Industrial Ethernet Journal, II/2012: Post
Transcrição
Industrial Ethernet Journal, II/2012: Post
Security: Lagebericht zur Cyber-Sicherheit Bild 1: Digitale Bedrohung: Spätestens mit Stuxnet wurde sie auch für die Industrie vom theoretischen Risiko zur praktischen Realität. Post-Stuxnet Industrial Security: Lagebericht zur Cyber-Sicherheit Die Entdeckung des Wurms Stuxnet im Juni 2010 war ein Weckruf, der weltweit neben den staatlichen Institutionen mit Verantwortung für kritische Infrastrukturen vor allem die Betreiber industrieller Anlagen und die Hersteller von Automatisierungstechnik gleichermaßen wachgerüttelt und ihre Sensibilisierung für das Thema Industrial Security schlagartig erhöht hat. Wir werfen einen Blick zurück auf die seitherige Entwicklung. Haben sich die Prognosen von damals bewahrheitet? Wie ist die Lage und wie stellt man sich angemessen darauf ein? S tuxnet war ein Meilenstein, der die Welt und die Wahrnehmung kriegerischer und krimineller Aktivitäten im Cyberspace verändert hat. Das auf Produkte der Siemens-Simatic-Familie und Step-7-SPS-Projekte mit speziellen Eigenschaften fokussierte Schadprogramm war der erste öffentlich dokumentierte gezielte Rootkit-Angriff auf industrielle Anlagen. Es entfaltete seine Schadwirkung in vier Stufen auf verschiedenen Ebenen (Bild 2). Anstelle eines direkten Angriffsversuchs auf Steuerungen hatten die Urheber von Stuxnet die allgegenwärtigen Windows-PCs als 26 Industrial Ethernet Journal II/2012 schwächstes Glied in der Kette und prädestiniertes erstes Einfallstor ausgemacht. So nutzte die Malware einen aggressiven Mix von Mechanismen und gleich vier vormals unbekannte in mehreren Generationen von Windows vorhandene Schwachstellen, um sich über Netzwerke und USBMedien sowohl auf vernetzten als auch nicht vernetzten PCs zu verbreiten und diese zu infizieren. Dabei eingeschleppte Treiber waren mit geraubten privaten digitalen Schlüsseln signiert und erregten auf den Systemen durch diese als vertrauenswürdig eingestuften Zertifikate keinen Verdacht. Im zweiten Schritt suchte Stuxnet auf infizierten PCs nach geeigneten Installationen von Engineering oder Visualisierungs-Software und manipulierte die darin vorgefundenen Datenbanken und Projekte, um seine weitere Verbreitung und Persistenz auf dem PC zu sichern sowie Steuerungen als potentielle Ziele für Stufe 3 auszuspähen. Ferner manipulierte er eine zentrale, für die Kommunikation zwischen Simatic-Manager und projektierten S7-Steuerungen zuständige Software-Bibliothek, um seine Machenschaften vor deren Anwendern trickreich zu verbergen. Erst nach die- Bild 2: Wirkung von Stuxnet in 4 Stufen Security: Lagebericht zur Cyber-Sicherheit sen Vorbereitungen und gezielt nur in Projekte mit ganz spezifischen Eigenschaften schleuste Stuxnet dann in Stufe 3 seinen eigentlichen und ausgesprochen raffinierten Schadcode in die Steuerungen ein, mit dem Ziel der Störung von Prozessen und letztlich der Zerstörung der betroffenen Anlagen. Über seine vierte und letzte Wirkstufe versuchte Stuxnet von infizierten PCs aus, Kontakt zu mehreren Command& Control-Servern im Internet aufzunehmen, um ausgespähte Informationen abzuliefern, Updates zu empfangen und neue Instruktionen auszuführen. Dies verlieh dem Spionage- und Sabotage-Potential des Wurms eine zusätzliche Dynamik. Durch seine Verbreitungsmechanismen konnten diese Effekte mittelbar auch auf Systeme ausstrahlen, die selbst über keine Netzwerk- oder gar Internet-Verbindung verfügen. Analysen, Prognosen und Gegenwart Viele zwischenzeitlich bekannte Indizien sprechen für die Vermutung, dass Stuxnet das iranische Nuklearprogramm treffen sollte und insbesondere eine dortige Anlage zur Urananreicherung auch erfolgreich getroffen hat. Ob die bis heute unbekannten Autoren des Wurms gezielt nur diesen oder (auch) andere Zwecke verfolgt haben, ist allerdings nicht erwiesen. Besorgnis erregte indes vor allem dies: Das Angriffsmuster und seine Basistechniken sind absolut generisch und in der Lage, letztlich beliebigen Schadcode in eine Vielzahl von gängigen Steuerungsmodellen – prinzipiell auch anderer Hersteller – einzubringen. Praktisch alle Industrial-Security-Experten hielten und halten daher eine Proliferation Stuxnet-artiger Cyberwaffen und Attacken durch Nachahmer mit Mutationen der Malware auf vielfältige andere Ziele für sehr wahrscheinlich. Die einzig gute Nachricht: Diese Welle erwarteter Angriffe ist bislang ausgeblieben. In bisher nur einem einzigen weiteren Fall wurde im September 2011 neue Schadsoftware entdeckt, die mit den Mechanismen und dem Programmcode von Stuxnet verwandt zu sein scheint: der Trojaner ‘Duqu’, so benannt nach dem Namens-Präfix ‘~DQ’ der von ihm generierten Dateien. Duqu & das Tilded Framework Analysen an der Universität Budapest und in den Laboren von Symantec und F-Secure ergaben eine große Ähnlichkeit im Code von Stuxnet und Duqu. Allerdings enthält Duqu keinerlei Schadcode mit direktem Bezug zu industriellen Steuerungssystemen. Er scheint einem ganz anderen Zweck, nämlich der Spionage zu dienen, dies aber möglicherweise zur Vorbereitung eines weiteren Stuxnet-artigen Angriffs. Duqu verbreitet sich anders als Stuxnet auch nicht aktiv selbst, sondern wurde offenbar sehr gezielt, insbesondere durch E-Mail-Anhänge mit infizierten Office-Dokumenten, in eine beschränkte Anzahl von Organisationen eingeschleust. Wiederum wurde dabei eine noch unveröffentlichte Schwachstelle im Kernel von Windows als Einfallstor genutzt und ein mit gestohlenem Schlüssel signierter Treiber verwendet. Der Trojaner suchte Kontakt zu Command&Control-Servern in mehreren Ländern. Er konnte über diese wohl auch instruiert werden, sich über lokale Netzlaufwerke auf weitere Systeme zu verbreiten, die dann peer-to-peer den ursprünglichen Infektionsherd wie einen Proxy als Rückkanal nutzen. Infektionen mit Duqu wurden in mindestens acht Ländern, u.a. bei Herstellern und Betreibern von industriellen Steuerungssystemen entdeckt. Die dabei gefundenen Varianten wurden auf eine Entstehungszeit zwischen November 2010 und Oktober 2011 datiert. Symantec kam zu dem Schluss, dass die Autoren von Duqu dieselben waren wie die von Stuxnet oder jedenfalls Zugang zum selben Quellcode gehabt haben müssen. Aktuelle Analysen des Kaspersky Lab sprechen für einen noch umfassenderen Zusammenhang zwischen den beiden Schädlingen. Danach entspringen beide mit ziemlicher Sicherheit der gleichen als Baukasten genutzten Code-Basis. Aufgrund der Vorliebe ihrer unbekannten Schöpfer für Dateinamen, die mit ‘~d’ beginnen, taufte Kaspersky dieses Framework auf den Namen ‘Tilded’. Es soll neben Stuxnet und Duqu Grundlage von mindestens drei weiteren identifizierten Schadprogrammen sein. Seine Entwicklungsgeschichte (Bild 3) reicht vermutlich bis Ende 2007 zurück und hält mit einer Phase besonders signi- fikanten Fortschritts im zweiten Halbjahr 2010 bis heute an, was weitere Abkömmlinge erwarten lässt. ‘Malware-for-Dummies’Baukästen Exploits, wie die von Stuxnet und Duqu verwendeten, sind Programme oder modulare Programmteile, die eine Sicherheitslücke ausnutzen und so einen Angriff ermöglichen. Schon früh wurde von StuxnetExperten wie Ralph Langner auf die absehbare Gefahr hingewiesen, dass solche Exploits in für jedermann per Internet zugänglichen Malware-Baukästen bereitgestellt werden würden, sodass auch Personen ohne umfangreiches Insider-Wissen diese für Angriffe nutzen können. Tatsächlich gibt es für mindestens drei der von Bild 3: Die von Kaspersky Lab entdeckte Evolutionsgeschichte der Treiber aus dem Tilded Framework belegt die Verwandtschaft von Stuxnet und Duqu. (Bild: Kaspersky Lab) Industrial Ethernet Journal II/2012 27 Security: Lagebericht zur Cyber-Sicherheit Stuxnet genutzten Windows-Schwachstellen bereits sogenannte Exploit-Module im offenen Metasploit Framework (www.metasploit.com), das zwar als Baukasten für legitime Penetrationstests gedacht ist, aber natürlich auch zu weniger wohlwollenden Zwecken missbraucht werden kann. Auch das kommerzielle Penetration Testing Framework Canvas der Firma Immunity enthält solche Exploit-Module. Darüber hinaus wird sogar ein spezielles Scada+ Paket mit Exploits für öffentlich bekannte Schwachstellen von Scada-Produkten dazu angeboten. Ein trauriger Höhepunkt der bisherigen Entwicklung sind kürzlich auf der Twitter erschienene Angebote zum Kauf von Scada-Exploits. Die aktuelle Situation erinnert damit an den bösen Witz vom Mann, der vom Hochhaus springt und nach den ersten 20 Stockwerken feststellt, bislang sei ja noch alles gut gegangen. Jeder weiß, wie schlecht die Extrapolation dieser Erfahrung funktioniert und noch ist Zeit, ein Sprungtuch aufzuspannen. Wirksame Vorbeugungsmaßnahmen Stuxnet hat deutlich gemacht, dass konventionelle Antivirus-Software auf ‘Blacklisting’-Basis gegen noch unbekannte Exploits keinen ausreichenden Schutz bietet. Dennoch gibt es durchaus heute verfügbare und in bestehende Anlagen nachrüstbare Lösungen, um Schäden durch Stuxnet-artige Angriffe vorzubeugen. Die Schlüsselworte lauten Risikoreduktion, Eindämmung und Integritätssicherung. Zwar lassen sich Infektionen mit Schadsoftware nicht absolut zuverlässig ausschließen. Die konsequente Blockierung nicht benötigter Kommunikationsverbindungen im Netzwerk durch dezentral verteilte Firewalls leistet aber einen großen Beitrag, das Risiko einer Infektion signifikant zu reduzieren sowie gegebenenfalls ihre weitere Ausbreitung einzudämmen und der Malware keinen Rückkanal für Spionageaktivitäten zu bieten. Verfahren wie das mGuard Inte- grity Monitoring von Innominate ermöglichen es darüber hinaus, selbst Infektionen durch noch unbekannte Schadsoftware zeitnah als unerwartete Manipulation zu erkennen. Derartige ‘Whitelisting’-Methoden sollten insbesondere zum Schutz von PCs eingesetzt werden, die als Engineering-, Bedien- oder Visualisierungssysteme mit Steuerungen kommunizieren dürfen. Werden dann noch Komponenten wie die mGuard User Firewall zum Schutz der Steuerungen eingesetzt, lässt sich ein authentisiertes und autorisiertes Engineering umsetzen, das Stuxnet & Co. den Weg zur unbefugten Manipulation der Projektie■ rung abschneidet. www.innominate.com Autor: Torsten Rössel, Director Business Development, Innominate Security Technologies AG Computer-Virus Flame: IT-Experten entdecken komplexesten Angriff seit Stuxnet und Duqu gegen Ziele im Mittleren Osten I T-Experten haben einen neuen Computervirus entdeckt, der bereits tausende Computer infiziert haben soll. Nach Angaben der IT-Sicherheitsfirma Symantec handelt es sich beim Schadcode ‘W32.Flamer’ um einen hochkomplexen und diskret agierenden Schadcode, der an die Qualität von Stuxnet und Duqu heranreicht. Ersten Ergebnissen zufolge sei der Schadcode so konstruiert worden, um Informationen von infizierten Systemen zu stehlen. Die Opfersysteme befänden sich hauptsächlich im Mittleren Osten. Wie seine beiden Vorgänger würde der Code nicht von Einzelpersonen, sondern von einer gut organisierten und finanzierten Gruppe unter klaren Vorgaben entwickelt worden sein, berichtet Symantec. W32.Flamer sei sehr diskret über den Zeitraum der vergangenen zwei Jahre oder noch länger eingesetzt worden und in der Lage, Dokumente zu stehlen, 28 Industrial Ethernet Journal II/2012 Screenshots der infizierten Desktops zu schießen, sich über USB-Laufwerke zu verbreiten, Sicherheitsprodukte abzuschalten und sich unter bestimmten Bedingungen auf weitere Systeme zu kopieren. Die Malware ist möglicherweise auch dazu fähig, über mehrere bekannte Schwächen von Windows, für die allerdings bereits Patches geschrieben wurden, über das Netzwerk andere Systeme zu infizieren. Angriffe nehmen weiter zu Die ersten Telemetriedaten zeigen, dass sich die primären Ziele des Schadcodes in der West Bank in Palästina, Ungarn, dem Iran und dem Libanon befinden. Zu den anderen Zielen gehören Russland, Österreich, Hong Kong und die Vereinigten Arabischen Emirate, so Symantec. Zu Industriesektoren oder den Hintergründen individueller Zielpersonen lasse sich aktuell noch nichts Konkretes sagen. Allerdings deuten die ersten Analysen darauf hin, dass nur wenige Opfer aus denselben Gründen attackiert wurden. Die Attacken hätten sich mehr auf das Privatleben der Opfer statt auf ihre Arbeit oder ihre Rolle als Angestellter in einer bestimmten Organisation konzentriert. Die meisten infizierten Systeme scheinen private Rechner zu sein, die von zu Hause aus mit dem Internet verbunden waren. Die Sicherheitsexperten von Symantec erwarten, dass Frequenz und Niveau dieser fortschrittlichen Angriffe in diesem Jahr weiter zunehmen werden. Das Unternehmen will in Kürze eine ausführliche technische Ana(ahn) ■ lyse veröffentlichen. www.symantec.com