Inleiding Cybersecurity

Afdrukken

RSS

Gewijzigd op maandag, 02 april 2012 10:38 door achatot Paden: Cybersecurity Gecategoriseerd als Cybersecurity, Security

(10) » ISA-18 inleiding » ISO » Inleiding Cybersecurity

Deze pagina is een Draft, de inhoud is nog niet compleet en kan errors bevatten.

Inhoudsopgave [Verbergen/Vertonen]

Inleiding
   Virussen
Stuxnet
   Een Wakeup Call
   Stuxnet Tijdslijn
   Wat Het Doet
   Wie Maakte Stuxnet?
   Post Stuxnet

Inleiding

De laatste tijd komen er steeds vaker nieuwsberichten over hacken en computer criminaliteit in het nieuws. De ene keer gaat het over een kerncentrale in Iran, de andere keer over de websites van onze overheid. Computer criminaliteit komt overal voor, ook in de industrie. Vandaar dat cybersecurity steeds belangrijk wordt voor de Industrieel Automatiseerder.

Maar wat is computer criminaliteit precies? Dit is niet één specifiek onderwerp, maar een verscheidenheid aan onderwerpen. Hieronder een opsomming:

Ongeautoriseerde toegang
Kopiëren van vertrouwelijke gegevens
Ongeautoriseerd wissen / aanpassen van data
Ongeautoriseerd afsluiten van systemen
Fysieke beschadiging van apparatuur
Verspreiding van virussen of spam
Fraude en identiteitsdiefstal
Denial of Service (‘DOS’) aanval
Bedrijfsspionage (documenten, broncode, recepten)

Recentelijk is er nog een nieuw onderwerp bijgekomen namelijk ‘Cyber oorlogsvoering’. Door de toenemende technieken is het gebruik van computer aanvallen in een oorlog aantrekkelijk geworden. Steeds meer overheden steken veel geld in het ontwerpen van cyber wapens.

Virussen

De meest bekende vorm van cyber criminaliteit is een virus. Iedereen heeft er wel eens op zijn computer gehad. In de begin tijd zorgde een virus er wel eens voor dat de hardeschijf geformatteerd werd waardoor alle gegevens verloren gingen. Maar tegenwoordig voeren virussen steeds gevaarlijkere operaties uit.

Maar wat is een virus precies? Een virus is in principe een computerprogramma, net als Word en Excel maar met speciale mogelijkheden. Een virus zal zichzelf proberen te verspreiden, deze functionaliteit zal in het programma geprogrammeerd moeten worden. Daarnaast zal een virus ongewenste acties uitvoeren. Dit kunnen zichtbare acties zijn, maar ook onzichtbare.

Een belangrijk doel van een virus is zichzelf verspreiden over zoveel mogelijk computers. In het begin was dit vooral via floppy’s en Cd-Roms. Maar sinds de komt van het internet en draadloze netwerken is het voor een virus veel simpeler om zichzelf te verspreiden.

Net als elk andere programma zal het virus ‘programma’ op een of andere manier opgestart moeten worden. Dit kan op zijn simpelst door de gebruiker zelf die toestemming geeft tot installatie, maar via verschillende manieren is het ook mogelijk om een virus automatisch te laten opstarten. Mocht dit alles niet het geval zijn dan kan een virus zichzelf uitvoeren door gebruikt te maken van bugs in de systeem software.

Na de installatie van een virus kan het virus schade gaan aanrichten aan de computer of installatie. Dit kan door middel van door de directe toegang tot kritieke onderdelen, maar ook het gebruik van bugs in de systeem software.

Stuxnet

Een Wakeup Call

Virussen, wormen, trojans, ect komen in overvloed voor en ook in industriële besturingen maar waren hier nooit speciaal voor ontwikkeld. Het stuxnet was het eerste virus dat speciaal was is ontwikkeld voor de industrie en special voor Siemens S7-315 / S7-417 PLC’s + development tools (Step7 en WinCC). Het bleek zelfs ontwikkeld te zijn voor een bepaalde toepassing, zelfs een bepaalde fabriek in de wereld te saboteren.

Stuxnet Tijdslijn

Juni 2010	Ontdekking
Augustus 2010	Eerste publiciteit
Novenber 2010	Doel duidelijk van 1e helft virus
Januari 2011	Doel duidelijk van 2e helft virus

Wat Het Doet

Stuxnet is in de eerste plaats een “gewoon” virus, dat zich installeert op PC’s en zich ook verspreidt via USB-stickes en netwerken, hij maakt daarbij gebruik van 4 achterdeurtjes in Windows.

Zodra hij zich heeft gevestigd op een pc gaat het virus opzoek naar een database van “step7” en gaat dan een van de plc programma’s in deze database veranderen. Dit kan omdat het wachtwoord wat hiervoor nodig is hard-coded is en is uitgelekt.

Daarna zorg het virus er voor dat de software gedownload word in de PLC en “cloakt” zichzelf. Hij gaat dan op bepaalde momenten toerentallen van 1200 motoren wisselen. Nu is de vraag welke fabriek heeft zo’n configuratie?

Dat bleek er maar een te zijn, namelijk Uraniumverrijkingsfabriek ”Bushehr” / “Natanz”.

Hier worden Toerentalsturing via 6 Siemens PLC’s → 36 Profibussen →1200 frequentieomvormers → 1200 motoren aangestuur. Door het aanpassen van de toerentallen kunnen er explosies ontstaan.

Dit was het eerste deel van het virus, het tweede deel zorgt er voor dat de gegevens die naar de operator worden onderschept en worden verandert naar gegevens die zijn opgenomen toen het systeem normaal draaide. Hierdoor heeft de operator niet in de gaten dat zijn fabriek gaat omploffen.

Wie Maakte Stuxnet?

Wie dit virus heeft gemaakt is een grote vraag, want wie wil dat Iran geen uranium verrijkt? Hier over zijn veel speculaties zoals:

Israel / de mossad
De VS/CIA
De russen (die de aparatuur verkochten)
En boze ex-siemens mederwerker
Een franse concurrent van siemens
Greenpeace
Ect.

Maar de omvang van het virus en de complexiteit suggereert een party met veel geld en kennis van de systemen die zijn gebruikt in het systeem.

Post Stuxnet

Er zijn een aantal technische oplossingen die op de markt komen om Stuxnet-opvolgers te vangen:

PLC-programma modificatie scanner (Langner, Duitsland)
PLC-besturing op virtuele CPU met ingebouwde ProfiNet + TCP/IP firewall op andere virtuele CPU als 1 module (Innominate / Phoenix Contact, Duitsland)
ToFino firewall voor industrieel Ethernet protocollen (Byres Security, Canada)
Firewall met ‘virtual patching’ voor Windows flaws (Wurldtech, VS)
Deze zouden toekomstige aanvallen moeten tegen houden in hoeverre er gewoon backdoors in deze programma’s worden gevonden.