IT

Slik knuste nordmennene Stuxnet

En driverfil på 113 kB er blitt ryggraden i en oppsiktsvekkende og helnorsk vaksine mot «dommedagsvirusene» Stuxnet og Duqu.

Leif Hamnes
29. mai 2012 - 07:05

Stuxnet og Scada

  • Stuxnet siktet seg inn mot to varianter av ett av verdens mest populære industrielle prosess- og kontrollsystemer: Siemens Simatic WinCC Supervisory Control and Data Acquisition (Scada). Selv om millioner av pc-er verden over ble infisert, er ormen relativt harmløs for privatmaskiner. Viruset skal ødelegge seg selv om en snau måned, 24. juni.
  • De aktuelle Siemens-systemene utgjør det visuelle menneske-maskin-grensesnittet i mange industrisystemer, kjører på windowsplattformen, og ble valgt på grunn av tilknytningen til urananrikingssentrifugene i iranske Natanz.
  • Stuxnet sjonglerer mellom flere kategorier av svært sofistikert softwarehacking og forutgående industrispionasje mot blant andre Siemens og driverprodusentene JMicron og Realtek. I tillegg må målrettet etterretningsvirksomhet på bakken ha vært nødvendig.
  • Som så ofte før, var det sikkerhetshull i Windows Stuxnet-angriperne utnyttet for å bryte gjennom, med usb-minnepinner som første «smittekilde».
  • Faguttrykket «zero-day attack» viser til at angriperen finner et sikkerhetshull som frem til angrepsdagen er ukjent for både selskapet (her: Microsoft) og alle andre. Stuxnet tok usedvanlig lang tid å oppdage (ett år), og patchen kom først i august 2010.
  • Grunnen var enkel, men skremmende: Å oppdage én såkalt «zero-day»-sårbarhet regnes som en sjeldenhet og som hard hackervaluta. Stuxnet hadde funnet og brukt smått uhørte fire slike sårbarheter i ett og samme angrep.

 

 

Produktsjef Øivind Barbo i det norske it-sikkerhetsselskapet Norman greier ikke å skjule at han har spennende dager på jobb for tiden.

– Jeg liker å kalle dette et «survival kit» for industrien, sier han.

Sammen med representanter for vertskapet, kunde og utviklingspartner Kongsberg Maritime (KM), demonstrerer Barbo hjertebarnet Norman Scada Protection for Teknisk Ukeblad – et produkt som for tiden fyller Barbo og hele resten av Norman-organisasjonen med forventninger om et kommersielt og omdømmemessig opprykk til den internasjonale elitedivisjonen av it-sikkerhetsselskaper.

Dommedagsormen

Entusiasmen lar seg forklare: Det er i dag temmelig nøyaktig to år siden verden først ble gjort oppmerksom på et styggvakkert stykke programmeringskode som senere skulle få navnet Stuxnet.

Dataormen var så utsøkt og samtidig djevelsk at den raskt ble gjenstand for rigide studier fra enhver sikkerhetsekspert med respekt for seg selv.

Den førte til internasjonal cyberparanoia uten historisk sidestykke – og endret fokuset i global it-sikkerhetsindustri til for alvor å inkludere også samfunnskritisk infrastruktur og industrielle såkalte Scada-systemer (se fakta ).

Vi spoler frem til i dag: Med en løsning så tilsynelatende primitiv (se prinsippskisse) at den mottas med et hoderystende «kan det virkelig være så enkelt?» fra utenlandske forståsegpåere, mener de to norske it-bastionene Norman og Kongsberg Maritime at de i dag kan tilby industridirektører over hele verden en sårt tiltrengt livlinje midt i post-Stuxnet-panikken:

Et bredt rettet, brukervennlig og «felttilpasset» førstelinjeforsvar mot ondsinnede angrep på selve akilleshælen for nær sagt alle industrigrener til lands og vanns: Driftskritiske Scada-systemer.

Stuxnet: Cyberkrigen er i gang

– Stuxnet er et militært våpen

Slik kriger Norge på nett 

Helnorsk kombinasjon

Utviklingssamarbeidet mellom de to ganske så forskjellige norske it-selskapene har inntil i dag vært godt skjult.

Resultatet er blitt oppsiktsvekkende håndfast, og preget av tankegods fra Normans og KMs respektive spesialområder – passende nok nettopp skadelig programvare og industrielle kontrollsystemer.

– Vi er kanskje på hver vår planet, men er like fullt begge programvareleverandører. Her var det Kongsbergs tanker og behov som skapte løsningen, sier Barbo og forteller om da han halvannet år tilbake ble tatt til siden på en konferanse av KM-prosjektleder Stein Arne Riis med spørsmålet «har Norman en løsning for å holde antivirus oppdatert på en smartere måte i Scada-systemer?»

– Svaret var jo nei, sier Barbo.

Artikkelen fortsetter etter annonsen
annonse
Innovasjon Norge
Trer frem med omstilling som innstilling
Trer frem med omstilling som innstilling

Løsningen ble et samarbeid om en skreddersydd Scada-sikkerhetsarkitektur som i disse dager leveres integrert i KMs nye softwareplattform IMS under navnet Kongsberg Malware Protection, lansert i april.

«Biproduktet» er en kommersiell Scada-løsning tilpasset det brede lag av industrien, og som Norman nå kan markedsføre fritt utenom på Kongsbergs kjerneområder martitim, olje og gass.

Article2708_Image4642.jpg

Ødeleggelsespotensial

Systemet har allerede før markedsføringen tar til for alvor vunnet en bransjeutviklingspris i Tyskland. Og om produktet holder det den ­norske it-selskapsduoen lover, er det internasjonale markedet definitivt til stede.

Stuxnet-ormen, som antas å stamme fra et annet hemmelig samarbeid (Israel og USA), oppnådde ­nemlig mer enn hovedmålet om å forsinke Irans atom­program.

Den gjorde også en hel it-verden, både cyber­angripere- og forsvarere, oppmerksom på en helt ny målgruppe og et vell av nye katastrofe­scenarioer.

Eller som daværende NorCert-sjef Christophe Birkeland (nå teknologidirektør i nettopp Norman) uttalte det  i TU i 2010:

– Konsekvensen er at dataangrep nå har tatt steget ut i den virkelige verdenen.

Siden har bekymringsrynkene foldet seg i dype furer hos industriledere, forsvarstopper og politikere i Norge og verden for øvrig.

Scada-systemene er utbredt i alt fra pizzaovner til vannforsyning, oljeplattformer, krafttilførsel og atomkraftverk.

Les også: Slik kan hackere mørklegge Norge

Ikke skapt for nett

Mange av de tidvis aldrende systemene kjører ikke bare kritiske funksjoner, men må til overmål av forretningsmessige årsaker stadig oftere kobles opp og eksponeres mot åpne nett på en helt annen måte enn det lukkede miljøet de i sin tid ble konstruert for, forklarer KM-prosjekt­leder Stein Arne Riis.

– Mye av den nye IMS-plattformen handler om dette: Tidligere var kontrollsystemene ofte isolerte. I de siste årene har særlig utviklingen i satellitteknologi bidratt til at mange redere eller operatører velger operasjonsstøtte fra land. ­Det betyr økt fokus på å samle inn data fra sensorer og systemer – og å få data til land. Trenden er at man linker nettverk sammen, sier Riis.

Da Scada ble hackermål

Midt i slike omveltende trender passet det ­ekstra dårlig at Stuxnet-katta slapp ut av sekken:

Kildekoden lå tilgjengelig på nett, oppfølgeren (eller forløperen, mener stadig flere) Duqu dukket opp, og dermed også en angst for ymse generiske etterligninger, cyberterrorisme, eller at skadevare konstruert for mer harmløse formål forårsaker enorme ødeleggelser idet de uforvarende kommer i kontakt med skjøre Scada-prosesser med krav om null nedetid.

Vondt blir til verre ved at Scada-systemer har gått fra å kommunisere serielt i en lukket verden til å bruke internettprotokollen TCP/IP, og fra proprietære systemer til generiske operativsystemer – som Windows.

Egne søkemotorer kan spore opp styrings- og prosessystemer som kommuniserer over internett, med til dels detaljert informasjon om både bruk og beliggenhet. Og angrepsteknikker mot Scada-systemer har nå også funnet veien inn i «hackermanualer» som Metasploit.

1200005318.jpg

Tåler ikke antivirus

Inngangsporten, som for mye annen skadevare, er ofte i form av eksempelvis teknikeres ubetenksomme bruk av mobile lagringsenheter som USB-pinner, slik tilfellet var med Stuxnet.

– USB-enheter er sikkerhetsmessig å betrakte som offentlig internett. Selv om Scada-en ikke er i kontakt med internett, har den likevel på denne måten i praksis kontakt med det hver dag. Genialiteten, om den finnes, ligger i at vi har tatt høyde for dette, utdyper KMs Bjørnar Eilertsen.

Mange av sårbarhetene kunne slik sett vært håndtert av en pc med «vanlig» antivirus.

Men her er vi ved kilden til industriens hodepine: Konsekvensene av nedetid, og risikoen ved å tukle med et sårbart system som funker.

– Å oppdatere en stor Windows-maskin gir stor risiko for nedetid. Det samme gjelder for antivirusskann. Én falsk positiv deteksjon er farlig. Vi klarer heller ikke å holde virusdefinisjonene oppdatert – du kan ikke ha autooppdatering på en Scada-maskin, sier Eilertsen.

It-gransking av oljeselskapene: Varsler ikke om datafeil 

113 kilobyte

Øivind Barbo oppsummerer dagens ­automatiserte skadevareproduksjon gjennom å sammenligne et oppdatert antivirusprogram med en varm middag.

– Blir den to timer gammel, har du ikke lyst på den. Blir den to dager gammel, går den i ­søpla, illustrerer han.

Løsningen Norman og KM kom fram til i felles­skap, er populært forklart et «kringvern» rundt selve Scada-enheten basert på to eksisterende Norman-kjerneteknologier som begge har til felles at den teknologiske suksessen hittil har vært større enn den kommersielle: Deteksjonsemulatoren Sandbox og nettverksskanneren Norman Network Protection.

Men den siste og avgjørende biten i puslespillet var en kodesnutt som kunne tynes ned i bare 113 kilobyte.

– Noe mer var det ikke rom for, og det er dette som gjør løsningen spesiell – ved at den ikke krever noen designendringer eller større inngrep på selve Scada-enheten. Vi har videreut­viklet beskyttelsesteknologien til en tilpasset feltkit for industrien, der man kun installerer denne lille beskyttelsesdriveren på Scada-­maskinen. Men denne driveren sperrer til gjengjeld all datatrafikk til enheten med mindre den gjenkjenner at eksempelvis USB-sticken har en digital signatur som betyr at den er skannet og godkjent av vårt system, sier Barbo.

Article2708_Image4645.jpg

Første skritt på veien

– Stopper 113 KB virkelig Stuxnet?

– Systemet som helhet stopper Stuxnet og Duqu, ja – og deteksjons- og analysearbeidet er kommet langt også på å fange opp ukjent malware. Det tilfredsstiller også de andre av Kongsbergs krav underveis: Marintilpassede maskiner, at det må støtte alle eksterne filsystemer og være kompatibelt med alle anlegg levert de siste ti årene.

– Hva med hittil ukjente målrettede angrep av Stuxnets kaliber, kan et antivirusprogram stå imot en motivert statsmakt?

– Om viljen og ressursbruken er ubegrenset, kommer man alltid inn. Det er i så måte en rekke tiltak som ytterligere forbedrer sikkerheten utover kun dette produktet. Men det er viktig å minne om at så sofistikerte og målrettede angrep er det ytterst få som blir utsatt for. Dette er 1.0-varianten, den gir Scada-systemer samme beskyttelse som andre systemer. Og vi mener den allerede nå svarer på et skrikende behov som finnes i store deler av industrien, sier Øivind Barbo.

Bilen: Hackernes nye domene?

Målrettede dataangrep økte med 400 prosent

Slik skal jernbanen bli digital

Løsningen telegigantene ikke vil ha

Slik lager smarttelefonene trøbbel i mobilnettet 

Les mer om:
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.