image

Duitsland beschermt fabrieken met Snort-regels tegen malware

woensdag 27 juni 2018, 14:43 door Redactie, 9 reacties

De Duitse overheid heeft regels voor het intrusion prevention system Snort gemaakt die fabriekssystemen tegen de Triton-malware moeten beschermen. Vorig jaar wisten aanvallers via de Triton-malware toegang te krijgen tot een Triconex Safety Instrumented System (SIS) werkstation van een Petrochemische fabriek in Saudi- Arabië. SIS-systemen controleren de veiligheid van allerlei processen in een fabriek.

Nadat de aanvallers toegang tot het systeem hadden gekregen besloten ze om de SIS-controllers te herprogrammeren. Daardoor raakten twee controllers in een zogeheten "failed safe" staat en werden de industriële processen automatisch uitgeschakeld. Het werkelijke doel van de aanvallers was om een explosie te veroorzaken, zo lieten onderzoekers die de aanval onderzochten eerder dit jaar weten. Doordat de aanvallers een fout maakten schakelden de controllers zichzelf uit. Inmiddels zouden de aanvallers hun fout hebben verholpen en zou het slechts een kwestie van tijd zijn voordat ze dezelfde techniek tegen een ander industrieel controlesysteem inzetten, zo waarschuwen de onderzoekers.

Om systemen tegen dergelijke aanvallen te beschermen heeft het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, nu specifieke Snort-regels voor de Triton-malware gemaakt en die online gezet. Snort is een intrusion prevention system dat netwerkverkeer kan monitoren. Via Snort-regels kan het systeem bepaalde zaken in het netwerkverkeer herkennen en blokkeren, net zoals een virusscanner van signatures gebruikmaakt. Bij de ontwikkeling van de Snort-regels heeft het BSI samengewerkt met securitybedrijf FireEye en het National Cybersecurity and Communications Integration Center (NCCIC) van de Amerikaanse overheid.

Reacties (9)
27-06-2018, 16:50 door Anoniem
Varkentjes snorren niet. Varkentjes knorren.
Het zijn dus of knort-regels of er is sprake van een verkeerd symbool: geen varkentje maar de huiskat.
(een snorfiets kan ook, of een ouwe Kreidler waarvan men zegt dat hij "snort als een poes in hoge toeren".
28-06-2018, 01:23 door Anoniem
Door Anoniem: Varkentjes snorren niet. Varkentjes knorren.
Dit varkentje snuft.
28-06-2018, 08:20 door Anoniem
Ik zeg altijd, een kerncentrale hang je niet internet. Dus waarom dit wel. Zet die zooi in een apart netwerk.
28-06-2018, 08:58 door Anoniem
Door Anoniem: Ik zeg altijd, een kerncentrale hang je niet internet. Dus waarom dit wel. Zet die zooi in een apart netwerk.

Zucht en zucht . Wie zegt dat die netwerken direct aan internet hangen ?

Maar alle berichtgeving over industriele malware die wel degelijk 'binnen' wist te komen in gescheiden netwerken- zelfs air-gapped netwerken - is je ontgaan blijkbaar ?

Ik hoop niet dat er mensen zijn die denken dat je _klaar_ bent als je je control netwerk maar 'gescheiden' hebt . Dat is beslist nuttig en nodig, maar lang niet altijd voldoende.
28-06-2018, 09:12 door Anoniem
Door Anoniem: Varkentjes snorren niet. Varkentjes knorren.
Het zijn dus of knort-regels of er is sprake van een verkeerd symbool: geen varkentje maar de huiskat.
(een snorfiets kan ook, of een ouwe Kreidler waarvan men zegt dat hij "snort als een poes in hoge toeren".
Varkentjes snorren truffels op vanwege hun perfecte reukvermogen. De vergelijking tussen Snort en een varkensneus klopt aardig.
28-06-2018, 09:13 door Anoniem
Waarom snort? Waarom geen snyk security plug-in op de pipeline?

Ben het wel met anoniem van 8:20 eens. Hier hoort minimaal een airgap tussen.
Waarom zou je risico's lopen door het aan het Internet te hangen door het benaderbaar te maken?

luntrus
28-06-2018, 09:38 door Anoniem
Door Anoniem: Waarom snort? Waarom geen snyk security plug-in op de pipeline?

Ben het wel met anoniem van 8:20 eens. Hier hoort minimaal een airgap tussen.
Waarom zou je risico's lopen door het aan het Internet te hangen door het benaderbaar te maken?

luntrus

En waarom, beste luntrus, denk je dat deze machines aan het internet hangen? Is Stuxnet niet juist gebouwd om airgapped systemen te infecteren?
28-06-2018, 17:01 door Anoniem
Ik zeg, goed bezig! Anderen hier die het allemaal zo goed weten moeten zelf maar eens naar een kerncentrale gaan om het allemaal op poten te zetten.

Waarom aan het internet? Waarom geen tool X of Y? Knorren of Snorren?
28-06-2018, 18:21 door Anoniem
@ anoniem van 9:38

Klopt er zijn meerdere vernuftige manieren gevonden om een airgap naar een geisoleerd systeem te overbruggen (IoT, laser, led, etc.). Zoals stuxnet heeft bewezen zelfs via micro-targeting voor compromittatie van een specifiek systeem element.
"It is a dangerous world out there, hard to get by on a smile".

luntrus
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.