kamluk gezegd.

" De eigenaren van kritieke infrastructuur moeten zich realiseren dat afzonderlijke netwerken, of op zijn minst afzonderlijke referenties nodig zijn voor toegang tot kritieke infrastructuur, "zei Kristensen. "Geen enkele gezonde en beveiligingsbewuste beheerder meldt zich aan bij een van zijn systemen met behulp van beheerdersreferenties en binnen diezelfde sessie krijgt hij toegang tot het vijandige internet en leest hij e-mails.Dit zou ook moeten gelden voor ICS: gebruik één set referenties om toegang te krijgen tot de ICS-sessie en misschien toegang tot uw internetverbindingssessie met behulp van een virtuele en / of externe desktop-setup. "

Verordening gedebatteerd

De behoefte aan overheidsregelgeving die de exploitanten van kritieke infrastructuur dwong om hun industriële controlesystemen te beveiligen, was een fel bediscussieerd onderwerp en veel SCADA-beveiligingsdeskundigen zijn het erover eens dat dit een goed uitgangspunt kan zijn. Tot dusverre is echter weinig vooruitgang geboekt op dit gebied.

"De meest ambitieuze overheidsverordening, NERC CIP voor de Noord-Amerikaanse elektrische sector, is een mislukking geweest," zei Peterson. "De meesten willen graag overheidsregulering, maar kunnen niet vaststellen wat dit zou zijn."

"Ik zou graag willen dat de overheid eerlijk is en hardop zeggen dat deze systemen onveilig zijn door ontwerp en organisaties die de kritieke infrastructuur SCADA beheren en DCS zou een plan moeten hebben om deze systemen in de volgende één tot drie jaar te verbeteren of te vervangen, "hij zei.

De overheidsverordening zou uiterst nuttig zijn, bovengenoemde Kamluk. Sommige SCADA-leveranciers offeren beveiliging voor ontwikkelingskostenbesparingen zonder rekening te houden met de risico's van dergelijke beslissingen en hun potentiële impact op mensenlevens, zei hij.

Hoewel dit klinkt als een interessant project, valt nog te bezien hoe de SCADA-gemeenschap en de industriesector hierop zullen reageren, zei Santamarta.

"Er zijn niet genoeg details over het nieuwe besturingssysteem om de functies te evalueren," zei Ferrante.. "Om dat te doen, zullen we moeten wachten op een officiële release, maar het grootste probleem bij het adopteren van een nieuw OS is dat het bestaande SCADA-systemen moet kunnen uitvoeren zonder hun code te hoeven herschrijven."