Medewerkers van ot en it leven in gescheiden werelden. Dat maakt ot-systemen kwetsbaar, vinden Daan Keuper en Thijs Alkemade van Computest. Zij wonnen met het blootleggen van ernstige kwetsbaarheden in industrial control systems (ics) onlangs de internationale hackingwedstrijd Pwn2Own. Vorig jaar zetten ze deze vermaarde krachtmeting ook op hun naam.
Keuper is hoofd securityonderzoek bij Computest; Alkemade is daar securityonderzoeker. Tijdens de driedaagse hackwedstrijd in Miami hebben ze kwetsbaarheden aangetoond in verschillende systemen die in industriële omgevingen worden gebruikt om productieprocessen aan te sturen en te beheren.
Pwn2Own heeft eigenlijk drie aparte wedstrijden per jaar. Pwn2Own Vancouver gaat over enterprise-applicaties en is tijdens de conferentie CanSecWest (in mei). Pwn2Own Miami voor ICS is tijdens de S4-conferentie (een conferentie specifiek voor ot-security), normaliter in januari. De iot-editie is in Tokyo tijdens PacSec, rond november.
Vorig jaar wonnen de Nederlandse, ethische hackers in Vancouver door Zoom op de pijnbank te leggen. ‘Daar hebben we toen twee maanden aan moeten werken; nu waren we aan de voorbereiding slechts een paar weken kwijt’, zegt Keuper. Dit jaar reisde het tweetal af naar Miami, de S4-conferentie. ‘Daar is een zaaltje ingericht voor de deelnemers. Je krijgt twintig minuten om te laten zien dat je in staat bent een systeem over te nemen. Er kan dan nog van alles misgaan, bijvoorbeeld omdat je met een andere laptop met een andere configuratie moet werken of omdat de testomgeving anders is dan waarmee je zelf werkte.’
Volgens Zero Day Initiative, de organisator van de wedstrijd, gebruikten Keuper en Alkemade een van de interessantere bugs die ooit bij een Pwn2Own is gezien om de controle op vertrouwde toepassingen van de OPC Foundation OPC UA .NET Standard te omzeilen. Behalve de veertigduizend dollar die ze verdienden voor die specifieke kwetsbaarheid, rapporteerde het tweetal nog drie andere zero-days tijdens de wedstrijd, evenals een fout die andere onderzoekers ook ontdekten. Ze verdienden in totaal negentigduizend dollar voor deze vier kwetsbaarheden en één duplicaat. Niet dat het een gelopen race was. ‘Het verschil met nummer twee was klein’, zegt Keuper.
Interessant doelwit
Fabrieken blijken een interessant doelwit voor hackers. Soms om intellectueel eigendom te stelen, soms om processen te verstoren, soms om losgeld te eisen. De industriële wereld maakt een inhaalslag op het gebied van digitalisering, maar de bijbehorende security blijft achter.
‘Wat we in ons onderzoek hebben gezien bij deze ics-systemen is vergelijkbaar met de kwetsbaarheden die eerder in zakelijke it-systemen zijn gevonden. Je zou het kunnen zien als kinderziekten, die echter grote gevolgen kunnen hebben voor productieprocessen die op hun beurt de gehele supply chain beïnvloeden. Voor organisaties die deze systemen gebruiken is het belangrijk te realiseren dat nu fabrieken softwaregedreven worden, ze ook een interessant doelwit zijn voor hackers’, stelt Keuper.
Computest krijgt dan ook steeds meer klanten uit de industriële sector. ‘Maar het is lastig om die systemen veilig te maken en te houden. De fabrieken draaien dag en nacht door. Als je zegt dat je de boel een dag wilt plat leggen om updates door te voeren, dan ben je vrij snel uitgepraat. Downtime is een gruwel. Alles moet operationeel blijven. Je kunt eigenlijk alleen aan de slag als er systemen worden stil gelegd voor operationeel onderhoud’, legt Alkemade de moeilijke situatie bloot. Daarbij komt dat in industriële omgevingen vaak nog wordt gewerkt met apparatuur dat algauw dertig jaar oud is. ‘In die tijd speelde security geen rol. Daarbij: er is geen fabrikant die dertig jaar lang patches voor de security-aspecten van een apparaat toestuurt.’ Blijft over de architectuur goed te bestuderen en zo veilig mogelijk in te richten.
Meer samenwerken
Maar het zou ook helpen, aldus het tweetal, als ot- en it-professionals vaker en beter met elkaar optrekken. Zij ervaren het als gescheiden werelden. ‘Wij komen op meerdere conferenties. Dan zie je dat een it-conferentie alleen maar it-professionals trekt en ot-conferenties alleen maar ot-professionals. Er moet meer belangstelling komen voor elkaars problemen en oplossingen.’
Volgens Keuper en Alkemade kun je wel proberen het ot-netwerk helemaal gescheiden te houden, maar in de praktijk is er toch altijd wel een internetverbinding nodig. ‘Bovendien zie je it steeds verder oprukken in industriële omgevingen. Uit kostenoverwegingen hebben bruggen niet meer elk een eigen brugwachter, maar worden ze centraal bediend; om maar een voorbeeld te geven.’
Een oplossing zou kunnen zijn om met digital twins te werken: virtuele tweelingbroer van een fysieke installatie/fabriek. Dan zou je de hacking-vaardigheden op de digitale helfte van de tweeling kunnen toepassen om kwetsbaarheden te ontdekken, terwijl de fabriek gewoon door blijft draaien. Je kunt ook de digitale tweelinghelft gebruiken om te achterhalen wat patches veroorzaken of wat het effect van security-aanpassingen is.’
Maar ja, beamen ze in koor, dat kan natuurlijk alleen bij nieuwbouw. ‘Voor bestaande installaties zullen it- en ot-mensen toch gezamenlijk de beste security-oplossingen moeten achterhalen.’