Beheer

Security
Daan Keuper en Thijs Alkemade tijdens Pwn2Own

Nederlands duo wint hackwedstrijd: ‘Tot op het laatst zenuwslopend’

Advies ethisch hackers voor OT: zie het als één netwerk.

Links: Daan Keuper en Thijs Alkemade tijdens Pwn2Own © Pwn2Own
3 juni 2022

Advies ethisch hackers voor OT: zie het als één netwerk.

Ethisch hackers Daan Keuper en Thijs Alkemade, beide werkzaam bij Computest Sector 7, mochten zich dit jaar winnaar noemen van de prestigieuze hackwedstrijd Pwn2Own. De twee vonden meerdere kwetsbaarheden in industriële systemen, waarmee ze 90.000 dollar wonnen. En het is niet de eerste keer dat ze er met de winst vandoor gaan. “We kijken steeds naar nieuwe dingen, dat houdt het spannend”, vertelt Keuper aan AG Connect.

Pwn2Own is een jaarlijkse hackwedstrijd, die al sinds 2007 georganiseerd wordt. Met de wedstrijd worden ethisch hackers als Keuper en Alkemade aangespoord om systemen van deelnemende leveranciers te kraken aan de hand van zerodays, zodat deze op een verantwoordelijke manier onthuld worden. De fouten worden daarna bij de deelnemende partij gemeld, zodat ze verholpen kunnen worden.

Inmiddels is Pwn2Own uitgegroeid tot één van de meest prestigieuze wedstrijden voor ethisch hackers, maar ook een goede manier om het eigen werk en de eigen expertise te tonen. Bovendien valt de wedstrijd goed samen met het werk wat Keuper en Alkemade in het dagelijks leven doen, vertelt Keuper. “Wij hebben de unieke positie dat we het onderzoeksdivisie van Computest runnen, wat betekent dat we onderzoek kunnen doen naar wat wij maatschappelijk relevant achten. We hebben eerder onderzoek gedaan naar het Internet of Things, specifiek in de auto’s van de Volkswagen Group. En toen kwam corona en waren opeens heel veel softwareoplossingen populair. Dat brengt ook weer risico’s met zich mee, dus we dachten: daar kunnen we onderzoek naar doen. Precies op dat moment kwam Pwn2Own met de aankondiging dat onder andere Zoom meedeed aan de wedstrijd. Daar hebben we ons toen op gefocust.”

Dat onderzoek leverde Keuper en Alkemade in 2021 een geldprijs van 200.000 dollar op. En voor Keuper was dat zelfs al de tweede keer dat hij deelnam aan de wedstrijd. In 2012 hackte hij samen met een team een nieuwe iPhone, waarmee hij 30.000 dollar won.

Legacysystemen aan het internet

Dit jaar lag de focus van Pwn2Own op industriële IT-systemen (OT), waar ook Keuper en Alkemade interesse in hebben. “We speelden al langere tijd met dat vraagstuk. Daar zit een enorme securitybehoefte en het is een ander speelveld dan de IT-wereld”, vertelt Keuper. Bovendien blijkt het hands-on testen van dergelijke systemen vaak een probleem: “Je kunt niet garanderen dat alles online blijft. Om gaten te vinden versturen we data die afwijkt van het normale gedrag naar een systeem, maar het kan zijn dat het apparaat dan in de war raakt en offline gaat. Daar schrikken klanten vaak van, dus dan doen ze het toch maar niet. De beschikbaarheid van systemen is alles in de OT-wereld. En dat is natuurlijk logisch, een energiebedrijf kan niet opeens plat liggen. Maar het maakt het lastig om hands-on iets te doen in zo’n omgeving. De competitie gaf ons wel die mogelijkheid.”

Alkemade en Keuper besloten dan ook om opnieuw mee te doen, wat ze opnieuw winst opleverde. Ze vonden in verschillende categorieën kwetsbaarheden, die grote gevolgen kunnen hebben voor de productieprocessen. Zo kunnen door Keuper en Alkemade gevonden fouten in het universele vertaalprotocol OPC Unified Architecture, dat door bijna alle industriële controlesystemen gebruikt wordt om data tussen de systemen van verschillende leveranciers te verzenden, ervoor zorgen dat de systemen niet meer met elkaar kunnen communiceren en stilvallen.

Zerodays blijven (tijdelijk) geheim

Na een wedstrijd van Pwn2Own zijn dus diverse nieuwe zerodays ontdekt, die dan ook nog gedicht moeten worden. Maar juist dat kost tijd. Daarom worden de gevonden zerodays in eerste instantie nog niet openbaar gemaakt. “Vaak wordt er een deadline van drie tot vier maanden gesteld om het te patchen”, zegt Alkemade. “En ze zijn bij de wedstrijd heel voorzichtig. Ze laten niets zien waarmee een kwetsbaarheid gemakkelijker te vinden is.”

Pas als de patches voor de gaten daadwerkelijk uitgebracht zijn, mogen de ethisch hackers wat over de aard van de kwetsbaarheden bekendmaken.

Maar wat vooral opvalt, is dat de fouten die het duo vond vergelijkbaar zijn met kwetsbaarheden die eerder in IT-systemen gevonden weden. “Ze hebben binnen OT een enorme inhaalslag te maken. Dat komt denk ik doordat security lange tijd niet echt een rol speelde binnen deze wereld, omdat al die installaties niet aan het internet hingen. Ze waren wel met elkaar verbonden, maar dat was via een intern, afgesloten netwerk. Een operator die onderhoud moest doen, moest er dus ook fysiek heen. Je ziet dat de trend nu is om alles aan het netwerk te hangen, want dat maakt het makkelijker en goedkoper. Maar dat is ook een nieuw risico, want deze componenten zijn vaak niet voor het internet bedoeld. Ze zijn meestal ouder en niet ingeregeld op dit niveau van security.”

Kasteel met duizend ophaalbruggen

Een veelgebruikte beveiligingsmethode is om het OT-netwerk gescheiden te houden van het IT-netwerk. “Dat heeft dan wel veel haakjes naar het IT-netwerk, maar het blijft een apart stuk. Alles is er dan op gericht om te zorgen dat aanvallers niet op dat OT-netwerk kunnen komen.”

Alkemade en Keuper beschouwen dit echter niet als een goede beveiligingsstrategie: “Er zijn nu zoveel connecties met het IT-netwerk dat het enorm met elkaar is verbonden. Vergelijk het met een kasteel: een kasteel met twee ophaalbruggen kun je nog wel beveiligen, maar één met duizend ophaalbruggen al niet meer. Deze strategie van security officers heeft lange tijd wel gewerkt, maar is naar de toekomst toe niet houdbaar.”

Dé oplossing voor het probleem vinden, is echter zo gemakkelijk nog niet. “OT heeft echt een andere uitdaging dan IT. Ze hebben met een enorm hoge beschikbaarheid en verouderde tech te maken. Maar wij merken wel heel erg dat je OT en IT security officers hebt, die hun eigen conferenties en netwerk hebben. Als je echt een verschil wil maken, dan moet je accepteren dat je een IT-netwerk hebt met alles van laptops tot PLC’s. Dat moet je allemaal beveiligen. Dit zo segmenteren en er twee mensen verantwoordelijk voor maken, dat is geen lange termijnoplossing. De eerste stap is echt om te erkennen dat het één groot, complex netwerk is.”

Spannend tot het laatst

Keuper en Alkemade hadden – net als alle andere deelnemers – drie maanden de tijd om kwetsbaarheden te vinden in de systemen van de deelnemende partijen. Hoewel ze de zerodays al binnen een paar weken gevonden hadden, bleef het spannend om te zien of ze ook daadwerkelijk gewonnen hadden. “Zelfs een paar dagen van te voren weet je nog helemaal niets”, vertelt Alkemade. “Er is een soort loting om te zeggen in welke volgorde de demonstraties zijn. Pas dan weet je wat er aan teams mee doet, wat zij hebben gevonden en wat voor kans je dus maakt.”

Maar die loting vond plaats toen Alkemade en Keuper in het vliegtuig naar Miami zaten, voor de demonstraties en de uitreiking. Keuper: “We wisten hoeveel punten wij maximaal konden halen, maar we hadden geen idee of het goed genoeg was voor de winst. We wisten alleen dat we meer punten hadden dan het team dat vorig jaar won. Maar is dat genoeg? Dat weet je niet. Zeker omdat de fabrikant tot het laatste moment updates mag uitbrengen. Dus het kan zijn dat het probleem al is opgelost als je aankomt en je dus niets meer hebt voor de demonstratie. En het moet op het podium goed gaan, dus het is tot op het laatst zenuwslopend.”

Dat ze toch met de winst naar huis gingen, hadden de twee dus niet per se verwacht. “Dat was echt heel tof”, aldus Alkemade. En of ze volgend jaar weer meedoen? “Dat zou zomaar kunnen.”

Steeds een ander target

Interessant bij Pwn2Own is dat er ieder jaar weer naar andere doelwitten gekeken kan worden, al zijn er een aantal partijen – zoals Google en Microsoft – die vrijwel ieder jaar meedoen. Maar dat betekent ook dat de ethisch hackers steeds weer een heel ander doelwit moeten leren kennen. Zoom is immers iets heel anders dan een industrieel systeem.

De werkwijze start dan ook altijd op dezelfde manier. Alkemade: “De eerste stap is om je target te leren kennen. Voor ons onderzoek hadden we Zoom nog niet echt gebruikt, dus de eerste stap is om in te loggen en alle features die erin zitten te bekijken. Voor deze editie was dat hetzelfde: wat zijn dit überhaupt voor een applicaties? We hadden allebei nog nooit van deze dingen gehoord. Dus waar kun je deze apps vinden, hoe worden ze gebruikt en wat zijn de mogelijke aanvalsoppervlakken? Je moet er dus steeds weer opnieuw moeite insteken, maar het is juist ook leuk om steeds naar wat anders te kijken. Dat is ook wel onderdeel van het onderzoek en juist de uitdaging.”

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.