10
Your Security is Our Business
winter 2010
u p d a t e w w w . m a d i s o n - g u r k h a . c o m
DE COLUMN
2
Guido van Rooij
HET NIEUWS
3
• Een geslaagde klantenmiddag • Madison Gurkha kan er weer voor 10 jaar tegenaan
HET INzicht
4-5
De risico’s van Proces Control Systems
HET INTERVIEW
6
Sandro Etalle, full professor TU/e en UT, over Stuxnet
DE KLANT
7
Uit de energiesector
DE HACK
8-9
Stuxnet, je zult het maar onder de leden hebben
HET VERSLAG
10-11
Digital Experience met als thema Digital Forensics
DE AGENDA
11
Vacatures
11
HET COLOFON
11
In iedere Madison Gurkha Update vindt u een leuke en informatieve column, die de lezer een verfrissende kijk biedt op uiteenlopende onderwerpen rondom IT-beveiliging. Deze keer Guido van Rooij over het 10-jarig bestaan van Madison Gurkha.
de column
Nu, 10 jaar later...
Nu Madison Gurkha 10 jaar bestaat is het een goed moment om eens terug te blikken. Toen ik 10 jaar geleden samen met Hans Van de Looy en Mark Huizer Madison Gurkha oprichtte en we begonnen met het uitvoeren van security audits, merkten we al snel hoe uiteenlopend de situatie bij de verschillende klanten was. Buffer overflows en voor webapplicaties SQL-injectie waren toen problemen die “hot” waren. Nu, 10 jaar later, zien we dat injectieproblemen nog steeds een enorm probleem zijn. We lezen regelmatig dat websites worden gehackt via SQL-injectie zoals onlangs bij Kaspersky, nota bene een computerbeveiligingsbedrijf waarvan je verwacht dat ze dit soort problemen onderkennen. De blijkbare onuitroeibaarheid van dit soort problemen leert ons dat nieuwe generaties programmeurs (nog) steeds dezelfde fouten maken als hun voorgangers. Onderwijs, awareness en controle blijven onmisbaar bij het voorkomen en genezen van veiligheidsgerelateerde problemen. Omdat er nog steeds in hoog tempo allerlei nieuwe diensten op internet worden aangeboden, blijft de vraag naar onze dienstverlening groeien. Wij zien de toekomst dan ook zonnig tegemoet. Wel zijn er in de afgelopen 10 jaar verschuivingen opgetreden. Zo zijn er, behalve webservers ook webservices (vaak SOAP) bijgekomen. Bovendien zien we dat steeds meer apparatuur via IP-netwerken wordt ontsloten. Denk daarbij aan SCADA/EMS waarover Walter Belgers in de rubriek “Het Inzicht” meer vertelt. Het grappige (of pijnlijke?) is dat in al deze uitbreidingen steeds opnieuw dezelfde fouten optreden. We zien ook een verschuiving in de manier waarop hackers aanvallen plegen. Steeds vaker zijn hybride aanvallen gebaseerd op social engineering en misbruik van zwakheden in de software. We constateren dat “de vijand” steeds slimmer wordt. De Stuxnet-worm is hier een duidelijk voorbeeld van, waar waarschijnlijk ettelijke manjaren werk in is gestoken om deze te ontwikkelen. Bovendien is het speciaal omdat het specifiek gericht lijkt te zijn op bepaalde industriële doelen. In deze Update besteden we dan ook uitgebreid aandacht aan Stuxnet.
2
Madison Gurkha winter 2010
Een dreiging van een geheel andere aard dan die we de laatste 10 jaar hebben gezien, is het direct gevolg van de aanslagen op 11 september 2001. Sindsdien lijkt het erop dat in rap tempo privacywaarborgen in onze samenleving worden afgebroken. Grappig vind ik bij de discussie over privacy het veel voorkomende argument “maar ik heb toch niets te verbergen?” Ik vraag mezelf eerlijk gezegd af of de sollicitatiegesprekken die ik in het verleden heb gehad, hetzelfde waren gelopen als het bedrijf inzicht had in alle foto’s uit mijn studentenleven. Op security.nl las ik onlangs een redactioneel artikel met als titel “ik heb toch niets te verbergen-checklist”. Ik raad u aan dit te lezen: wellicht komt u erachter dat u toch iets te verbergen heeft. Omdat veel van onze gegevens digitaal zijn opgeslagen, ontstaan er ook steeds meer mogelijkheden tot identiteitsdiefstal. Het probleem is, dat zelfs bij het bekend zijn van een overgenomen identiteit, het slachtoffer hier last van kan blijven houden. Het is blijkbaar zeer moeilijk om digitale gegevens te (laten) corrigeren. Een bekend voorbeeld daarvan is de Surinaamse zakenman Ron Kowsoleea die al 15 jaar last ondervindt van het feit dat een oud-klasgenoot zijn naam misbruikte bij een drugsarrestatie. Helaas zijn er nog veel meer voorbeelden te noemen van dergelijke gevallen. Wellicht komen we in een toekomstige Update terug op hoe we onze digitale footprint kunnen managen om ervoor te zorgen dat onze persoonlijke gegevens niet door anderen misbruikt kunnen worden. Ik hoop dat iedereen die zich bewust is van de gevaren van te veel openheid met persoonlijke informatie, een ambassadeur wordt om anderen op deze gevaren te wijzen; al is het alleen maar aan onze kinderen. Zoals gezegd, Madison Gurkha bestaat 10 jaar. Na mijn wellicht wat negatieve overpeinzing, is het tijd om te genieten van deze alweer 10e editie van onze Update.
Guido van Rooij, Partner, Principal Security Consultant
Dit keer staat “Het nieuws” in het teken van ons 10-jarig bestaan. We hebben dit met het team van Madison Gurkha gevierd tijdens een bijzondere reis door Jordanië. Daarnaast hebben we voor onze opdrachtgevers een klantenmiddag georganiseerd.
het NIEU W S
Een geslaagde klantenmiddag De klantenmiddag werd afgetrapt door Walter Belgers, Principal Security Consultant en Partner van Madison Gurkha met een lezing over het 10jarig bestaan van Madison Gurkha, waarna we met z’n allen hebben genoten van een heerlijke lunch. Om nader kennis te maken met de bijzondere kunst en architectuur van het Van Abbemuseum werd de groep vervolgens in vieren gesplitst en elk voorzien van een deskundige gids voor een rondleiding. Jaap van Oss van Europol wist ons in de namiddag te boeien met een interessante lezing over High Tech Crime. De feestelijke dag werd afgesloten met het cabaretgezelschap Goeroes Zonder Grenzen. De drie uiteenlopende karakters hebben ons verrast met een inspirerend, humoristisch en interactief optreden waarin zij IT-Security op een originele wijze wisten te belichten. Met een goed gevoel kijken we terug op een zeer geslaagde dag. Graag willen we iedereen bedanken voor hun aanwezigheid. Helaas was het niet voor iedereen mogelijk om deze middag bij te wonen. Niettemin willen we ook hen bedanken voor alle positieve en leuke reacties. Wij kijken uit naar nog veel inspirerende jaren waarin wij met veel enthousiasme aan uitdagende projecten kunnen werken en informatietechnologie nog veiliger kunnen maken. Wie weet mogen we over een aantal jaar (nogmaals) samen met u het glas heffen!
Op 28 oktober jl. zijn we met het team van Madison Gurkha voor een vierdaagse trip naar het mystieke Jordanië vetrokken. Na een vlucht van ruim 4 uur landden we om ongeveer 22.30 uur (lokale tijd) in Amman waar de reis begint. De eerste dag zijn we via de Desert Highway naar één van de zeven nieuwe wereldwonderen gereden, namelijk Petra. Deze oude Nabateense hoofdstad tart elke archeologische verbeelding. De rest van de reis bleek even indrukwekkend te zijn. Na een jeepsafari door de Wadi Rum, de grootste woestijn van Jordanië, kwamen we na zonsondergang aan bij het bedoeïenen tentenkamp waar we de avond hebben doorgebracht onder de sterrenhemel, gekleed in traditioneel Jordaanse kleding: jalabiyeh (lange oosterse jurk) en keffiyeh (rode of zwarte hoofddoek). De volgende ochtend zijn we per kameel verder getrokken, waarna we na al deze indrukken heerlijk hebben gerelaxt in de badplaats Aqaba en de onderwaterwereld van de Rode Zee hebben bewonderd. Uiteraard hebben we tijdens de rondreis ook een bezoek gebracht aan de wereldberoemde Dode Zee en Mount Nebo
Madison Gurkha kan er weer voor 10 jaar tegenaan
waarvandaan Mozes het Beloofde land zag. De boeiende geschiedenis, uitzonderlijke bezienswaardigheden en de gastvrije bevolking heeft ieders verwachting overtroffen. De reis, als uit een sprookje van Duizend-en-één-nacht, zal voor altijd in ons geheugen gegrift staan!
Mist u een nieuws item, of heeft u nog ander opvallend of aanvullend security nieuws? Meld het aan ons door een mail te sturen naar:
[email protected]. En wie weet staat uw nieuwtje in de volgende Madison Gurkha update!
Madison Gurkha winter 2010
3
In de rubriek “Het Inzicht” stellen wij bepaalde (technische) beveiligingsproblemen aan de orde. Deze keer geeft Walter Belgers uitleg over de risico’s van Proces Control Systems zoals SCADA/EMS.
het in z icht
De risico’s van Proces Een Proces Control System (PCS) is een automatiseringssysteem dat speciaal is toegerust voor het aansturen en bewaken van industriële of infrastructurele processen, zoals SCADA (Supervisory Control And Data Acquisition). Proces Control Systems vervullen vaak een kritische rol: fabrieken worden ermee aangestuurd, onze nationale infrastructuur is ervan afhankelijk, onbemande metro’s worden ermee bestuurd etc. En vrijwel niemand laat de beveiliging ervan testen?
4
Madison Gurkha winter 2010
Nog steeds weinig auditing van Proces Control Systems Het is niet zo dat Madison Gurkha een roepende in de woestijn is. In Nederland staat de beveiliging van PCS wel degelijk op de agenda, tenminste, als het om systemen van nationaal belang gaat, denk aan de stroomvoorziening bijvoorbeeld. Al in 2006 is de Nationale Infrastructuur ter bestrijding van Cybercrime (NICC) opgericht (zie ook het interview met Annemarie Zielstra van NICC in Update 6). Desondanks wordt er nog steeds weinig auditing van PCS gedaan. Er zijn meerdere redenen waarom de beveiliging van PCS niet zo vaak getest wordt. “Beveiliging” is overigens een begrip dat in PCS anders wordt benaderd dan op veel andere plaatsen. Vaak denkt men bij beveiliging als eerste aan confidentialiteit: wat geheim is moet geheim blijven. Maar ook integriteit en beschikbaarheid zijn aspecten van beveiliging. Bij PCS is beschikbaarheid vaak het belangrijkste punt. Dat iemand kan zien hoe een fabriek werkt (confidentialiteit) is minder belangrijk dan dat iemand de werking van de fabriek kan verstoren (beschikbaarheid). Een verstoring kost onmiddellijk erg veel geld; bij een probleem met confidentialiteit zijn er niet zulke directe en verstrekkende financiële gevolgen. Het gevolg hiervan is wel dat, ook al zou men graag een security audit willen uitvoeren, dit gezien wordt als te risicovol. Een audit zou namelijk het PCS kunnen verstoren. Ook al is de kans daarop miniem, de gevolgen zijn zodanig groot dat vaak van een audit wordt afgezien. Een ander gevolg van de beschikbaarheidseisen is dat een werkend PCS in de regel slecht onderhouden wordt. Wijzigingen aanbrengen is gewoonweg te risicovol. Dat geldt ook voor beveiligingspatches. Hoe komt het dan dat we zo weinig horen over problemen met Proces Control Systems? Als het echt zo slecht is gesteld, zou je toch meer incidenten verwachten? Vroeger werd een PCS nog enigszins beschermd door het feit dat het specialistische systemen waren, waar je niet zomaar aan kon komen. Niet dat dat zo’n systeem veilig maakt, maar het duurt
het inz icht
Control Systems
langer voordat aanvallers zich ermee gaan bemoeien. Dat hebben we bijvoorbeeld ook gezien bij bepaalde chipkaarten, die erg onveilig waren zonder dat men dat wist (tot voor kort).
doordat een operator die nachtdienst draait wel eens een gezellig muziekje wil afspelen en een zelfgebrande CD met muziek in de HMI stopt, inclusief virus.
In de PCS-wereld zie je dat veel van dit soort systemen vervangen worden door standaard systemen, zoals Windows PC’s. Deze bevatten veel bekende en nog onbekende problemen en zijn al jaren lang een geliefd onderzoeksobject voor aanvallers. Zo’n systeem is alleen redelijk veilig te houden door continu te blijven patchen. We zagen al dat dat een probleem is. Hierdoor wordt een PCS snel veel onveiliger.
Als u denkt dat het uitschakelen van USB en CD-ROM op de HMI voldoende is, bedenk dan dat Stuxnet zichzelf ook via het netwerk verspreidt. Het zet zichzelf op (via het netwerk) gedeelde mappen. Indien zo’n map vanaf een ander systeem bekeken wordt, wordt dat systeem geïnfecteerd. Ook maakt Stuxnet gebruik van hetzelfde lek in Windows dat al door de Conficker-worm werd gebruikt. Hiermee verspreidt het zich actief over het netwerk.
Waarom dan toch geen incidenten? Traditioneel waren dit soort systemen helemaal losgekoppeld van andere netwerken. Dat was ook logisch omdat een PCS van oudsher met heel specifieke protocollen en zelfs speciale fysieke bekabeling werkt. Dit is echter snel aan het veranderen: ook voor de verbindingen tussen de componenten wordt steeds vaker gebruik gemaakt van bekende technieken als Ethernet. Dat wil nog niet zeggen dat de PLC-controllers op het kantoornetwerk zijn aangesloten (dat zou de beschikbaarheid weer in gevaar brengen), maar het wordt dan wel heel erg handig om vanuit het kantoornetwerk een koppeling te maken met de HMI. Dat is de PC waar de operator achter zit en de fabriek overziet en controleert. Dat is nu juist ook het systeem waar de Stuxnet-worm achteraan ging. Men heeft het erover dat de eerste aanval mogelijk met behulp van een USB-stick is uitgevoerd. USB-sticks kunnen zelfstartende bestanden bevatten, hoewel dit uit te schakelen is in Windows. Stuxnet maakte gebruik van een nog niet bekend lek in Windows, waardoor het openen van de stick in de verkenner al voldoende was voor infectie. Dit zou geen schokkend nieuws moeten zijn. Er zijn meer gevallen bekend van infecties met virussen en wormen via de HMI. Bijvoorbeeld
Stuxnet is groot in het nieuws gekomen. Is het een interessante worm uit technisch oogpunt? Het grootste effect van Stuxnet zit hem niet in de technieken die werden gebruikt. Het grootste effect zit hem in het laten zien dat een PCS kwetsbaar is. Net als bij de chipkaart zal dit tot gevolg hebben dat meer mensen zich hierop gaan storten. De gevolgen van een incident verergeren daarmee niet, maar de kans dat een incident optreedt wordt wel (veel) hoger. Helaas zorgt de beschikbaarheidseis er ook voor dat maatregelen die je normaal gesproken zou nemen, nu niet eenvoudig uitvoerbaar zijn. Denk aan patches, maar bijvoorbeeld ook aan het wijzigen van verstekwaardes. Stuxnet misbruikt het feit dat bepaalde Siemenssoftware een database aanroept met een standaard wachtwoord. Het wijzigen van dat wachtwoord is te risicovol in een productieomgeving. Met de toename van het risico en de moeilijkheden om te patchen, is het wellicht nu het juiste moment om eens te kijken hoe uw PCS als geheel beveiligd is. Hangt het aan het kantoornetwerk? Kunnen USBsticks en CD-ROM’s gebruikt worden? Hebben leveranciers nog een inbelverbinding? U bent misschien niet de enige die hier naar kijkt….
Heeft u onderwerpen die u graag een keer terug zou willen zien in deze rubriek? Laat het dan weten aan onze redactie via:
[email protected].
Madison Gurkha winter 2010
5
Madison Gurkha interviewt voor iedere editie een gerenommeerd persoon in de IT-beveiligingswereld om zijn of haar visie te delen over dit steeds belangrijker wordende onderwerp. Ditmaal een Engelstalig interview met Sandro Etalle, full professor TU/e en UT, over Stuxnet.
het interview
Sandro Etalle systems would have been able to detect StuxNet on-the-fly. What makes Stuxnet so unique in your opinion? Stuxnet is the first virus devised to target one specific industrial plant by altering the working of a specific set of PLCs. Given Stuxnet price tag in the millions of Euros, it is probably an important target.
Where are you working and what is your position? Four days a week I work for the Technical University of Eindhoven, where I lead the Security group in the Computer Science Department. Together with the Coding and Crypto group of the Math dept, we form EIPSI, the Eindhoven Institute for the Protection of Systems and Information. In the remaining day of the week, I work as full professor for the University of Twente. It is nice to combine working at two different Universities: in Eindhoven I have more managerial responsibilities, and in Twente I stay relatively closer to the research floor. I am also involved in the Twente’s spin-off SecurityMatters, founded about a year ago by Damiano Bolzoni and Emmanuele Zambon, two ex PhD students of mine. Can you tell us a bit more about the research you are doing? Too little time and so many interesting things to do. My main area of research is trust management, which is a relatively broad area encompassing distributed access control, privacy protection and identity management. Another area I love working at is intrusion detection. Together - and especially thanks to - my partners in crime Damiano Bolzoni and Emmanuele Zambon, we have done some good work on signature-less detection methods. At this moment we are applying these methods to the protection of Industrial Control Systems. We think we are working in the right direction towards the next generation of intrusion detection systems. Our latest lab tests indicate that one of our
6
Madison Gurkha winter 2010
Stuxnet is conceptually different from normal worms. If we exclude toy viruses, we distinguish two categories of worms. The first and larger category is that of worms like cluster bombs: they are relatively inexpensive and are deployed by the numbers. Only a fraction of them is expected to actually hit the target, but this is a feature not a bug. For this kind of worms, being completely stealth is difficult, given the numbers of infections they cause. To compensate, they usually mutate quickly enough so that standard virus-scanners have a hard time recognizing them. The second category is that worms used for targeted attacks, meant to hit a particular system which could be for instance a specific bank to steal money or a specific government agency to install spyware. These viruses are engineered with the specific target in mind, and are usually “injected” in the target system by means of a direct attack. Targeted attacks are usually stealth; in fact they are often inherently difficult to detect because of their one-time nature: virus scanners cannot detect them because no-one has seen them before. While Stuxnet is certainly a targeted attack, it was engineered to work like a cluster bomb. This would have remained longer unnoticed if its spreading strategy would have been more cautious in my opinion. However, I believe there is a valid reason behind this strategic choice: probably that Stuxnet’s only target wherever it is - may be disconnected from the Internet, or in any case, is very difficult to reach using normal network means. Stuxnet is the first cluster bomb devised to hit ONE specific well-protected site, and to remain stealth otherwise (it remained undetected for quite a long time). The amount of technology and of strategic thinking that was put into
Stuxnet to realize this is astounding, including zero-day vulnerabilities, real certificates etc. What could organizations have done to prevent the Stuxnet infection? With the present security tools, and before it was detected the first time, there was very little one could do to prevent the infection. Behavioral-based detection systems should have been able to detect it, but Stuxnet was devised (and extensively tested) to remain undetected by mainstream detection systems. Stuxnet changes its infection strategy according to the virus scanner it finds in the system, it even switches itself off in the moment it recognized a virus scanner that is in state of detecting it. Once it has been detected and isolated, and once a “signature” for Stuxnet has been produced it is relatively easy to prevent the infection using standard virus scanners (and by fixing the vulnerabilities Stuxnet uses to propagate itself). But then it is probably too late. Who/What do you think is behind Stuxnet? Who knows? There is certainly a large, well-managed team (30 men, according to the latest Symantec estimate). What strikes me particularly is the amount of planning, information gathering and testing (and probably on-the-fly bug fixing via specific command-and-control systems) that has accompanied its development and deployment. I am convinced this is one of the products of a long-term project carried out by a national agency somewhere. Can infections of other ingenious malware like Stuxnet ever be prevented? Hundred percent security cannot be achieved, but there is still a lot that can be done to protect our systems better: develop better access control, better intrusion detection systems and raise awareness for instance. What are your future plans for research without budget restraints? I want to develop the detection system that will catch Stuxnet II on the fly!
In elke Madison Gurkha Update vragen wij een klant het spreekwoordelijke hemd van het lijf met betrekking tot zijn of haar relatie met IT-beveiliging. Voor eenieder herkenbare verhalen uit de praktijk, uiteraard zo onherkenbaar mogelijk gebracht. Deze keer het woord aan de heer X van instelling Y.
de klant
In welke branche is uw organisatie actief? Energie
management en security inventarisatie op orde zijn, het risico eigenlijk heel klein is. Ons bestaande beleid voorziet in de normale aanwijzingen op netjes beheer, dus wij hebben daarin niets veranderd. Uiteraard zullen er ook nog onbekende kwetsbaarheden zijn. Het is altijd lastig om daar tegen te beveiligen. Binnen de SCADA/EMS-omgevingen werken we met producten die minder onderhevig zijn aan veranderingen. Het zijn vaak oudere, stabiele systemen die nog niet op Windows draaien en daardoor minder kwetsbaar zijn.
Wat is uw functie? Ik ben werkzaam als adviseur ICT met als aandachtsgebied informatiebeveiliging. In de volksmond wordt dit ook wel CISO genoemd. Onze organisatie is gesplitst in een commerciële kant en een netbeheerders kant. Ik werk voor de commerciële kant. Hoeveel mensen houden zich in uw organisatie bezig met informatiebeveiliging? Organisatiebreed zijn er een achttal mensen die zich hiermee bezig houden. Daarvan zijn er vier personen fulltime aangesteld om zich actief bezig te houden met informatiebeveiliging. Fulltime in de zin van het bredere domein over informatiebeveiliging en risicomanagement. Hoe is de informatiebeveiliging opgezet binnen uw organisatie? Wij vallen direct onder de CIO/directeur ICT die weer rapporteert aan de financiële man in de board. De security officers hebben maandelijks een gestructureerd overleg waarin we het nieuwe beleid voorstellen, nieuwe richtlijnen bespreken en opstellen. Daarnaast bespreken we vaak de meest recente incidenten op het gebied van informatiebeveiliging en vindt er een algemeen gesprek plaats over procesrisico’s/risicomanagement. Binnen onze organisatie gaan we nog uit van een gezamenlijk informatiebeveiligingsbeleid. Naast het gezamenlijk belang kijken we ook naar de specifieke zaken voor de verschillende bedrijven. Deze zijn qua aard goed te onderscheiden, dus deze verdienen ook elk een specifiek beleid en aanpak. Uiteraard gaan we uit van de standaard ISO27000. Wat zijn de belangrijkste kwaliteiten waarover men moet beschikken om deze functie te kunnen uitoefenen? Het is erg belangrijk dat je het overzicht hebt en inzicht hebt in de branche waarin je zit. Je moet snappen waar het over gaat. Bovendien is diplomatiek vermogen een belangrijke kwaliteit. Informatiebeveiliging wordt immers gezien als een niet-populair onderwerp. Het wordt vaak als hinderlijk beschouwd: er moeten snel beslissingen genomen worden, moet extra over nagedacht worden, komt iemand zeuren over risico’s, etc. Terwijl businessmanagers juist graag snel een contract willen sluiten. Het is dus de kunst
om te balanceren tussen de “Dr. No” en de deur wijd openzetten. Of bepaalde risico’s aanvaard worden, ligt altijd bij de business. Dat wil niet zeggen dat ik in het geval van een meningsverschil met de business niet terecht kan bij de board. In zo’n geval laat ik het wel eens escaleren tot aan board. Gelukkig komt dit niet vaak voor, en is de business in de meeste gevallen wel gevoelig voor de argumenten die ik geef. Zo niet, dan moet ik mijn diplomatie inzetten om het alsnog te bereiken zonder het te laten escaleren. Hoe is er binnen de organisatie gereageerd op Stuxnet? Toevallig ben ik daar direct bij betrokken geweest. Het is vooral op twee plaatsen bij ons bekeken. Enerzijds in het bedrijfsdeel dat zich bezig houdt met productie. Zodra bekend was wat Stuxnet doet, hebben we gekeken of het bij ons kwetsbaarheden oplevert. Dit was niet het geval. Tevens hebben we binnen de netbeheeromgeving, ik praat over veel SCADA-omgevingen, gekeken op welke manier Stuxnet van invloed kan zijn. Stuxnet is voor ons vooral “een wakker wordt” signaal geweest. Tot nu toe beleefde men, vooral in de procesautomatiseringswereld, virussen, spam, wormen etc. als iets wat bij hen niet voorkomt. Stuxnet heeft daar verandering in gebracht en heeft laten zien dat dit, weliswaar onder bijzondere omstandigheden, wel zeker kan en dat we er misschien toch iets mee moeten. Zijn er binnen uw organisatie naar aanleiding van Stuxnet maatregelen getroffen? Voor Stuxnet geld in principe dat als je ordentelijk beheer hebt gedaan, je patch-
Zijn er overleg organen waar jij in deelneemt? Op dit moment niet. Een tijd geleden heb ik wel deelgenomen aan een nationale commissie voor privacy en security in een specifiek vakgebied. Wat zijn in uw organisatie op dit moment de belangrijkste uitdagingen op het gebied van informatiebeveiliging? Een van de belangrijkste uitdagingen is dat we op dit moment nog weinig bescherming hebben van Intrusion Detection. Defense in depth is dan ook een aandachtspunt. Het gaat hierbij om het beschermen van binnenuit: de hardening van systemen, van databaseomgevingen, in principe het hele autorisatiatiemanagement. Het tweede aandachtsgebied is Awareness. Op dit moment heerst er soms nog naïviteit op het gebied van kwetsbaarheden op ICT-gebied. Met name doordat cybercrime mondialer wordt en het steeds goedkoper en makkelijker wordt om cybercrimineel te zijn, worden de risico’s die daarmee samenhangen vaak onderschat. De risico’s nemen toe, maar het besef nog niet. Er ligt nog een grote uitdaging om dit bewustzijn te vergroten. Hoe helpt Madison Gurkha daarbij? Door middel van deze nieuwsbrief wordt een stukje bewustzijn met betrekking tot IT-beveiligingsrisico’s gecreëerd. Daarnaast helpt Madison Gurkha ons bij het afnemen van security onderzoeken en inspecties waardoor risico’s inzichtelijk worden en wij deze tot een aanvaardbaar niveau kunnen brengen. Wat zijn uw ervaringen met Madison Gurkha Madison Gurkha is al vier jaar lang huisleverancier. Dit geeft wel een indicatie van een redelijke coëxistentie ;-).
Madison Gurkha winter 2010
7
In de rubriek “De Hack” belichten we dit keer een bijzondere hack die in het nieuws is geweest. Pieter de Boer van Madison Gurkha vertelt over het veel besproken Stuxnet.
de hack Velen van jullie zullen het al in het nieuws gehoord hebben: “er waart een worm rond op het internet waarmee nucleaire installaties worden gesaboteerd”. Deze worm heeft veel beveiligingsexperts verrast en heeft een nieuwe dimensie gegeven aan wat ‘cyber warfare’ wordt genoemd. Laten we eens kijken naar wat deze worm uitspookt en wat we ervan kunnen leren op het vlak van beveiliging.
Stuxnet,
je zult het maar onder de leden hebben Onderzoek Er bestaan veel bedrijven die onderzoek doen naar kwaadaardige software. Het bedrijf VirusBlokAda, een antivirusbedrijf in Belarus, trof in juni 2010 als eerste een exemplaar van de Stuxnet-worm aan. Vervolgens volgde een uitgebreid onderzoek, met name door Symantec. Inmiddels is redelijk volledig bekend hoe de worm werkt, zowel wat betreft besmetting, antidetectie-mechanismen en daadwerkelijk kwaadaardige bedoelingen.
shares en via een voorheen onbekende kwetsbaarheid in de `print spooler’ service, waarmee printopdrachten worden afgehandeld. Ook verspreidt het zich door projecten van het SIMATIC WinCC-product van Siemens te infecteren. Later meer hierover.
Features Er zijn verschillende versies van Stuxnet geweest. Oorspronkelijk verspreidde het zich via USB-sticks, gebruik makend van de `autorun’-functionaliteit van Windows. Daarmee wordt de programmatuur (vrijwel) automatisch gestart nadat een USB-stick in een PC wordt gestoken. Later is misbruik van een lek in de afhandeling van snelkoppelingen toegevoegd, waardoor helemaal geen gebruikersactie meer nodig is. Verder kan het zich verspreiden door een oudere kwetsbaarheid in de ‘bestands- en printerdeling’-functionaliteit van Windows te misbruiken, via bestands-
Na infectie laadt Stuxnet drivers, die ondertekend zijn met gestolen certificaten, zodat Windows ze accepteert. Deze drivers zorgen ervoor dat na herstarten van het systeem Stuxnet actief en verborgen blijft. Ook zoekt Stuxnet contact met een tweetal centrale servers, waar systeeminformatie heengestuurd wordt en waarmee Stuxnet zichzelf ook kan updaten.
8
Madison Gurkha winter 2010
Als de worm initieel geen beheerdersrechten heeft, misbruikt het lekken in Windows taakbeheer en de kernel om deze rechten te krijgen.
Doel Stuxnet infecteert de Siemens SIMATIC WinCC/Step7 software ook om het klaarblijkelijke uiteindelijke doel te bereiken. Deze software wordt onder andere
gebruikt om PLC’s (Programmable Logic Controller) te programmeren. PLC’s worden gebruikt om industriële processen te besturen en sturen daarbij pompen, kleppen, motoren, sensoren en dergelijke aan. Wanneer een PLC wordt geprogrammeerd vanaf een met Stuxnet geïnfecteerd systeem, wordt extra, kwaadaardige, code toegevoegd. Het gaat uit van PLC’s die Profibus gebruiken. Op een dergelijke bus kunnen meerdere apparaten aangesloten worden, zodanig dat de PLC deze apparaten kan besturen. Wanneer er een bepaald aantal zogenaamde frequentieomvormers van twee fabrikanten, één in Finland en één in Iran, worden aangetroffen op de bus, wordt de daadwerkelijk kwaadaardige code in gang gezet. Frequentieomvormers worden gebruikt om de draaisnelheid van motoren te regelen door een wisselspanning van regelbare frequentie te genereren. De geïnfecteerde PLC zoekt naar frequentieomvormers die werken op frequenties tussen 800 en 1200Hz. Dergelijke frequenties zorgen voor een groot aantal rotaties per minuut van de aangesloten motoren, bijvoorbeeld bruikbaar in centri-
de hack
fuges van nucleaire installaties waarmee uranium worden verrijkt. Via een complex algoritme wordt er voor gezorgd dat de ingestelde frequentie soms verhoogd wordt tot zo’n 1400Hz, verlaagd tot 2Hz en weer verhoogd tot zo’n 1000Hz. Hiermee wordt effectief een strikt gereguleerd proces ontregeld. Dreiging Er wordt al enige maanden gespeculeerd over het doel en de schrijver van Stuxnet. Stuxnet is vooral in Iran uitgebroken en werkt op Iraanse frequentieomvormers die bruikbaar zijn bij uraniumverrijking. Deze uraniumverrijking heeft in het verleden een onverklaarbaar productieverlies gele-
den. In de media heeft Iran onlangs zelfs toegegeven dat er inderdaad problemen zijn geweest met hun centrifuges. U als lezer houdt zich waarschijnlijk niet vaak bezig met Iraanse uraniumverrijking en heeft daardoor andere aanvallen te verwerken. Toch bestaat er voor u ook een dreiging voor specifieke aanvallen zoals deze, met name aanvallen die misbruik maken van nog onbekende lekken, antivirus-producten om de tuin leiden, zichzelf verstoppen en ongemerkt sabotage-acties uitvoeren of informatie stelen. Bescherming Hoe beschermen we ons tegen zoiets?
En is dat wel de moeite waard gezien het soort aanvaller? Hoewel het praktisch onmogelijk is om tegen dergelijke aanvallen goede bescherming te bieden, kan er wel veel gedaan worden. Systeem-hardening, goede afscheiding tussen systemen, degelijke monitoring en het lezen van logbestanden hadden met name detectie van de verspreiding kunnen vergemakkelijken. Gewoon de standaard beveiligingsmantra’s, niks nieuws dus. Het feit dat in de praktijk het vaak niet lukt om dit soort beveiliging te implementeren, is de belangrijkste reden dat dergelijke aanvallen helaas nog steeds mogelijk zijn. We helpen graag om dat te verbeteren, maar er is nog veel werk te doen!
Madison Gurkha winter 2010
9
In de rubriek “Het Verslag” laten wij u delen in onze ervaringen tijdens conferenties, seminars en trainingen. Deze keer doet Isack Vermaat verslag van ‘Digital Experience’, dat plaatsvond op 6 oktober in Houten.
het
verslag
Forensische tools Digital Experience is een bijeenkomst voor IT-ers die werkzaam zijn binnen IT-forensics. Dit zijn voornamelijk IT-rechercheurs die zich bezig houden met opsporing zoals politie, FIOD, SIOD en andere bijzondere opsporingsdiensten. Maar ook particuliere recherchebureaus die forensisch ITonderzoek uitvoeren, waren aanwezig.
Op woensdag 6 oktober vond het jaarlijks evenement ’Digital Experience’ plaats, evenals vorig jaar in Hotel Houten. De belangstelling was ook deze keer groot, iets meer dan 200 bezoekers namen deel aan presentaties en workshops met als thema ’Digital Forensics’. Om 08.30 uur stonden mijn collega Pieter de Boer en ik aan de koffie in Hotel Houten. Zoals elk jaar was het een gezellig weerzien van bekenden en werden de laatste nieuwtjes, tips en trucs uitgewisseld. Ronald van Vught, ICT-architect bij NetWell, deed de aftrap met zijn presentatie ‘Optimaliseer uw infrastructuur voor forensisch onderzoek’. Hierin vertelde hij over het optimaliseren van de onderzoeksomgeving waar met servers en clients wordt gewerkt. De hoeveelheid te verwerken data, wordt steeds groter. Daarom is het van belang dat er steeds beter naar de inrichting van de IT-infrastructuur wordt gekeken. Het is tegenwoordig ondoenlijk om tijdens een groot onderzoek, alle data binnen te halen en te verwerken. Daarom wordt de data veelal op een gerichte wijze binnengehaald. Feit blijft dat het veel data is waar door meerdere onderzoekers mee gewerkt wordt. Om de onderzoeksomgeving geen vertragende factor te laten zijn, is het dus belangrijk dat deze omgeving op een efficiënte manier is ingericht. Joel Bollö, CEO van Micro Systemation, de producenten van .XRY, volgde hierna met een presentatie over ‘Cellphone forensics-
the most important future evidence?’. Hij liet zien dat ‘Cellphone forensics’ een steeds grotere waarde krijgt binnen opsporingsonderzoeken. Dit is natuurlijk niet zo vreemd, want zoals Joel zelf stelde, iedereen heeft tegenwoordig een (smart)phone waar een groot deel van zijn of haar leven in staat. Dit is uiteraard een mooie bron van informatie voor een onderzoek. Ik ben het er wel mee eens dat het waarschijnlijk de belangrijkste bron van informatie binnen IT-forensics gaat worden, maar dat hangt wel van het onderzoek af. Na de koffiepauze splitste iedereen zich op in kleinere groepjes en volgde een eigen agenda. Pieter en ik kozen als eerste presentatie: ‘The impact of multi-core and multi-threading architectures –Guidance FBU’. Hierin werd gesproken over het benutten van CPU’s met een multi-core/-threading architectuur door de diverse forensische tools. Er wordt vaak wel gebruik gemaakt van deze architectuur, maar de strategie van de tools is nog niet zo goed dat het volledig benut wordt. In de presentatie werd uiteengezet dat de meeste tijd gaat zitten in het analyseren van de data. Het inlezen van images etc. neemt niet zoveel processortijd in beslag. Als je bijvoorbeeld een quadcore processor nu eens zo zou gebruiken, dat alle vier cores tegelijkertijd bezet blijven met het uitvoeren van verschillende taken in het sequentiële proces van dataverwerking, dan zou je daarmee flinke tijdswinst kunnen maken. Na de informatieve ochtend kregen we de tijd om onder het genot van een broodje even bij te komen, want de middag beloofde nog veel interessante lezingen. Na de lunch zijn we een kijkje gaan nemen bij `Intella - Investigations made easier – Vound’. Intella heeft een leuke tool ontwikkeld om bijvoorbeeld gegevens van diverse mails te groeperen met een ‘venn-diagram’-analyse. Helaas is deze alleen nog geschikt voor onderzoeken met weinig variabelen. Ik had gehoopt, omdat ze vorig jaar een nieuwkomer waren binnen het forensisch IT-onderzoek, dat ze dit jaar met een aanvulling op de tool zouden ko-
10
Madison Gurkha winter 2010
het
de agenda
verslag
Als u op de hoogte wil blijven van de laatste ontwikkelingen in de ICT-beveiligingswereld, dan zijn beurzen en conferenties de ideale gelegenheid om uw kennis te verrijken en om contacten op te doen. Dit keer staat de Black Hats Sessions part IX op de agenda.
26 april 2011 Reehorst te Ede
Black Hats Sessions part IX: The Human Factor Privacy, Social Engineering, Social Networks, Awareness, Digital Crime….. Deze negende editie van de welbekende Black Hats Sessions wordt georganiseerd door Array Seminars en Madison Gurkha en staat volledig in het teken van de menselijke aspecten op het gebied van informatiebeveiliging: “The Human Factor”. Nadat we vorige jaar de risico’s van de “Cloud” hebben onderzocht, gaan we dit jaar in op de rol van en de gevolgen voor de mens van het gebruik van IT. Dit jaar zullen er geen vendor sessies zijn, waardoor wij ruimte hebben voor 2 parallelle tracks. Hierdoor kunnen ook niet-technische bezoekers een interessant programma volgen. Er zal deze editie volop aandacht zijn voor onderwerpen als privacy, social engineering, risico’s van het gebruik van sociale netwerken, identiteitsdiefstal en fraude en digitale criminaliteit. men. Het zou mooi zijn als je de tool ook zou kunnen gebruiken met meer variabelen dan de paar waar de tool nu met name geschikt voor is. Wie weet volgend jaar? We hebben de interessante dag afgesloten met respectievelijk de presentaties `Collaborative Computing Description – AccessData’, `Data Triage with EnCase Portable - Guidance Software’ en `Optimizing hardware for forensic analysis software - Digital Intelligence’. In deze laatste heeft Digital Intelligence onderzoek gedaan naar het verband tussen de gebruikte hardware en de doorloopsnelheid van het prepareren van een onderzoek: het maken van een case. Uitkomst van het onderzoek was dat voornamelijk de inrichting van de opslagmedia en voldoende geheugen belangrijk zijn. Dit zijn de grote bottlenecks voor de verwerking van de data. Het operating system apart op een SSD-disk en de verwerkte data op een aparte RAID configuratie zetten, zorgt voor tijdswinst. Ook volgend jaar komt er weer een Digital Experience. Ik zet 5 oktober 2011 alvast vast in mijn agenda!
In de volgende Update zullen wij u nader informeren over het volledige programma.
VACATURES Madison Gurkha is een jonge, groeiende en veelbelovende organisatie op het gebied van (technische) IT security. Madison Gurkha levert kwalitatief zeer hoogwaardige diensten aan grotere organisaties zoals landelijke opererende overheidsinstellingen, (beursgenoteerde) multinationals en financiële instellingen. Door onze aanhoudende groei zijn wij dringend op zoek naar: Junior Security Consultant (JSC) Security Consultant (SC) Senior Security Consultant (SSC) (Senior) Account Manager
• • • •
Meer informatie over bovenstaande vacatures kun je vinden op onze website www.madison-gurkha.com. Ben jij diegene die we zoeken? Stuur dan snel je sollicitatiebrief met CV per e-mail naar
[email protected] of bel voor meer informatie 040-2377990.
het colofon Redactie Tim Hemel Laurens Houben Remco Huisman Frans Kollée Maayke van Remmen Ward Wouts
Vormgeving & productie Hannie van den Bergh / Studio-HB Foto cover Digidaan
Contactgegevens Madison Gurkha B.V. Postbus 2216 5600 CE Eindhoven Nederland
T +31 40 2377990 F +31 40 2371699 E
[email protected]
Bezoekadres Vestdijk 9 5611 CA Eindhoven Nederland
Redactie
[email protected]
Voor een digitale versie van de Madison Gurkha Update kunt u terecht op www.madison-gurkha.com. Aan zowel de fysieke als de digitale uitgave kunnen geen rechten worden ontleend.
Madison Gurkha winter 2010
11
______________________________________________________________________________ Information Technology Security eXperts
its ______________________________________________________________________________
• • • • • •
•
o
•
•
o o o o o o o o o o o o o o
• • • • • • • •
______________________________________________________________________________