ENGINEERINGNET.BE - Erger nog, volgens veel experten én FCCU - de Federal Computer Crime Unit - is de IT-beveiliging van veel bedrijven zo lek als een zeef. Nu is inbreken in een procescontrolenetwerk een stuk moeilijker dan een corporate webserver hacken.
Of beter: 'was' moeilijker, want dankzij de oprukkende open communicatiestandaarden en de Common Off The Shelf-systemen, komen ook PLC's, SCADA-systemen en andere devices hoe langer hoe meer onder vuur te liggen. FCCU adviseert anoniem.
De specialisten, diensthoofden en andere medewerkers van de Belgische federale politie (FCCU), zijn goed vertrouwd met de gevaren die bedrijfsnetwerken bedreigen.
«We moeten de mensen vooral waakzamer maken», stelt men daar. «Ook bij grote bedrijven zijn er problemen, vooral dan met de computertoepassingen die speciaal voor het bedrijf zijn ontworpen. Vroeger kwam zeventig tot tachtig procent van het gevaar van binnenuit. Dat risico is er nog steeds. Bovendien is er een toename van de gevaren die van buitenaf komen. Door systemen met het internet te verbinden, creëert men een bijkomend risico.»
Verhoogd risico
Insiders en andere veiligheidspecialisten beweren dat er verschillende ontwikkelingen zijn die het veiligheidsrisico voor bedrijven aanzienlijk verhogen. Niet alleen is er een nieuwe lichting internetcriminelen. Ook de verschuiving naar open standaarden houdt volgens hen risico’s in.
Bovendien worden netwerken steeds vaker gekoppeld. «Hoe afhankelijker uw bedrijfsactiviteit wordt van uw verbinding met het internet, hoe groter de bedreiging.»
Men denkt overigens dat we nog maar aan het begin staan van de internetcriminaliteit: «Criminelen ontdekken nu pas het internet om misdrijven te plegen.» Experts pleiten dan ook voor een grotere bewustwording: «Bedrijven vragen zich nog te weinig af waar hun zwakke plekken zitten. Het is schrijnend te zien hoe nonchalant sommige organisaties zijn. Veel bedrijven zijn gewoon zo lek als een zeef.»
Een bijkomend probleem is dat veel kennis kan worden verkregen via internet. Er bestaan programma’s die zoeken naar kwetsbaarheden door systemen en programmatuur te onderzoeken op bekende en minder bekende problemen. Een voorbeeld is de kwetsbaarheidsscanner Nessus. Dit (gratis) hulpmiddel kan bijvoorbeeld ontbrekende patches ontdekken. Onlangs is het uitgebreid met allerlei checks op kwetsbaarheden in SCADA-netwerken. Anti-virus programma’s en firewalls zijn hier een must.
Firewalls dienen als grenscontrole tussen twee netwerken. Ze worden bijna altijd gebruikt tussen het kantoorautomatiseringswerk en het internet. Maar ook tussen het procesnetwerk en het kantoorautomatiseringsnetwerk is een firewall onmisbaar, zeker nu het zo eenvoudig is te koppelen. Veel mensen denken dat ze met de aankoop van een firewall klaar zijn, maar dat is helaas niet zo. Sterker nog, dit soort aanvallen behoren tot de meest voorkomende op internet.
De standaard manier van werken is om een applicatie op een webserver, benaderbaar vanaf internet, te misbruiken en via de verbinding die de webserver met interne systemen maakt mee te ‘liften’. Met behulp van deze aanval is het mogelijk door de firewall heen interne systemen te manipuleren.
Ook slecht geschreven applicaties komen helaas maar al te vaak voor. Vaak worden alleen functionele eisen aan applicaties gesteld - 'wat moet een applicatie doen?' Beveiligingseisen - 'wat moet de applicatie vooral niet doen' - zijn echter minstens even belangrijk.
Twee netwerken
Vaak is er in de industrie sprake van twee netwerken: dat voor de procescontrole en een kantoorautomatiseringnetwerk. Op het procescontrolenetwerk vinden we de PLC’s en embedded systemen die de productie aansturen. Op het kantoorautomatiseringnetwerk vinden we de werkstations van de medewerkers en de verdere infrastructuur voor bijvoorbeeld e-mail en web.
«Het inbreken op de corporate webserver is één ding, het inbreken op het procescontrolenetwerk is andere koek. Of moeten we zeggen: was andere koek? Er is namelijk een verschuiving aan de gang van de eerder genoemde gesloten standaarden naar open standaarden zoals we die ook op Internet kennen: TCP/IP, Ethernet, HTTP, enz.
Een embedded device dat al deze protocollen ondersteunt is daarmee eenvoudig met een webbrowser te beheren. Ook zien we een verschuiving van gespecialiseerde systemen naar commodity systemen. Door deze verschuiving naar open standaarden en COTS (Common Off The Shelf) systemen, wordt het opeens veel eenvoudiger om in te breken.
Zoals al eerder aangegeven is het gebruiken van gesloten standaarden niet voldoende om criminelen te weren, maar door de open standaarden wordt het risico wel veel groter. Dit komt door de beschikbaarheid van vele hulpmiddelen en methodes om in te breken op dit soort bekende protocollen en systemen.
Voorbeeld: modbus
Wie op een modbus-netwerk wil inbreken, heeft een machine met de juiste connecties en ondersteuning van het modbus-protocol nodig. Maar indien in het modbus-netwerk gebruik wordt gemaakt van een TCP/IP-protocol, is een standaard PC of laptop al genoeg.
Het daadwerkelijk inbreken is met COTS-systemen ook vele malen makkelijker geworden. Er zijn voldoende hulpmiddelen waarmee dat eenvoudig kan zonder dat de inbreker specifieke kennis nodig heeft. Als er namelijk een bres wordt gevonden in een bepaald stuk software, brengen hackers vaak snel een ‘exploit’ uit: dat is een programma dat het probleem misbruikt om in te breken.
Zulke exploits zijn moeilijker te vinden voor gesloten systemen, omdat die minder gebruikt worden en dus minder interessant zijn. Maar exploits voor bijvoorbeeld Windows besturingssystemen zijn in ruime mate te verkrijgen.
Door het vervangen van specialistische systemen, zoals bijvoorbeeld aangepaste real-time Unix-varianten, door commodity systemen zoals Windows, wordt het aanvallen zo eenvoudig dat praktisch iedereen het kan.
Investeren in beveiliging
Alle specialisten zijn ervan overtuigd dat bedrijven (meer) moeten investeren in IT-beveiliging. Volgens hen is het zonneklaar dat beveiliging meer is dan een hype en echt noodzakelijk is.
Het team van het FCCU stelt dagelijks vast dat personen met slechte bedoelingen - ook in België - misbruik maken van de zwakke beveiliging van bedrijven.
FCCU: «Criminelen dringen binnen in netwerken en gebruiken schijfruimte om, bijvoorbeeld, kinderporno op te slaan of uit te wisselen. Ze gebruiken ook systemen van bedrijven om illegale spams uit te sturen, om software op een illegale manier aan te bieden of om een agressief virus uit te testen.
Ook telefoonnetwerken worden soms gekraakt, waardoor bedrijven torenhoge facturen krijgen voor internationale verbindingen.»
Wat zijn de risico’s?
FCCU: «Niet alleen kan een bedrijf heel wat schade oplopen en daardoor worden geconfronteerd met flink wat kosten. In sommige gevallen riskeert men ook een burgerrechterlijke of zelfs strafrechterlijke vervolging.
Ondanks alle waarschuwingen zijn er nog steeds bedrijven die weinig of geen aandacht besteden aan hun ICT-beveiliging, en wij verzinnen niets. Wij zien alleen wat er rondom ons gebeurt en proberen in te schatten wat de gevolgen kunnen zijn van die evolutie.
De vraag is overigens of wij een 'echte' aanval op onze informaticasystemen kunnen afweren. Wij hebben onze twijfels.»
Hoe moeilijk waterdichte beveiliging is, dat hebben intussen - onder meer - Belgacom en Angela Merkel aan den lijve ondervonden... Engineeringnet-redacteur (wijlen) Hubert Lahaut schreef dit artikel nog voor deze inbraken bekend werden.
(foto's: Panasonic, FreeDigitalPhotos.net)
door wijlen Hubert Lahaut, Engineeringnet
Kader 1:
Wat is de FCCU?
De FCCU is een onderdeel van de directie voor de bestrijding van financiële en economische criminaliteit bij de Federale Politie. De dienst houdt zich vooral bezig met het forensisch onderzoek van complexe IT-systemen die worden gebruikt door of het doelwit zijn van criminelen. Het onderzoek gebeurt in ondersteuning van de centrale opsporingsdiensten en van de regionale Computer Crime Units. Daarnaast tracht de FCCU criminele fenomenen en activiteiten in cyberspace op te volgen.
Kader 2:
Tien tips om uw onderneming (enigszins) te beschermen tegen valkuilen
1. Vermijd alle illegale kopieën en controleer file-sharing
2. Pas de instellingen van uw firewall aan
3. Controleer uw draadloze verbindingen en de drukte van uw dataverkeer
4. Bescherm uw netwerk tegen virussen en spyware
5. Maak geregeld back-ups van uw waardevolle gegevens
6. Zorg voor een IT-gebruikerspolitiek in uw onderneming
7. Zorg ervoor dat uw medewerkers weten wat kan en wat niet kan
8. Ontwerp een standaardprocedure voor wanneer er iets misloopt met uw ICT
9. Zorg ervoor dat uw veiligheidsverantwoordelijke overlegt met uw IT-afdeling
10. Investeer een flink deel van uw ICT-budget in veiligheid