Beheer

Security

Infrastructuur blijft kwetsbaar

25 januari 2013

Die conclusie dringt zich op bij meldingen van het ICS-CERT, het Amerikaanse Computer Emergency Response Team, en de resultaten van een onderzoek naar de bereikbaarheid van industriële controlesystemen via internet.

In zijn nieuwsbrief meldt ICS-CERT dat twee Amerikaanse energiebedrijven kwaadaardige software hebben binnengehaald via USB-geheugensticks van medewerkers.

Het eerste incident deed zich voor in een elektriciteitscentrale. De kwaadaardige software – welke precies onthult ICS-CERT niet – werd ontdekt toen een medewerker de IT-afdeling vroeg om zijn USB-drive te inspecteren, omdat die af en toe haperde. Hij gebruikte die drive regelmatig om back-ups van configuratie-instellingen te maken. Uit analyse met recente antivirussoftware bleek dat de verdachte USB-drive drie soorten malware bevatte. Speurwerk elders in de fabriek bracht aan het licht dat nog twee technische werkstations met de geavanceerde malware waren besmet. Deze computers waren “van kritiek belang” voor de werking van de besturings­omgeving en hadden geen back-up.

Het andere incident deed zich begin oktober voor bij een energiebedrijf. Dat ontdekte een computervirus in een controlesysteem. Een reconstructie leerde dat een externe technicus een meegebrachte USB-stick had gebruikt om softwareupdates te uploaden tijdens een geplande onderhoudsbeurt. De technicus wist het niet, maar zijn geheugenstick was voorzien van ‘crimeware’. De infectie had tot gevolg dat de getroffen systemen moesten worden afgesloten. Het opstarten van de energiecentrale na de onderhoudsbeurt liep ongeveer drie weken vertraging op.

Maar het zijn niet alleen stommiteiten van eigen of ingehuurd personeel die kritieke infrastructuren kwetsbaar maken. Industriële controlesystemen zijn vaak ook online benaderbaar, wat kwaadwillenden in potentie in staat stelt om via internet sabotage te plegen op fabrieken, sluizen, bruggen en andere kritieke infrastructuren.

Bob Radvanovsky en Jake Brodsky van Infra­Critical vonden met niet veel meer dan een pc, wat denkwerk en de zoekmachine SHODAN – die is ontworpen om online-apparatuur op te sporen – bijna 500.000 in de industriële sfeer gebruikte apparaten met internetverbinding. In overleg met het Amerikaanse Department of Homeland Security beperkten ze hun lijst tot de 50 meest relevante kritieke systemen. Daarvan bleken alleen al in de Verenigde Staten 7200 exemplaren met internet verbonden te zijn.

De inventarisatie doet geen uitspraak over de kwetsbaarheid van die toegangsdeuren; de onderzoekers hebben niet geprobeerd in te breken. Maar het gaat in de selectie wel om systemen waarvan bekend is dat ze vaak kwetsbaar zijn. Brodsky noemt daarbij specifiek apparaten die inloggen op afstand mogelijk maken; beheerders besteden vaak onvoldoende tijd aan de beveiliging van dat soort tooltjes, omdat ze denken dat niemand van het bestaan ervan afweet. De inventarisatie van Radvanovsky en Brodsky laat zien dat dat ook niet nodig is om ze toch te vinden.

Via het Amerikaanse Computer Emergency Response Team zijn de eigenaren van de 7200 systemen in de VS aangeschreven om ze te wijzen op de mogelijke risico’s. Daarnaast zijn de autoriteiten in de andere landen op de hoogte gesteld van de bevindingen. Om hoeveel mogelijk kwetsbare systemen het buiten de VS gaat is niet bekendgemaakt maar het probleem is kennelijk wijdverbreid: CERT meldt dat er honderd landen zijn verwittigd.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!