Stuxnet is een voorbeeld van een bijzonder ingenieus in elkaar gezet stukje malware. Het is een van de eerst bekende aanvallen gericht op een specifiek industrieel procesbesturingssysteem met de bedoeling informatie te ontvreemden, maar nog meer om sabotage uit te voeren op een specifiek procesonderdeel.
Het uiteindelijke aanvalsdoel is Siemens SCADA WinCC en PCStep 7-software. Toerentalfrequenties werden zo aangepast dat centrifuges in verrijkingsfabrieken het begaven. De meeste besmettingen blijken plaatsgevonden te hebben in Iran en Rusland. Het was hoogstwaarschijnlijk nooit de bedoeling dat deze malware ontdekt zou worden. Onderzoek wijst uit deze malware ontwikkeld is door een organisatie met een grote hoeveelheid resources.
Opmerkelijk feit van Stuxnet is dat het doel een zeer specifiek proces binnen een industrieel besturingssysteem betreft. Door de steeds hogere mate van automatisering, standaardisering en ontkoppeling van industriële netwerken met andere netwerken zullen we een toename van aanvallen op kwetsbare industriële netwerkenomgevingen zien. Ook door het kopieergedrag van malwaremakers kunnen we een toename van dergelijke aanvallen verwachten. Stuxnet zou daarom wel eens het topje van de ijsberg kunnen zijn, omdat verschillen regeringen aangekondigd hebben nu fors te gaan investeren in (het tegengaan) van cybercrime. Daarnaast lijkt nu door de recente aanvallen op grote (o.a. defensie-)organisaties in bijvoorbeeld in de USA, China of Nederland (Diginotar!) een professionele of zelfs overheidgestuurde cyberoorlog aan de gang te zijn. Omdat er nog geen dodelijke slachtoffer vallen, onttrekt dit zich enigszins aan de publieke belangstelling.
Kwetsbaar
Als oude technologie gekoppeld wordt aan nieuwe technologie, ontstaan er vaak beveiligingskwetsbaarheden. Stuxnet op zich is niet zozeer een resultaat van een koppeling van oude technologie aan nieuwe technologie, omdat de eerste besmetting via usb-sticks blijkt te hebben plaatsgevonden en de doelen in aanbouw waren. Wat zondermeer wel waar is dat industriële netwerken steeds meer direct met kantoornetwerken, wireless of met remote access en zelfs internet in verbinding staan. Bij verouderde operating systemen kunnen zo al snel problemen ontstaan. In het verleden zijn er serieuze incidenten geweest door besmettingen door netwerkwormen die zodanig veel verkeer veroorzaakten op industriële netwerken dat beveiligingssystemen niet meer goed functioneerden, waardoor het industriële proces noodgedwongen stopgezet moest worden.
Het lukraak inzetten van it-beveiliging, bekend vanuit de kantoornetwerkomgevingen, lijkt logisch, maar je loopt het risico je doel volledig voorbij te schieten, doordat het industriële netwerkverkeer van een ander type en functie is. Passieve en actieve beveiligingstooling zijn daarnaast vaak onbekend met industriële netwerkprotocollen en processen en op hun beurt kunnen deze processen vertragingen door additionele beveiligingsapparatuur of security-scans soms niet aan. De gebruikte netwerkstandaarden en -protocollen zijn wezenlijk anders (Profinet/Profibus, Powerlink, EtherCAT, MODbus, etc.) dan die uit het kantoornetwerk. Goed bedoelde actieve port- en vulnerability scanners zijn in het verleden wel eens de oorzaak gebleken van het uitvallen van industriele processen door de stormvloed van gegeneerd dataverkeer.
Expertise
Expertise van de security-fabrikant in dergelijke technische industriële omgevingen is noodzakelijk en dient gecombineerd te worden met de expertise van de integrator in zulke omgevingen.
Virtual patching, virtualisatie, netwerksegmentatie met firewalling en antimalwarefunctionaliteit specifiek voor dergelijke omgevingen zijn op zich zaken weermee een bedrijf beveiliging kan realiseren op technisch gebied. Daarnaast is er een werkende operationele organisatiestructuur nodig en een juiste gestelde risicoanalyse.
In de industriële automatisering liggen patching en security op een lager niveau. Bij Stuxnet zijn Siemens en de it-security-wereld weer met bekende oplossingen gekomen. Microsoft kwam op 2 augustus 2010met een (nood-)security-patch, Siemens op 18 augustus 2010 met een security-patch en met een Trend Micro verwijdertool op 4 augustus 2010. Antivirusleveranciers kwamen met een pattern update (W32.Stuxnet).
De vraag is hoe effectief dat is. Microsoft heeft met betrekking tot Stuxnet een security-patch gebracht voor operating systemen vanaf XP SP3 (en server 2003). Een van de sporadische maar illustratieve commentaren van een industriële operator was dat je ‘dus veilig bent zolang je nog Windows-systemen gebruikt van vóór het XP-tijdperk', want daar was immers geen patch voor nodig, of 'geen gebruik maakt van de genoemde Siemens-software'. Hij ging hiermee voorbij aan het feit dat er simpelweg geen support meer vanuit Microsoft geleverd wordt voor dergelijk verouderde systemen, die wel degelijk hier ook kwetsbaar voor zijn en de aanval kunnen doorgeven. Het illustreert ook het gebrek aan algemene it-beveiligings- en patchkennis binnen industriële netwerkomgevingen.
Actief beleid
Binnen industriële omgevingen is bijna nooit een actief patch-beleid aanwezig. Procesbesturingssystemen die jaren geleden specifiek zijn ontworpen op basis van de toen gebruikelijke computer operating systemen en nu nog steeds operationeel zijn, ‘laat je met rust'. Een patchproces brengt simpelweg te veel risico met zich mee voor de continuïteit van een industrieel proces. Hierdoor zijn er bijvoorbeeld toch nog steeds verbazingwekkend veel verouderde Windows NT/95-versies te vinden als onderliggend operating systeem van industriële proces besturingssystemen. Dat leverde in het verleden, vóór de integratie van MES, SCADA en erp in de kantooromgeving, overigens nog geen echt beveiligingsprobleem op, doordat bedrijven stand-alone of kleine geïsoleerde netwerken gebruikten. Het is ook voor menig verouderd besturingssysteem niet te verwachten dat er alsnog een upgrade of patch beleid wordt gemaakt. Daarvoor zijn de impact en het risico te groot en zijn de kosten te hoog (risico analyse).
Een proactief systeem voor beveiligingspatching is dan ook vaak afwezig. Alleen wereldwijd bekende incidenten zoals Stuxnet zullen een organisatie en de leverancier van machines kunnen bewegen om actie te ondernemen. Door bijvoorbeeld wel de besturingssoftware te ontwikkelen op courante operating systemen inclusief een upgrade-beleid, of door bijvoorbeeld toepassing van host-based virtual patching-oplossingen.
Tip aan de redactie: de titel bevat een foutje. Het spreekwoord luidt “het topje van de ijsberg”, niet “het tipje”. In het artikel staat het overigens wél goed.