Download het artikel in 
Géén gewoon OS, maar een superveilige architectuur om industriële automatiserings-, controle- en safetysystemen te beschermen tegen malware à la Stuxnet, Duqu, Flame en Gauss, en tegen terroristische cyberaanvallen.
Volledig van de grond af ontworpen. In een recente blog bevestigt oprichter Eugene Kaspersky de geruchten en maakt hij een einde aan de speculatie. Zijn aankondiging roept alvast méér vragen op dan het antwoorden geeft. Hij heeft de mosterd waarschijnlijk bij Apple gehaald, en het is hem nog gelukt ook. Dank zij niet-geconfirmeerde 'lekken' doet in de wereld van de bloggers en internauten al een tijdje het gerucht de ronde dat malwarebestrijder Kaspersky Labs 'in het diepste geheim' gestart is met de ontwikkeling van een volledig nieuw operating systeem.
Niet het zoveelste in de rij voor de doorsnee IT-gebruiker, maar eentje voor industriële netwerken en dito architecturen in kritische applicaties, zoals kerncentrales, energievoorziening, telecom, spoorweginfrastructuur, verkeerscontrole en dies meer. Voor industriële automatisering, zeg maar, want voor elke fabrikant of exploitant is zijn productiegebeuren 'kritisch' en mag het onder geen bedinging haperen.
Het nieuwe OS zal, zo bevestigt Kaspersky, de bestaande besturingssystemen niet vervangen, maar er als een 'shell' omheen gelegd worden, en als het ware een ondoordringbare barrière opwerpen tegen alle vormen van malware.
Hoe hij het ultieme doel wil bereiken - alle industriële controle- en veiligheidssystemen - ook 'proprietary' en tot op welk niveau in the field? - onkwetsbaar maken voor malware-aanvallen, daar blijft Eugene bijzonder oppervlakkig over. Met recht en rede, waarschijnlijk, concurrenten zulke elke hint met open armen verwelkomen.
Hoewel, erg veel interesse lijkt er bij de grote IT-beveiligers niet te zijn om industriële software veilig te maken. En dat heeft zo zijn redenen, stelt ook de oprichter van Kaspersky Labs.
Maar tegelijk is hij er toch maar mooi in geslaagd hooggespannen verwachtingen te creëren. Want dat er nood is aan beter beveiligde determistische industriële software, dat staat als een paal boven water. Vooral sinds de affaire met Stuxnet en zijn afgeleide varianten Duqu, Flame en Gauss.
Dat is malware die als doel heeft via omwegen één welbepaald type industriële installatie of één fabrikant te treffen. Het Flame-virus staat nu al te boek als het meest complexe virus dat ooit aangetroffen is: om zich voort te planten, kan het zelfs gebruik maken van Bluetooth om het adresboekje te kopiëren van een GSM waarvan de eigenaar toevallig voorbij een besmette computer wandelt...
Een procesingenieur van een oliebedrijf stelt het als volgt op de Amerikaanse gespecialiseerde website ControlGlobal: «We spenderen op onze boorplatformen elk jaar 50 miljoen dollar aan brandbestrijding, en 50.000 dollar aan IT-beveiliging. Als we weten dat beide soorten incidenten tot hetzelfde resultaat kunnen leiden, dan hebben we een probleem: of we spenderen teveel aan brandbestrijding, of te weinig aan IT-beveiliging.»
De weerloosheid van industriële software
«Hoewel industriële software, zoals controle- en veiligheidssystemen, op het eerste zicht sterke gelijkenissen vertonen met bijvoorbeeld kantoornetwerken, gaat het eigenlijk om heel verschillende beestjes», stelt Eugene Kaspersky in zijn blog. «Vooral de prioriteitsafweging tussen beveiliging en gebruiksvriendelijkheid wijkt sterk af.» Maar bovenal: industriële IT-beveiliging is een héél complexe materie.
In een niet-industriële omgeving heeft namelijk de vertrouwelijkheid van de data de hoogste prioriteit. Buitenstaanders mogen niet de bedrijfsgegevens kijken. Geen pottenkijkers gewenst. Punt aan de lijn. Daarom zullen IT-beheerders geïnfecteerde systemen meteen isoleren van niet-geïnfecteerde. Wanneer bijvoorbeeld op de corporate file server een Trojaans paard wordt gedetecteerd, zal de beheerder eenvoudigweg het geïnfecteerde systeem loskoppelen van het netwerk en weer offline opstarten om het probleem aan te pakken.
In industriële omgevingen werkt dat niet zo: daar ligt de hoogste prioriteit bij het draaiend houden van productie of infrastructuur. Ten alle koste, zelfs als de wereld vergaat. Even een (deel)systeem stilleggen - bijvoorbeeld een installatie in een petrochemische plant of een deel van het elektriciteitsnet - is niet aan de orde. Het is zo voor elke industriële installatie, waar ook ter wereld: beveiliging komt altijd en overal op de tweede plaats. Precies de angst voor (productie)onderbrekingen heeft daar de mentaliteit gekweekt om elke nieuwe software, upgrade of patch eindeloos lang te screenen op fouttolerantie. 'Want de productie mocht eens stilvallen'.
Doordat zo'n doorlichting véél tijd en inspanning vereist (en nog steeds niet waterdicht is), troosten veel organisaties zich gewoon niet de moeite om hun informatica up te daten, laat staan nieuwe software te installeren. Eugene Kaspersky: «Soms gaat het zover dat industrie- en infrastructuurbedrijven uitdrukkelijk verbieden om welke vorm dan ook van nieuwe software te installeren. Zo las ik onlangs in de IT-beveiligingsstrategie voor een gemeentelijke afvalwaterinstallatie: 'Regel 1: Afblijven. Onder geen beding wijzigen'.»
Maar het probleem zit dieper. In tegenstelling tot kantoor-PC's die enkele jaren meegaan, worden industriële controle- en veiligheidssystemen gedesigned om enkele decennia te overbruggen. De meerderheid van de thans operationele industriële software is ontworpen in een tijd waar er van cyberaanvallen à la Stuxnet nog geen sprake was.
De ontwerpen van onze kerncentrales stammen uit de jaren zestig en zeventig, toen de pc en het fenomeen 'malware' zelfs nog niet bestonden... 'Zo vereisen bijvoorbeeld de meeste protocollen voor de uitwisseling van informatie tussen PLC en SCADA-systeem geen enkele identificatie of authorisatie vanwege de gebruiker', stelt Kaspersky op zijn website.
Dat betekent dat elk apparaat dat een verbinding maakt met een proces-, fabrieks- of infrastructuurnetwerk, data kan ontvangen en commando's kan uitsturen naar andere apparaten in het netwerk.
Reken niet op patches
Zelfs indien de mentaliteit in de industriële informatica zou veranderen: dat brengt nog geen zoden aan de dijk voor de IT-beveiliging van kritische processen, aldus Kaspersky. Ontwikkelaars van industriële, gespecialiseerde software - bijvoorbeeld PLC- of SCADA-software - zien géén heil in eindeloze broncodeanalyses en patches.
Daarin verschillen ze niet van andere ontwikkelaars. Het is zelfs zo dat ze er op besparen waar mogelijk, en enkel actie ondernemen wanneer gebruikers er hen toe dwingen. Eugene Kaspersky: «Om eerlijk te zijn, dat doen alle ontwikkelaars, niet alleen gespecialiseerde maar zelfs die van de doorsnee huis- en tuinsoftware.
Patches bijvoorbeeld brengen ze enkel uit als hun gebruikers op internetfora melding maken van gaten in de beveiliging.» Vertaling: als de bedreiging 'ernstig' genoeg blijkt. Zo duurde het twee maanden vooraleer Siemens een definitieve patch uitbracht tegen Stuxnet, en Microsoft had zelfs zes maanden nodig om het laatste beveiligingsgat, waarlangs Stuxnet zich verspreidde, in Windows te dichten.
Terwijl al snel duidelijk was dat de superworm schade kon toebrengen aan hyperkritische installaties, zoals kerncentrales. Nog in september 2011 trof dat virus nog tachtig pc's van het bedrijf Mitsubishi Heavy Industries in Japan. De originele Stuxnet-worm is recentelijk overleden, doordat 24 juni 2012 als einddatum in de programmacode was ingebed.
Gewenst: betrouwbare gegevens
Nog een moeilijkheid: het linken van oorzaak en gevolg. Het blijkt bijzonder lastig voor beheerders van processoftware en fabrieksnetwerken om betrouwbare informatie over hun netwerk in zijn geheel binnen te halen. Kaspersky haalt in zijn blog het voorbeeld aan van een aanval op het transmissienet voor elektriciteit: «Theoretisch is de situatie mogelijk waar bij een aanval op een server ergens, aan de andere kant van land, een black-out optreedt. Maar de centrale controlekamer weet van niets: de hackers sturen valse gegevens naar de server van de transmissienetbeheerder...»
Dat is trouwens in het echte leven al gebeurd. Het meest bekende en vaakst geciteerde voorbeeld is dat van de ontevreden technieker in Australië die voor een onderaannemer aan het werk was in een afvalwaterzuiveringsinstallatie. Hij voerde niet minder dan 46 aanvallen uit op het stuursysteem van de pompen, met als gevolg dat een groot deel van Queensland onder het vuile rioolwater kwam te staan.
Het duurde maanden voordat men achterhaalde wat er gebeurd was, precies doordat alle communicatiekanalen binnen het systeem gecompromitteerd waren en verkeerde informatie doorzonden. Uiteindelijk bleek dat de technicus tevergeefs gesolliciteerd had naar een job bij de waterzuiveringsinstantie.
Nog een ander voorbeeld, van recentere datum, is dat van de industriële 'RuggedCom'-router die door een beveiligingslek elke gebruiker toeliet zich de status van 'administrator' toe te kennen en zo toegang te krijgen tot de instellingen van de netwerk- router. Hoeveel mensen destijds misbruik hebben gemaakt van die bres, zal niemand ooit weten.
Evenmin valt te achterhalen hoeveel dergelijke lekken er bestaan. Vaak weten de betrokken bedrijven of organisaties überhaupt niet dat hun beveiliging gecompromitteerd is.
En als ze het ontdekken, houden ze het vaak angstvallig binnenshuis: het risico om het zorgvuldig opgebouwde vertrouwen van alle klanten te verliezen weegt niet op tegen het compenseren van de financiële verliezen van enkele rechtstreeks getroffen klanten. Die het hun eigen klanten om dezelfde reden bij voorkeur ook niet laten weten...
Helaas, het werkt niet ...
Uiteraard zijn overheden, multinationals, infrastructuurbedrijven en de industrie zich méér dan bewust van de gevaren van virussen en cyberaanvallen. Ze hebben maatregelen genomen. Strategieën uitgedokterd. Zelf hackers in dienst genomen.
Maar ten gronde bestaan er slechts twee methodes: een netwerk stand-alone maken door het fysiek los te koppelen van het internet of 'air gaps' te voorzien voor draadloze netwerken, en ten tweede, alle ontwikkelingen in het allerdiepste geheim te laten verlopen.
Maar die methodes werken niet afdoend, stelt Eugene Kaspersky, en om diverse redenen, waaronder de menselijke natuur. Het Stuxnet-virus bijvoorbeeld wist door te dringen tot een hyperbeveiligde Iraanse kerncentrale doordat een operator een geïnfecteerde USB-stick in zijn computer stak.
Hoe voorkom je dat een nachtwaker uit verveling een stick met een filmpje inplugt? Of verhinder je dat een engineer onder etenstijd op zijn draadloos geconnecteerde bedrijfslaptop vakantiefotootjes bekijkt? En wat doe je met een complex virus als Flame dat via Bluetooth de adressen in de GSMs van 'passanten' kopieert en gebruikt om zich voort te planten?
Geheimhouding dan maar?
De broncode van industriële controlesystemen angstvallig geheimhouden blijkt evenmin een afdoende remedie. Enerzijds gelden de meest strikte regels voor alle bij de softwareontwikkeling betrokken partijen, anderzijds liggen de kwetsbaarheden van bijvoorbeeld SCADA-systemen open en bloot op het internet te rapen voor iedereen met slechte bedoelingen.
Kaspersky: «Om nog niet te spreken van zoekmachines zoals Shodan, die speciaal ontworpen zijn om kwetsbaarheden op te sporen. Zoals van SCADA-systemen die eigenlijk tijdens hun installatie eventjes met het internet geconnecteerd moesten zijn, maar waarbij hun eigenaars vergeten zijn ze los te koppelen... Van de meeste populaire SCADA-systemen staat alle informatie vrijelijk beschikbaar op het internet.»
Wat moet dan wel gebeuren?
Eugene Kaspersky: «Ideaal zou zijn de software van alle industriële controle- en veiligheidssystemen van nul te herschrijven, rekening houdend met alle mogelijke, vandaag gekende beveiligingstechnieken en met het nieuwe gegeven van mogelijke cyberaanvallen. Helaas zou die kolossale investering onvermijdelijk de operationele stabiliteit aantasten die van industriële stuursystemen verwacht wordt.»
«Daarom werken we bij Kaspersky aan een alternatief: een compleet nieuw, veilig operatingsysteem, dat in de bestaande industriële controle- en veiligheidssystemen wordt ingebouwd, de 'gezondheid' van de systemen continu monitort en de ontvangst van betrouwbare data over de status van systemen en het netwerk garandeert.»
Ingrijpen op het niveau van de besturingssysteem van controllers, PLC's, SCADA-systemen, CNC's en dies meer dus. En van andere OS zoals die van Microsoft, Apple en de Open Source-gemeenschap. Plus van Google met Android en Apple met iOS, om er maar enkele te noemen. Want meer en meer fabrikanten brengen app's uit waarmee hun machines via populaire smartphones en tablets kunnen aangestuurd worden. Geen eenvoudige opgave, hoe denkt Kaspersky dat te doen? Met behoud van snelle responstijden, betrouwbaarheid en determinisme?
Eugene Kaspersky: 'Dat is eigenlijk heel eenvoudig. Ten eerste: het besturingssysteem zal ontworpen zijn om uitsluitend héél specifieke, welbepaalde taken uit te voeren. Dus zonder mogelijkheden om filmpjes en foto's te bekijken of op sociale media rond te hangen.
Ten tweede: we werken aan nieuwe methodes om code te schrijven die 'by design' ongeschikt zal zijn om op de achtergrond niet-geauthoriseerde taken toe te laten. Dat is cruciaal: het onvermogen om thirth party software uit te voeren, in het systeem te breken of niet-geauthoriseerde applicaties op het OS te laten draaien. En al deze zaken zullen zowel bewijs- als testbaar zijn.»
Meer vragen dan antwoorden
Het lijkt alleszins een schier onmogelijke opgave. De aankondiging alleen al roept meteen een lange rij vragen op, maar dat is vast Kaspersky's bedoeling. Hoe schep je orde in het amalgaam aan operatingsystemen en op maat geschreven software die courant is in de wereld van PLC's en controllers, vraagt een lezer zich in een reactie op Eugene Kaspersky's blog terecht af.
Hoe maakt je één besturingssoftware geschikt voor al die systemen? In een omgeving waar elk controle- en veiligheidssysteem in een fabriek of plant een éénmalige, unieke en vaak nog met de hand geconfigureerde architectuur is? Zal het bijvoorbeeld de 'proprietary' code die de scancyclus van een PLC regelt vervangen? Of Unix voor de historische data en Windows voor de engineering-werkstations, HMI's en SCADA-achtige systemen? En wat met de software voor routers, RTU's en servers?
Want de kwetsbaarheden zijn designmatig en structureel ingebouwd, van de PLC-hardware en de ladderdiagrammen op besturingsniveau, tot de software achter de HMI's... En dan hebben we het nog niet over de vele dataconnecties - via bijvoorbeeld voor MES -vanaf de werkvloer of het proces naar andere IT-bedrijfssystemen. Uit een studie van het US Department of Homeland Security blijken er gemiddeld 11 rechtstreekse connecties te bestaan tussen de operationele (productie)processen en het bedrijfsnetwerk.
Zo bestaat een typisch netwerk uit SCADA-servers op Linux of Windows, databaseservers zoals SQL Server of Oracle, naast PLCs, HMIs, intelligente veldinstrumenten en ERP-systemen van divers pluimage. Hoe sterk de beveiliging van zo'n heterogene structuur is, hangt vooral af van de efficiëntie waarmee al deze IT-systemen kunnen gemonitored worden. En de individuele kennis, kunde en gedrevenheid van de oorspronkelijke ontwerpers van al deze IT-systemen.
Eugene Kaspersky besluit zijn blog alvast met de volgende quote: «En voor ik overspoeld wordt door vragen van collega's, partners en media: het is een gesofisticeerd project, dat we niet kunnen realiseren zonder de hulp van de gebruikers én de aanbieders van industriële automatiserings-, controle- en safetysystemen.
Sommige details kan ik niet vrijgeven wegens het confidentiële karakter van onze samenwerking. Andere niet om te vermijden dat concurrenten met onze ideeën aan de haal gaan. En zijn er de zaken die slechts voor de ogen van een kleine groep bestemd zijn, zoals de antiterroristische aspecten. Maar zodra het kan, kom ik terug meer nieuws.» Waarvan acte.
De blog staat alvast bij onze 'favorieten'. De mail om meer informatie is al verstuurd...
(foto's: IBM, Etihad Airways, Kaspersky)
door Bert Belmans, hoofdredacteur Engineeringnet
