211service.com
Het hacken van industriële systemen blijkt eenvoudig te zijn
Drie presentaties gepland op de Black Hat computerbeveiligingsconferentie in Las Vegas zal vandaag kwetsbaarheden onthullen in controlesystemen die worden gebruikt om energie-infrastructuur zoals gaspijpleidingen te beheren. Dit zijn slechts de laatste tekenen dat dergelijke systemen gevaarlijk vatbaar blijven voor computeraanvallen die verwoestende gevolgen kunnen hebben; en hoewel de onderzoekers oplossingen hebben voorgesteld voor elke fout die ze hebben geïdentificeerd, waarschuwen ze dat de industriële infrastructuur over het algemeen erg kwetsbaar blijft.
De kwetsbaarheden dragen bij aan een groeiende lijst van problemen die zijn geïdentificeerd als gevolg van een recente golf van onderzoek naar de beveiliging van industriële systemen. De vooruitgang om dergelijke beveiligingsproblemen op te lossen verloopt traag, deels als gevolg van het slechte ontwerp van bestaande systemen en deels door een gebrek aan sterke prikkels om de gebreken snel te verhelpen.
Een demonstratie van vandaag zal het publiek besproeien met water uit een replica van een waterplantcomponent die gedwongen wordt onder overdruk te komen. Een andere zal laten zien hoe draadloze sensoren die vaak worden gebruikt om de temperatuur en druk van oliepijpleidingen en andere industriële apparatuur te bewaken, kunnen worden gemaakt om valse metingen te geven die automatische controllers of menselijke operators ertoe verleiden schadelijke maatregelen te nemen. Een derde lezing gaat over gebreken in draadloze technologie die wordt gebruikt in 50 miljoen energiemeters in heel Europa die het mogelijk maken om het energieverbruik thuis of bij bedrijven te bespioneren en zelfs black-outs op te leggen.
Amerikaanse functionarissen hebben vaak gewaarschuwd dat kwetsbaarheden in industriële controlesystemen schadelijke aanvallen op openbare infrastructuur kunnen veroorzaken, met stroomuitval, milieuschade of zelfs verlies van mensenlevens tot gevolg (zie U.S. Power Grids a Hacking Target ).
Alle aanvallen die vandaag worden genoemd, vereisen aanzienlijk minder middelen en vaardigheden dan wat nodig was om de bekendste aanval op een industrieel systeem uit te voeren, de door de VS en Israël gesteunde Stuxnet-operatie tegen het Iraanse nucleaire programma (zie New Malware Brings Cyberwar One Step Dichterbij).
We hebben een paar scenario's gedemonstreerd die een catastrofale storing veroorzaken - een leiding die barst of een tank die overloopt - terwijl we een heel ander beeld naar de controller sturen, zegt Brian Meixell van het beveiligingsbedrijf van Texas Cimatie , die de replica waterplantcomponent meebracht om te pronken met de kwetsbaarheden die hij ontdekte.
Samen met collega Eric Forner maakte Meixell gebruik van een protocol genaamd Dbus dat al sinds de jaren zeventig wordt gebruikt om industriële apparatuur te besturen en dat vandaag de dag nog steeds veel wordt gebruikt op apparaten die vaak rechtstreeks op internet zijn aangesloten. Scans van openbare IP-adressen hebben aangetoond dat ten minste 90.000 industriële besturingsapparaten online zijn en kwetsbaar zijn voor dat soort aanvallen, zegt Forner (zie What Happened When One Man Pinged the Whole Internet). Dbus is onveilig omdat niemand in de branche die het gebruikt, dacht dat het een prioriteit was om het veilig te maken, zegt Meixell.
Lucas Apa, een onderzoeker met IOActive , zegt dat deze houding ook de fout ondersteunt die hij en collega Carlos Mario Penagos hebben gevonden in draadloze sensoren die worden gebruikt om olie-, water-, nucleaire en aardgasinfrastructuur te bewaken. De drie toonaangevende leveranciers van die sensoren hebben ze zo ontworpen dat ze nepmetingen kunnen geven of zelfs kunnen worden uitgeschakeld met een relatief goedkope radiozender met een bereik van 40 mijl, zegt Penagos. We kunnen de totale sluiting van de fabriek laten zien, zegt hij.
Dat probleem - en het probleem dat door het Cimation-team is ontdekt - is nu bekend bij de bedrijven die de apparatuur maken, en bij de industriële en infrastructuurbedrijven die ze kopen, dankzij een programma voor het delen van gegevens van het Department of Homeland Security. Dat programma, ICS-CERT genaamd, voor Industrial Control System Cyber Emergency Response Team, deelt nieuw gepubliceerde gegevens over kwetsbaarheden met getroffen bedrijven en industriële operators.
Maar alleen omdat ICS-CERT een probleem signaleert, betekent niet dat het snel wordt opgelost.
Apa zegt dat hij verwacht dat veel sensoren kwetsbaar zullen blijven voor zijn draadloze aanval, ondanks de actie van ICS-CERT, omdat om het te repareren een fysieke verbinding met de sensoren nodig is om hun software te upgraden. Omdat de apparaten op gevaarlijke plaatsen worden gebruikt, kan het erg moeilijk zijn om ze te grijpen, zegt hij, en sommige bedrijven zullen honderden of meer sensoren hebben.
Sameer Bhalotra, de voormalige senior directeur voor cyberbeveiliging bij het Witte Huis van Obama en nu chief operating officer van het webbeveiligingsbedrijf Impermium , vertelde MIT Technology Review dat hoewel het ICS-CERT goed functioneert, het de vooruitgang op het gebied van industriële beveiliging niet versnelt. Daarentegen zijn softwarebedrijven zoals Microsoft bedreven geworden in het snel patchen van kwetsbaarheden, tot het punt waarop grote fouten nu zeldzaam zijn, zegt Bhalotra. Bedrijven die industriële besturingsapparatuur en software maken, hebben zich nooit veel zorgen hoeven te maken over beveiliging en zijn daarom niet in staat om snel patches te genereren of significante ontwerpwijzigingen door te voeren. Er gebeurt vandaag niets goed georganiseerds, zegt hij. Verkopers zullen gewoon sneller en beter moeten worden in het patchen, en dat zal enige tijd duren.
Een van de redenen waarom het proces zo traag is, is een gebrek aan duidelijke prikkels, zegt Bhalotra. De huidige wetgeving stelt energie-exploitanten of fabrikanten van besturingssystemen niet aansprakelijk voor de gevolgen van slechte beveiliging, zoals schade door een explosie of een langdurige stroomstoring. Alleen de introductie van nieuwe wetgeving om de aansprakelijkheidskwestie op te lossen, zal waarschijnlijk de ontwikkeling van veiligere industriële controlesystemen versnellen, zegt Bhalotra.