Column: Windows 2000 geen veilige basis voor industrie
Stuxnet is een uniek voorbeeld van een bijzonder ingenieus in elkaar gezet stukje malware. De eerste melding van deze malware vond plaats op 17 juni 2010. Het is één van de eerste bekend geworden aanval die specifiek gericht is tegen een industrieel proces-besturingssysteem met de bedoeling informatie te ontvreemden, maar nog meer om sabotage uit te voeren op een specifiek procesonderdeel. Het uiteindelijke aanvalsdoel is Siemens SCADA WinCC en PCStep 7 software. Hierbij wordt via een code injection in PLC controlemodules de uiteindelijke sabotage gepleegd. De meeste besmettingen blijken plaatsgevonden te hebben in Iran en Rusland.
Opmerkelijk feit van Stuxnet is dat het doel een zeer specifiek proces binnen een industrieel besturingssysteem betreft. Door de steeds hogere mate van automatisering, standaardisering en ontkoppeling van industriële netwerken kunnen we een toename verwachten van kwetsbare industriële netwerkenomgevingen gaan zien. Door het kopieergedrag van malware-makers zal er ook een toename zijn van dergelijke aanvallen.
Aanvallen op industriële procesnetwerken zijn niet helemaal onbekend. Dergelijke aanvallen waren tot nu toe vaak het gevolg van pech - denk bijvoorbeeld aan een netwerkworm die zich verplaatst van het besmette kantoornetwerk naar het industriële procesnetwerk en daar zoveel netwerkverkeer genereert dat kritische beveiligingscontrolesystemen in functie belemmerd worden.
Het probleem van industriële netwerkomgevingen, is dat de mogelijke schade van een aanval over het algemeen veel groter is dan binnen een kantoornetwerk. Dit wordt nog bemoeilijkt door de afhankelijkheid van veel industriële omgevingen aan gekoppelde IT-systemen (kantoor- en industriële omgevingen).
Stuxnet en patching
Siemens en de IT-beveiligingswereld hebben gereageerd op Stuxnet met de bekende oplossingen. Microsoft bracht een (nood) securitypatch uit op 2 augustus, Siemens een securitypatch op 18 augustus en een Trend Micro verwijdertool op 4 augustus. Antivirus-leveranciers kwamen met een pattern update (W32.Stuxnet).
De vraag is hoe effectief deze middelen zijn. De securitypatch van Microsoft is geschikt voor besturingssystemen vanaf XP SP3 (en server 2003). Sommige industriële operators stelden daarom de vraag of dit betekende dat IT-omgevingen die gebruik maken van Windows-versies van vóór het XP tijdperk dan automatisch veilig zouden zijn, omdat daar volgens Microsoft blijkbaar geen patch voor nodig zou zijn. Het antwoord op die vraag is dat deze systemen wel degelijk kwetsbaar zijn voor een aanval en die ook door kunnen geven. De beslissing van Microsoft is simpelweg gebaseerd op het gegeven dat er geen support meer wordt geleverd voor dergelijke verouderde systemen.
Geen actief patchbeleid
Het probleem met industriële omgevingen is dat er bijna nooit een actief patchbeleid aanwezig is. Procesbesturingssystemen die jaren geleden specifiek zijn ontworpen op basis van de toen gebruikelijke besturingssystemen en nu nog steeds operationeel worden vaak ‘met rust gelaten’. Een patchproces brengt simpelweg te veel risico met zich mee voor de continuïteit van het bewuste proces. Hierdoor zijn er bijvoorbeeld toch nog steeds verouderde Windows NT / 95 versies te vinden als onderliggende besturingssystemen van industriële procesbesturingssystemen. Dat leverde vóór de integratie van MES, SCADA en ERP met de kantooromgeving overigens nog geen groot (beveiligings)probleem op. Omdat een proactief systeem voor beveiligingspatching vaak ontbreekt, zullen alleen bekende incidenten zoals Stuxnet een organisatie bewegen om actie te ondernemen.
Een veel voorkomend dilemma is welke afdeling vervolgens operationeel verantwoordelijk wordt gesteld voor het patchen van deze systemen, zowel het onderliggende besturingssysteem als de industriële procesapplicatie zelf (en het testen plus ingebruikname ervan). Is de IT-afdeling verantwoordelijk, de operators of de contractleverancier van dergelijke procesbesturingsapparatuur?
Confidentiality, Integrity, Availability (CIA)
Vaak geeft de volgorde van de drie onderdelen in de bekende CIA-methodiek ook meteen de volgorde van prioriteit weer van de informatiebeveiliging in het kantoornetwerk. Binnen de industriële omgeving is deze prioriteit echter precies omgedraaid: in eerste instantie is - met afstand - de beschikbaarheid van de data en de connectie over netwerken van het grootste belang. Vooral van kritische controlesystemen is de beschikbaarheid van de informatie en systemen een eerste vereiste. Elke (beveiligings)belemmering of vertraging tussen de sensoren en controlebesturingssysteem is er één teveel.
Het zelfde geldt voor antimalware. Ook al zou je dergelijke scanners op het onderliggende besturingssysteem van een procesbesturingssysteem kunnen installeren, de vraag is of dat wenselijk is met het oog op het gevolg op de performance op de essentiële processen.
Beveiligingstooling
Een oplossing voor deze continuïteitsrisico’s moet dan ook gebaseerd zijn op een gedegen risicoanalyse van de industriële systemen. Het lukraak inzetten van beveiligingstooling - bekend uit de kantoornetwerkomgeving - is een oplossing die al snel zijn doel voorbij schiet, omdat het industriële netwerkverkeer totaal verschillend is van de kantooromgeving.
Bovendien zijn passieve en actieve beveiligingstools vaak onbekend met de industriële netwerkprotocollen en processen. Op hun beurt kunnen deze processen de (overvloedige) actieve security-scancommunicatie vaak niet aan. De gebruikte netwerkstandaarden en -protocollen zijn wel degelijk anders (PROFINET/PROFIBUS, Powerlink, EtherCAT, MODbus, etc,) dan die we kennen uit het kantoornetwerk.
Kortom: technische oplossingen (virtual pachting, antimalware en firewalling) zijn voldoende in markt verkrijgbaar, maar deze worden nog veel te weinig toegepast in industriële omgevingen. Dit komt doordat de fabrikanten van industriële systemen veelal geen andere applicaties toelaten. Daarom moeten de fabrikanten en ontwikkelaars van industriële omgevingen nu echt de volgende stap gaan maken, door beveiligingssoftware toe laten en recente versies van besturingssystemen te gebruiken. Windows NT4.0, Windows 2000 en Windows 2003 zijn echt al lang achterhaald en bieden geen veilige basis meer voor welke omgeving dan ook.
Bas Dusée - Technical Consultant, AXIANS
Stuxnet maakt daar dan ook handig gebruik van door zich te verspreiden via USB-sticks. Daarbij heb je ook nog eens te maken met zero-day lekken en dan heb je niks aan virtual pachting en antimalware.
Ik denk overigens dat nieuwe producten van de fabrikanten prima Windows 7 ondersteunen. De industrie kiest er alleen voor om hun SCADA-systemen niet elke 5 jaar even te upgraden. Vaak heb je dan hardware die niet meer door de fabrikant ondersteund wordt en kan je zowel hard- als software vervangen ($$$).
De beveiligingsindustrie loopt hier juist achter. Je noemt wel netwerkprotocollen (Profibus etc.) maar de standaard beveiligingsproducten kunnen hier niet mee omgaan.
Microsoft dicht 266 lekken in 2010
Op basis van deze gegevens is geen enkel windows platform veilig.
En in elk in America geproduceerd product zit een backdoor naar Big Brother.
Een operating system wat nooit in contact komt met internet is heb beste....maar dan mogen er geen wormen op usb sticks mee liften.
Microsoft dicht 266 lekken in 2010
Op basis van deze gegevens is geen enkel windows platform veilig.
En in elk in America geproduceerd product zit een backdoor naar Big Brother.
Een operating system wat nooit in contact komt met internet is heb beste....maar dan mogen er geen wormen op usb sticks mee liften.
Windows is een inferieur product en absoluut niet geschikt om een veilig basis te bieden voor de industrie.
In je boordcomputer van je auto zit toch ook geen windows.....gelukkig want ik zou me niet veilig meer voelen.
Windows is een inferieur product en absoluut niet geschikt om een veilig basis te bieden voor de industrie.
In je boordcomputer van je auto zit toch ook geen windows.....gelukkig want ik zou me niet veilig meer voelen.
Windows is een inferieur product en absoluut niet geschikt om een veilig basis te bieden voor de industrie.
In je boordcomputer van je auto zit toch ook geen windows.....gelukkig want ik zou me niet veilig meer voelen.
Prachtig !
Misschien een tip voor IRAN om hun kerncentrales op Playstation 3 software te laten draaien.
Windows is een inferieur product en absoluut niet geschikt om een veilig basis te bieden voor de industrie.
In je boordcomputer van je auto zit toch ook geen windows.....gelukkig want ik zou me niet veilig meer voelen.
Prachtig !
Misschien een tip voor IRAN om hun kerncentrales op Playstation 3 software te laten draaien.
Konden ze er in Irak niet raketten mee besturen net voordat George B. aanklopte?
Bedoelen ze eigenlijk niet.
Windows geen veilige basis voor industrie
Zo'n machine hoor je NOOIT, maar dan ook NOOIT op een LAN netwerk aansluiten. Wat is het nut van een buislaser om met het internet/LAN te verbinden? Niks dus, loop dan ook niet onnodig risico.
Er is voor de Playstation 3 waarschijnlijk geen malware, omdat het niet nuttige informatie bevat [en als je het op het internet publiceert, word je direct aangeklaagd door Sony...]. Daarom is de Playstation 3 niet echt aantrekkelijk.
Kerncentrales op Windows laten draaien [of iig delen van hun hardware] is het slechtste wat ze kunnen doen. Voor zo'n belangrijke functies zou ik zelf een eigen systeem in elkaar zetten, en daar software voor schrijven, wat niet op windows draait.
Terug op de 266 exploits: Dit zijn er gewoon teveel, reken maar na, hoeveel zijn het gemiddelt per product? Daarbij komt nog dat MS niet alle producten tegelijk update... 266 exploits zijn er gewoon teveel. Ook in verhouding.
Probeer Linux, veel veiliger als Windows, sneller en meer betrouwbaar!
Datzelfde zou je ook met het platform voor de besturing van industriële machines kunnen doen. Dan heb je niet de nadelen van vertragingen door virusscanners en is de uitrol van patches te overzien.
Datzelfde zou je ook met het platform voor de besturing van industriële machines kunnen doen. Dan heb je niet de nadelen van vertragingen door virusscanners en is de uitrol van patches te overzien.
Daar heb je zeker gelijk in, Sony beveiligt de PS3 goed. Dat weet ik wel. Maar om toch aan te kunnen tonen dat er altijd een manier is: Dongle Exploit. Dat moet je nog wel weten, een of andere bug zorgde ervoor dat je met zo'n remote internet apparaatje je PS3 kon jailbreaken. Homebrew én gedownloade games draaide gewoon op die jailbreak. Het is dus toch niet onmogelijk.
Wat een goede optie is, zijn die wat 'verouderde' controllers, die bijv. in de auto vind etc.. Die dingen zijn gewoon niet van buitenaf te benaderen.
Je zou verwachten dat juist in de industriële hoek er ingenieurs aan het roer zitten. Ik ken weinig boekhouders die industriële processen besturen.
Voor die betreffende ingenieurs zou het vanzelfsprekend hebben moeten zijn dat er naast een fysieke scheiding tussen de netwerken (wat ik gezien heb bij waterproductiebedrijven) er ook een scheiding in type Operating Systeem had moeten zijn.
En dat zij de keuze hadden gemaakt voor een OS dat geschikt is om processen te besturen.
Windows, met zijn focus op de kantoorautomatisering, is dan niet de meest voor de hand liggende keuze, in tegenstelling tot Unix (Solarix, AIX, HU-UX, en andere) die eerder al vele jaren ingezet werden voor procesbesturing.
Een PS3 zou misschien zelfs een optie zijn, het is geen onzin idee Syzygy, hoewel die juist weer geoptimaliseerd is voor video bewerking.
Voordeel van gescheiden OS-en is ook nog een keer dat het "overspringen" van virussen niet zomaar gebeurt.
Zo'n machine hoor je NOOIT, maar dan ook NOOIT op een LAN netwerk aansluiten. Wat is het nut van een buislaser om met het internet/LAN te verbinden? Niks dus, loop dan ook niet onnodig risico.(..)
Datzelfde zou je ook met het platform voor de besturing van industriële machines kunnen doen. Dan heb je niet de nadelen van vertragingen door virusscanners en is de uitrol van patches te overzien.
Helaas zijn de master-keys publiekelijk beschikbaar, zodat iedereen z'n software kan signen waardoor er allerlei software op de playstation gedraaid kan worden
Tja, en Linux, hoe mooi het ook is, er is nauwelijks bruikbare (industriele) software voor te krijgen.
Reacties van nul-en-weinig waarde mogen hier dus wegblijven. Men blaat, kakelt, mekkert, miept en miauwt maar wat. Typische "kantoor IT reacties" waar we op de werkvloer niets aan hebben, anders dan dat het het management weer op het verkeerde been zet. Kom nu eens een keer niet met "Windows bleeeeeh" kreet, maar los het mee op! Waarom hebben al jullie slimme IT'ers nog niet een werkbaar systeem voor industrieel patchmanagement bedacht?
maar goed...
nu krijgen ze het lid op de neus en ik zeg eigen schuld dikke bult.
het vervelende is alleen dat zometeen wel een kern centrale ophol slaat en er miljoenen mensen de dupe van worden.
Er was eens een tijd dat dergelijke software niet beschikbaar was voor Windows, maar dat heeft ooit iemand ook niet tegengehouden om Windows te willen gebruiken voor dit soort toepassingen.
De oplossing is vrij simpel: Windows wettelijk verbieden.
Lol. Nog nooit gehoord van USB sticks ? Of van het aansluiten van apparatuur op een telefoonlijn of GSM om malware een netwerk binnen te krijgen ? Het is een goede bescherming tegen generieke malware, maar een gerichte aanval, zeker met behulp van insiders, sla je er zeer zeker =niet= mee af.
So what ? Het gaat om de vraag of de vulnerabilities misbruikt kunnen worden. En met 266 vulnerabilities in een jaar - hoeveel undisclosed vulnerabilities denk je dat er in die produkten te vinden zijn ?
Nou ook nog in de procesindustrie, grote NL bedrijven die als ze platgaan maken dat wij het allemaal errrrg koud gaan krijgen thuis. Die laptops met W'2000 worden vooral gebruikt om remote troubleshooting te doen! Bedoel maar. Het is niet zo van dat er een oud PC'tje staat in een hoekje staan te verouderen, welnee, men is erg afhankelijk van deze laptops. En ja, USB is het medium om bestanden te verslepen.
If it ain't broke, don't fix it. Heel simpel. Dus geen gepatch om mogelijke problemen te voorkomen, gezien patchen op zichzelf al een enorm risico is. Even Service Pack 36 installeren kan een bepaalde API call veranderen waar je hijskraan software net gebruik van maakte. Twee dagen om alles weer terug te draaien is twee miljoen verlies.
Zoek maar eens een ouwe olietanker op. Dikke kans dat de navigatie nog op Windows 95 draait.
De huidige computer en automatisering sector, met de snelle upgrade cyclus en business modellen gebaseerd rond geheimhouding en afhankelijkheid, is dus gewoon geen geschikte partner om een robuuste industrie mee te bouwen.
Als dit zo is dan zal hier juist behoorlijk beleid voor moeten zijn.
Waar het hier omdraait is risicoanalyse. Blijkbaar zijn de kosten van een upgrade zo hoog en/of de gevaren van dien aard dat men de risico’s accepteert. Of het is pure onwetendheid.
Maar dit lijkt mij sterk want security en BCM is een hot item in het bedrijfsleven en waarom dan niet in de industrie. Het mitigeren van risico’s is een keuze!
“If it ain't broke, don't fix it
Dit is allang achterhaald en is een kreet die is ontstaan uit angst. Je zal hier gewoon beleid voor moeten maken. Zoals goed verandermanagement. Heel veel updates zorgen er juist voor dat je niet in de problemen komt of zorgen voor een prestatieverbetering. Dat het e.e.a. in samenspraak gaat met je leverancier spreekt vanzelf.
De verwachting is dat alle devices in de toekomst aan elkaar worden geknoopt. Dit betekent dat het beleid in de industrie tav dit onderwerp zal gaan veranderen. Daar is geen ontkomen aan, want de directie blijft verantwoordelijk (Due Care Due Diligence).
Je kritische systemen op een niet meer ondersteund OS laten draaien zal dan uit den boze zijn.
.
Het is zinloos om te discuseren om wel of geen netwerkkoppelingen toe te staan.
We leven nu eenmaal in een tijd dat we open communicatie verlangen.
Je kunt gemakkelijk de analogie maken met autorijden; ja er vallen doden en gewonden en ja we rijden allemaal gewoon door.
En dat moet ook.
Ook kun je je de vraag stellen of bedrijfsprocessen wel zo zijn ingericht om malware te voorkomen. Is het bewustzijnsniveau van de medewerkers dusdanig dat men veiligheid niet alleen associeert met ongevallen maar ook met IT.
Tevens moet er gepatched worden, virusscanners geïnstalleerd en de infrastructuur goed opgezet worden.
Policies en richtlijnen ondersteunen de bedrijfsprocessen.
Voorkomen kun je niets. Dit geldt ook voor ongevallen. Maar het zou goed zijn wanneer de industrie IT security en VCA als gelijkwaardig zou beschouwen voor zijn bedrijfsvoering.
Antimalware, virtual patching, netwerk segmentatie met (snelle) firewalls op netwerk zouden een rol moeten spelen hierin. En dan kan ook. (mits met beleid/kennis ingevoerd en niet lukraak).
Een klein netwerkonderzoekje naar de netwerk beveiliging rond een PLC/SCADA systeem laat al snel allerlei backdoors zien. Zoals ik vorige maand zelf weer heb kunnen ervaren bij een lokale energie centrale voor +\- 550.000 huishoudens. Er is geen enkel netwerk beveiligingsbeleid aanwezig. Men loopt óok in die zin achter, al hoewel men wellicht zou verwachten dat dit wel leeft binnen een omgeving van een energie centrale. Helaas.
Afzender:
Ir. J.P. van Hall
Amitron
PS: Originele auteur van bovenstaande artikel in 2010. Ja, inderdaad niet zo netjes van -de marketing afdeling waar- B. D. werkt. Maar goed dit is off-topic.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
