image

Column: HOT: SCADA Security

maandag 13 april 2009, 13:13 door Amol Sarwate, 1 reacties

Naarmate meer fysieke systemen worden aangestuurd en beheerd door IT-systemen, zal beveiliging van SCADA steeds belangrijker worden.

De bescherming van Supervisory Control And Data Acquisition, oftewel SCADA, was niet zo lang geleden alleen een punt van aandacht voor managers van complexe industriële productiesystemen, zuiveringsinstallaties en elektriciteitscentrales. In sommige opzichten is dat nog steeds zo. Maar het is iedereen die de laatste SANS 2009 SCADA and Process Control Summit bezocht duidelijk geworden dat IT-security en fysieke security in steeds hoger tempo samensmelten.

Terwijl dit aan de gang is, bestuurt IT steeds meer fysieke systemen - en tegelijkertijd zijn het niet langer alleen de nutsbedrijven en de kritieke infrastructuur die afhankelijk zijn van SCADA-systemen. Ook traditionele productiebedrijven stappen over op SCADA, terwijl de gezondheidszorg en vele andere industrieën telematica omarmen voor het beheer van de meest uiteenlopende en verspreide apparaten. De beveiliging van fysieke controlesystemen zal van veel IT security managers tot het takenpakket gaan behoren.

Momenteel verschillen de deskundigen van mening over hoe kwetsbaar de kritieke infrastructuur van de ontwikkelde wereld is voor een digitale aanval. Sceptici wijzen op de specialiteit van SCADA-systemen, of op hoe weinig succesvolle SCADA-aanvallen er bekend zijn. Maar was Application Security 10 jaar geleden ook niet een specialiteit? En hoeveel aanvallen op webtoepassingen haalden toen het nieuws? Niet veel. Tegenwoordig staan zulke aanvallen bijna dagelijks in de krant.

Na grondig onderzoek is mij één ding duidelijk geworden: SCADA-systemen zijn per definitie kwetsbaar. Ten eerste zijn ze nooit ontworpen met de veiligheid van het netwerk in het achterhoofd, en ten tweede worden ze steeds vaker aangesloten op het internet. Dat is nu niet bepaald geruststellend.

In feite vallen steeds meer SCADA-apparaten ten prooi aan hetzelfde soort zwakheden die IT-systemen en toepassingen al sinds jaar en dag teisteren. Net een maand geleden waarschuwde het Franse Areva haar klanten voor de kwetsbaarheid van haar energiemanagementsoftware e-terrahabitat nadat er gebreken werden gevonden in verschillende versies (5.5, 5.6, 5.7) van het pakket. Het US Computer Emergency Readiness Team (CERT) waarschuwde dat deze versies vatbaar zijn voor manipulatie door een aantal buffer overflow en Denial-of-Service kwetsbaarheden. Klanten die gebruik maken van eerdere versies moeten ook upgraden.

"Een aanvaller kan toegang krijgen tot de privileges van een e-terrahabitat-account of een administratoraccount en willekeurige commando’s uitvoeren, of een kwetsbaar systeem laten crashen," vermeldt CERT's Vulnerability Note VU # 337569. De Note adviseert om direct een patch te installeren.

Veel hedendaagse applicaties en besturingssystemen laten dit soort kwetsbaarheden zien. Met één groot verschil: SCADA-systemen hebben niet alleen impact op gegevens, maar ook op het water, de riolering, chemicaliën, en zoals in het geval van Areva – de energievoorziening.

Het Idaho National Laboratory, dat meewerkt aan het SCADA Test Bed programma van het US Department of Energy, evalueerde talrijke SCADA-systemen, en vond een aantal categorieën van kwetsbaarheden die een zeer nadelige invloed hebben op de veiligheid van deze systemen: gebreken in change management, niet-versleutelde services zoals gebruikelijk in IT-systemen, zwakke beveiliging van gebruikersgegevens, informatielekken via onversleutelde communicatieprotocollen, en meer.

Het is bepaald niet geruststellend dat dit soort kwetsbaarheden is aangetroffen.

Theoretisch zouden SCADA-systemen niet moeten worden blootgesteld aan het internet, maar ik vrees juist dat ze steeds vaker aan IP-netwerken worden gekoppeld. In de meeste industrieën zouden SCADA-systemen compleet geïsoleerd moeten zijn van datanetwerken, om op die manier het risico van aanvallen aanzienlijk te verminderen. Desondanks gebruiken steeds meer installaties SCADA voor het beheer op afstand van hun systemen. Zelfs worden de systemen voor het verzamelen en analyseren van gegevens zelf aangesloten op een internet-enabled zakelijk netwerk. Als deze trend doorzet moet men SCADA-systemen gaan behandelen als alle andere netwerkapparaten: ze moeten worden geïdentificeerd, geïnventariseerd en geanalyseerd op kwetsbaarheden. Het US Department of Energy biedt hier informatie over het National SCADA Test Bed, het Center for SCADA Security, en andere bronnen.

Ik denk dat in de zeer nabije toekomst steeds meer mensen behoefte zullen hebben aan hoe deze systemen zijn te beveiligen.

Door Amol Sarwate, Manager Qualys Vulnerabilities Research Lab

Qualys, Inc. is de toonaangevende leverancier van als een service geboden oplossingen voor on-demand IT security risk en compliance management.

Reacties (1)
15-04-2009, 07:03 door Ghozt
Als scada wordt gekoppeld zoals je hier aangeeft dan heb je op zich gelijk, alleen de belangrijkste functie van scada is informatie voor operators.
Updaten kan alleen als er eerste uitgebreid getest wordt vóórdat een update uitgevoerd wordt en laat voor dat nu net geen geld zijn in de meeste gevallen. Dus worden updates niet uitgevoerd, iets wat de meeste mensen ook best vinden want dan hebben ze er geen werk mee. Testen kost nogal wat tijd, veel meer tijd dan bij een gemiddeld database systeempje in een kantooromgeving.

Zelf heb ik er nogal wat ervaring mee in mijn dagelijkse werk en ik heb gekozen voor een restrictieve openstelling van het netwerk, dat betekent dat slecht een 5 tal pc's door de firewall heen mogen en die pc's is van bekend wat de locatie is, de rest mag er simpelweg niet doorheen.
Het is veiliger dan helemaal open zetten, maar 100% veilig bestaat niet. Wel is het zo, dat je al moet weten dat het netwerk er is, omdat er nergens een dns server is die verbinding maakt met dit netwerk. Dus ook al zou ergens in ons wereldwijde kantoornetwerk een dns server gehackt worden, dan nog is er geen verwijzing te vinden naar dat netwerk.
Alleen die 5 pc's eerder genoemd daarop zijn verwijzingen te vinden.

Ik geef toe er zou meer aan veiligheid gedaan moeten worden het staat dus alleen op gespannen voet met de primaire functie, vanwege het risico dat operators niets meer zien als er een update wordt gedraaid en de fabriek dan stil komt te liggen, ondanks alle redundancy die er in het systeem zit (bij ons dubbel op).
Het blijft een spanningsveld.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.