"Windows ongeschikt voor kerncentrales"
In de meeste kerncentrales worden op Windows gebaseerde systemen gebruikt, wat de kans op een cyberaanval vergroot, aldus Juan Santana. Security.nl interviewde de CEO van het Spaanse anti-virusbedrijf Panda Security. "Als je de gebruikersovereenkomst van Windows leest, zegt het onder andere dat het niet veilig genoeg is om binnen kerncentrales gebruikt te worden", zo laat hij weten. Santana vindt het verbazingwekkend dat er centrales zijn die ondanks deze boodschap toch Windows gebruiken, dat niet veilig is, wat zelfs door Microsoft wordt toegegeven. "Er moet wetgeving komen die vertelt welk besturingssysteem we moeten gebruiken." Een cyberterrorist zou via Windows een kerncentrale kunnen binnendringen. "En dan hebben we een groot probleem", aldus de virusbestrijder.
Santana noemt cyberoorlog en cyberterrorisme ernstige en realistische dreigingen, waar ook de security-gemeenschap voor waarschuwt. "Het is geen sciencefiction, het is niet over tien jaar, het is vandaag." Regeringen moeten dan ook actie ondernemen. Ondanks dat er nog geen incidenten hebben plaatsgevonden, spreekt Santana regelmatig met inlichtingendiensten in landen en is er ook veel meer interesse dan voorheen. "Eén van de redenen is dat regeringen actie ondernemen. Ze hebben gezien dat het kan gebeuren"
Botnets
Als voorbeeld noemt de virusbestrijder een botnet in het Amerikaanse elektriciteitsnetwerk. Dat had de potentie om de Oostkust van de VS een week in het donker te zetten. De Amerikaanse autoriteiten zien de cyberdreiging en maken zich volgens de virusbestrijder zorgen. "Het goede nieuws is dat de boodschap overkomt." Met name bij ontwikkelde landen, zoals de VS, Duitsland en Groot-Brittannië, die voor veel zaken van zowel het internet als hun infrastructuur afhankelijk zijn. Aanvallers zouden botnets kunnen inschakelen voor het platleggen van deze essentiële infrastructuur.
Daarbij wijst Santana naar Estland, Georgië en Letland die vanwege een grootschalige DDoS-aanval een dag van het internet waren afgesloten. "Als je het Mariposa botnet neemt, zou je daarmee de internetverbinding van een land als Spanje kunnen uitschakelen." Volgens de virusbestrijder is dit nog niet gebeurt, maar zal het in de toekomst wel gebeuren.
Daarnaast zou een cyberaanval ook maatschappelijk een enorme impact hebben, aldus de Spanjaard. Landen zouden niet op dit soort aanvallen zijn voorbereid, terwijl de mogelijkheid voor aanvallers om dit soort aanvallen uit te voeren, steeds toegankelijker wordt. Aanvallers die niet alleen uit terroristen bestaan, maar ook de Maffia en georganiseerde misdaad.
Paniekzaaierij
Santana vindt het geen paniekzaaierij dat de beveiligingsbedrijven doen, hoewel hij erkent dat het een probleem is om de boodschap te verspreiden. "Mensen denken altijd dat je diensten of producten probeert te verkopen." Cyberaanvallen zijn volgens hem realiteit en daar kunnen commerciële bedrijven tegen beschermen. Net als commerciële beveiligers huizen tegen inbrekers beschermen. Zeker op het gebied van cyberoorlog zijn er veel aanvallen gaande. Niet alleen tegen landen, ook bedrijven zijn het doelwit, waarbij Santana voorbeelden als de aanval op Google en Ghostnet noemt.
Santana vermoedt dat Ghostnet het werk van Aziatische inlichtingendiensten was. "Die hadden programma's verspreid om elektriciteitsnetwerken en ambassades mee te besturen." Kenmerken die op het werk van inlichtingendiensten duiden. "Dat is een realiteit waar regeringen mee te maken krijgen." Zowel de Spaanse als Amerikaanse inlichtingendiensten zien aanvallen van andere inlichtingendiensten op hun infrastructuur, zo merkt hij op. Niet alleen de impact, ook de eenvoud om dit soort aanvallen uit te voeren baren hem zorgen. In het geval van cyberterrorisme zou dit zelfs vrij eenvoudig zijn. "Als je een terrorist bent en je hebt de kennis, dan is het veel eenvoudiger dan het opblazen van een vliegtuig."
Maandag het tweede deel van het interview met Santana over een internetrijbewijs.
Het verbaasd me dat er nu windows gebruikt wordt, je moet in een dergelijke situatie toch 101% begrijpen wat het OS doet, hoe het beveiligd is, wat er mis kán gaan etc etc .. dus, open source.. Misschien een linux versie, misschien een eigen brouwsel, maar het kán niet een commercieel 'geheim' product zijn.
Dit zou eigenlijk moeten gelden voor veel meer ondernemingen, maarja...
klinkklare onzin! Geen enkel OS is helemaal veilig. Als er een wet moet komen, dan zou dit bepaalde eisen moeten vastleggen waar het OS en applicaties voor maatschappelijk kritisch en/of gevaarlijke bedrijven aan moeten voldoen. Daarbij is de vraag of een wet wel de juiste middel is. Ik betwijfel dat de wet dan snel genoeg aangepast kan worden om met de techniek mee te gaan.
Maar.... "goede" hackers kunnen je wel wijzen op de zwakheden in de software. Ik zie liever exposure van dit soort zwakheden en genomen maatregelen om de software te verbeteren, dan de poppenkast die "bij ons is alles feilloos" heet..... Juist die laatste houding (geheim houden van informatie waardoor de juiste personen niet over de juiste informatie beschikken) heeft geleid tot de enige echte meltdown waar we tot nu toe in de wereld mee te maken hebben gehad, en die nog steeds de wereld bedreigt.
Desnoods kun je de besturingsnetwerken van de centrales met elkaar en monitoring stations verbinden door middel van een dedicated glasvezelkabeltje. Dan kun je wel op afstand besturen maar heb je niet de nadelen van een directe internetverbinding. Uiteraard heeft ook zo een dedicated verbindingen risico's, maar veel kleinere dan een verbinding over het internet.
Nee. MS zegt dat het niet veilig genoeg is voor kerncentrales. Dat is iets anders.
En het heeft niets met toegeven temaken, maar ze raden het af. Dat is ook wat anders.
We zijn weer lekker woorden aan het verdraaien...
Het verbaasd me dat er nu windows gebruikt wordt, je moet in een dergelijke situatie toch 101% begrijpen wat het OS doet, hoe het beveiligd is, wat er mis kán gaan etc etc .. dus, open source.. Misschien een linux versie, misschien een eigen brouwsel, maar het kán niet een commercieel 'geheim' product zijn.
Dit zou eigenlijk moeten gelden voor veel meer ondernemingen, maarja...
Het hoeft niet perse open source te zijn, echter dient men wel van een besturingssysteem te gebruiken waarvan men normaal gesproken nooit gebruik zou maken. Zoals Peter V aanhaalt, Integrity is een goede voorbeeld. SCADA vereist andere veiligheidsmaatregelen.
Het zijn altijd dezelfde paniek verhalen die we moeten aanhoren van "deskundigen" die per ongeluk hun boterham verdienen met het bestrijden van zelf gecreeerde gevaren.
Net als vroeger, toen elke theoloog ICT expert werd, mag iedereen van alles roepen en komt direct in de de fabeltjes krant.
Windows wordt nooit gebruikt om te besturen, maar alleen om te bewaken. De besturing zelf zijn vaak autonome systemen waar geen windows in zit. Bovendien hebben alle systemen geen enkele verbinding met de buitenwereld.
De echte experts zullen nooit in de krant komen als het om dit soort informatie gaat.
Allert zijn is goed, maar hou het wel realistisch.
Het gaat allemaal om geld. Vraag is dus wat deze meneer er aan kan verdienen.
Zal ik eens een zeepje laten vallen (en hard wel hollen natuurlijk) heb je wat beters te doen.
Pffff...., dat kan een kind verzinnen.
En die bende van Panda Security zijn zelf niet zuiver op de graat hoor.
In lang vervlogen tijden gebruikte ik hun virus software eens en nog steeds ondanks meerdere malen uitschrijven blijven die de mensen bestoken met zeurderige reclameboodschappen.
Die rommel komt er niet meer op punt.
Hoe zit het nu daadwerkelijk.
Bij iedere energiecentrale en dus ook voor kerncentrales gelden dat er twee zones in de procesautomatisering zijn te onderscheiden; een failsafe en een niet failsafe gedeelte. Indien goed ontworpen vindt er geen communicatie plaats tussen de beide systemen plaats waarbij besturingssignalen uit het niet failsafe systeem apparaten kunnen bedienen uit het failsafe systeem. Dit geldt dus ook voor de HMI, de operator schermen. Failsafe functies mogen dan ook niet vanuit operatorschermen worden bediend. Dit is tegen de normen van het failsafe gebruik in en zal door goede safety engineers ook zo ontworpen zijn. Een juist ontworpen failsafe systeem is een zichzelf controlerend autonoom systeem, waarbij zowel systeemredundantie als procesredundantie in acht worden genomen.
Duidelijk mag zijn de kritische en nucleaire delen uitgevoerd zijn als failsafe. Verder geldt dat de software/hardware in het failsafe systeem niet op Windows gebaseerd zijn. Het engineeringsysteem daarin tegen kan dat natuurlijk wel zijn.
Alvorens een failsafe systeem in bedrijf mag worden wordt er een hash getrokken van de software welke in het systeem geladen is en vergeleken met de hash uit de geprojecteerde software in het engineeringsysteem. Deze hash moet aan de autoriteiten worden overgedragen ivm de controle van softwarefuncties na een calamiteit. Verder mag een systeem alleen in bedrijf wanneer de software uit het failsafe systeem op Eprom is overgezet. Zowel de hash als de Eprom zijn bedoeld om wijzigingen van eenmaal goedgekeurde software te voorkomen. Verder is een complete functietest onderdeel van de inbedrijfstelling.
Conclusie: Windows gebaseerde systemen komen voor in de HMI of engineeringlaag, maar niet op de automatiseringslaag.
Zijn energiecentrales dan niet gekoppeld aan externe netwerken?
Jawel, de procesautomatiseringsleverancier zal voorschrijven dat de systemen moeten worden voorzien van een virusscanner en dat toegang van het office netwerk alleen toegestaan is via een DMZ.
Internettoegang is over het algemeen alleen van toepassing t.b.v. remote service van de procesautomatiseringsleverancier of het overdragen van procesdata. Deze zogenaamde OPC koppelingen kunnen wanneer juist geconfigureerd alleen data verzenden en accepteren geen data van buiten het netwerk. Met de huidige webgebaseerde systemen kan het voorkomen dat met remote nog een control room heeft met HMI schermen. Er zijn verschillende netwerk scenario's mogelijk.
Wel kan een worm of een virus de netwerken op alle lagen van de procesautomatisering platleggen en de bediening onmogelijk maken. Het failsafe systeem op zich zal zich hier echter niets van aantrekken. De centrale zal wel uitbedrijf moeten en dat was dan net de bedoeling.
Da's handig, dan kan je als kwaadwillende in het wetboek opzoeken welk besturingssysteem gebruikt wordt. Zo heb je meteen bruikbare informatie in handen. Daarnaast gaan technische ontwikkelingen zo snel dat je je af kunt vragen of dergelijke zaken via wetgeving geregeld moeten worden. Ook zou je mogelijk op deze wijze commerciele belangen van bepaalde software leveranciers per wet vastleggen. Of dat wenselijk is ? Ik vraag het mij af.
Kan men niet beter kijken naar de vraag of dergelijke systemen aan publieke netwerken gekoppeld behoren te zijn, dan naar de vraag welk OS men moet gebruiken ? De vraag hoe goed de systemen geisoleerd zijn van publieke infrastructuren, welke maatregelen er genomen worden om installatie van niet-geautoriseerde software te voorkomen, en welke fysieke beveiliging er is lijkt mij veel belangrijker dan de vraag welk OS er gebruikt dient te worden.
Da's handig, dan kan je als kwaadwillende in het wetboek opzoeken welk besturingssysteem gebruikt wordt. Zo heb je meteen bruikbare informatie in handen. Daarnaast gaan technische ontwikkelingen zo snel dat je je af kunt vragen of dergelijke zaken via wetgeving geregeld moeten worden.
Ik kan me haast niet voorstellen dat voor ontwerpen van kerncentrales niet al dergelijke certificeringen bestaan.
Wellicht dat anoniem@22.32 dit weet. Zijn beschrijving lezende lijkt het een redelijke insider te zijn.
Dergelijke kritische toepassingen, dienen op hard-/soft-ware te draaien die voor dergelijke toepassingen zijn ontworpen. Zoals HP en IBM main- of mini-frame systemen, of OpenSolaris en OpenBSD met specifieke kernel security en auditing patches op specifieke hardware (dus geen x86 consumenten troep...dus ook geen HP of Dell server van 50.000,- pleuro want dat is ook niet betrouwbaar genoeg).
En uiteraard mogen de besturings elementen, nooit en dan ook nooit aan het publieke internet hangen. Deze dienen via dedicated leased lines (die uiteraard minimaal op laag 3 end-to-end encrypted zijn) aangesloten te worden op de eventuele remote control site.
--
Splinter
Ja er zijn certificeringen.
Een systeem mag pas voor failsafe toepassingen worden ingezet wanneer deze aan de norm voldoet.
Ik zie nog steeds berichten waarbij men over elkaar heen buitelt met allerlei losse reacties.
Nogmaals, failsafe toepassingen worden geheel hardwarematig uitgevoerd. Software mag dan worden geschreven in Unix of Windows applicaties, maar de uiteindelijke code heeft daar niets mee van doen.
Daarnaast geldt dat deze EPROM wordt gebrandt wat op zich al een garantie tegen niet geautoriseerde wijzigingen is.
De kritische delen worden door hardware gebaseerde failsafe systemen bewaakt welke door Windows of Unix systemen worden geladen en daarna aan de hand van een Cause & Effect diagram getest.
Vervolgens wordt de software in een Eprom geladen en niet meer gewijzigd.
Het is dus onmogelijk dat deze systemen worden beïnvloed door malware.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
