Internettet gør industrirobotter til mål for hackere
Den 23. december 2015 omkring klokken 16 forsvandt strømmen fra to kraftværker i det østlige Ukraine. Mere end 80.000 kunder var uden strøm som følge af det, der viste sig at være et hackerangreb, hvor hackerne havde fået adgang til kontrolsystemerne og havde afkoblet flere transformerstationer. Den 12. juni 2017 blev produktionslinjerne standset på Renaults fabrik i Sandouville for at forhindre, at ransomware-ormen WannaCry spredte sig yderligere til de computere, som styrer fabrikken.
Begge disse angreb er eksempler på, at it-sikkerhed er essentiel for industrielle kontrolsystemer, og det bliver ikke mindre, jo mere intelligente og forbundne de enkelte dele af systemet bliver.
»Når man kobler disse systemer på nettet, så er man nødt til at holde dem opdateret. Før var indstillingen ‘if it works, don’t fix it’, men den tilgang skal man lægge fra sig,« siger Gert Læssøe Mikkelsen, chef for Alexandra Instituttets Security Lab.
Robotter med forældet software
Det forudsætter i første omgang, at der er softwareopdateringer tilgængelige, og det er ikke altid tilfældet. I en nylig undersøgelse foretaget af forskere fra Milanos polytekniske universitet i samarbejde med sikkerhedsfirmaet Trend Micro viste det sig, at softwaren, som bruges til at styre industrirobotter fra eksempelvis producenter som ABB og Mitsubishi, ofte var forældet. Der var eksempler på robotter, som kørte på version 2.6 af Linux-kernen eller Microsofts .Net SDK 3.5, som begge har passeret almindelig support fra softwareleverandørerne.
Mens disse softwareplatforme er udfaset i traditionelle it-miljøer, så er levetiden for industrielle systemer ofte længere, og det kræver, at man lægger en strategi for at vedligeholde ikke bare mekanik og elektronik, men også software.
Det har på forbrugermarkedet vist sig at være lettere sagt end gjort. Selvom der både i industrien og på forbrugermarkedet typisk er tale om open source-platforme, især Linux, på Internet of Things-enheder, så er det stadig op til producenten af udstyret at sætte de nødvendige opdateringer sammen, for det er ikke bare at opgradere styresystemets kerne.
»Problemet er, at det er en myriade af forskellige drivere, der skal til. Og det er forskellige afskygninger af open source-software, der bliver brugt, og det gør patch-management til et mareridt,« sagde sikkerhedskonsulent Peter Kruse fra sikkerhedsfirmaet CSIS til Version2 i forbindelse med en undersøgelse af, hvor svært det kunne være at holde Internet of Things-udstyr opdateret.
Sårbar over for tilfældige angreb
Når softwaren ikke er opdateret, så er enheden sårbar, fordi al software indeholder sikkerhedshuller. Når der frigives en opdatering til eksempelvis Linux, så bliver sikkerhedshullet også kendt, og det betyder, at hvis man ikke opdaterer, så har éns udstyr et sikkerhedshul, som er kendt af potentielle hackere.
Jeg tror, vi vil se flere problemer som WannaCry. Den ramte ikke kun pc’er, men også computere, der bruges til styring.
-- Gert Læssøe Mikkelsen, chef for Alexandra Instituttets Security Lab
Dermed er man ikke blot sårbar over for den type angreb, som går målrettet efter éns systemer og prøver at finde svagheder i konfigurationen, netværket eller softwaren, men også over for tilfældige angreb. Ransomware-ormen WannaCry var efter alt at dømme ikke beregnet til at gå efter systemer i industrien, men alligevel blev eksempelvis Renaults og Nissans fabrikker ramt, fordi der stod computere med Windows 7 eller Windows Server 2008, som ikke havde fået installeret den sikkerhedsopdatering, som Microsoft havde frigivet to måneder før angrebet.
»Jeg tror, vi vil se flere problemer som WannaCry. Den ramte ikke kun almindelige pc’er, men også computere, der bruges til styring. Man skal sørge for at patche, også selvom computerne står på sit eget net, for der kan være huller i perimeteren,« siger Gert Læssøe Mikkelsen.
Svært at teste
Mens it-afdelingen selv kan håndtere opdateringen af de almindelige pc’er på kontoret, så kan det være vanskeligere med industrisystemerne, fordi de dels er mere tilpasset til et bestemt formål og dels er afhængige af noget software, som gør det svært at teste. På indlejrede systemer, der kører Windows, kan det være umuligt for Microsoft at sikre, at en opdatering ikke volder problemer. Microsoft tester alle sikkerhedsopdateringer både i selskabets eget testmiljø og i samarbejde med en række partnere, men det kan være vanskeligt, hvis der er tale om et unikt industrisystem. Derfor er det nødvendigt at involvere systemleverandøren i processen.
Rejsekort kører på Windows XP
Hos Rejsekort A/S kører både standerne i busser og på stationer samt automaterne eksempelvis Windows XP. Selvom det hele kører på et netværk, som i princippet er isoleret, så bliver styresystemet alligevel opdateret for at lukke de sikkerhedshuller, som stadig dukker op i det 16 år gamle styresystem. Rejsekorts leverandør, Thales, oplyser, at standere og automater benytter Windows Embedded, som er en særlig opdateret version af Windows XP, der supporteres frem til 2019.
Det betyder, at udstyret stadig får opdateringer, som rulles ud af Thales, der altså ikke blot opdaterer selve den software, som udgør standernes funktionalitet, men også det underliggende styresystem. Det er et vigtigt princip både i traditionelle systemer og i de nye, som bygger på gængs internetteknologi. Men det stopper ikke ved leverandøren; kunden skal også være forberedt på sikkerhed, og det er ikke nødvendigvis let.
»It-sikkerhed er noget nyt for dem, der står for industrisystemer, og samtidig falder industrisystemerne uden for it-afdelingens normale område, så der er en risiko for, at ansvaret lander mellem to stole,« siger Gert Læssøe Mikkelsen.
Admin admin
It-sikkerhed er noget nyt for dem, der står for industrisystemerne, og samtidig falder industrisystemerne uden for it-afdelingens normale område.
-- Gert Læssøe Mikkelsen, chef for Alexandra Instituttets Security Lab.
Når Internet of Things-enheder ikke opdateres, så kan det have alvorlige konsekvenser. Men det gælder ikke kun om at lukke sikkerhedshuller i softwaren. Konfigurationen skal også holdes opdateret og sikret. I oktober 2016 blev hjemmesiden for sikkerhedsbloggeren Brian Krebs ramt af et DDoS-angreb af hidtil uset styrke. Det viste sig, at det var blandt andet harddiskoptagere og overvågningskameraer, som blev brugt til at bombardere siden med trafik.
Her var problemet, at enhederne brugte producentens standardkodeord, som aldrig var blevet skiftet, så det var muligt for hackere at logge ind med eksempelvis brugernavnet ‘admin’ og kodeordet ‘admin’ og få adgang til at installere en bagdør, som kunne udnyttes til at udføre DDoS-angrebet.
Ikke it-afdelingens område
Den praksis findes også i industrielle systemer, viste undersøgelsen fra de italienske forskere og Trend Micro. I de industrielle systemer kan det eksempelvis være de kontrolbokse, som styrer robotterne, snarere end selve robotterne, der er sårbare. Når man skifter til internetteknologier fra tidligere lukkede systemer, så bliver disse bokse reelt til routere, som skal sikres på samme måde som enhver anden router på netværket.
Derfor kan det være nødvendigt at involvere it-afdelingen, selvom industrisystemerne hidtil ikke har været dennes område. Det vil nemlig være de samme kompetencer, der skal bruges til at sikre både det industrielle Internet of Things og virksomhedens almindelige netværk. Det gælder eksempelvis firewall-konfiguration, patch-management, netværkssegmentering og overvågning af netværksaktiviteten.
Men det forudsætter, at sikkerheden trækkes op på højeste niveau. Allerede i dag kan en virksomhed gå i stå, hvis kontor-pc’erne rammes af ransomware, men konsekvenserne kan blive endnu dyrere, hvis produktionsanlæggene sættes ud af drift eller saboteres.
»Stuxnet-ormen er blevet brugt som motivation for at øge sikkerheden i industrisystemer, men det var et meget avanceret angreb. Det er nok ikke den kaliber, man skal være mest nervøs for,« siger Gert Læssøe Mikkelsen.
Stuxnet-ormen var formentlig rettet mod iranske anlæg til forarbejdning af uran og indeholdt kode, som fik motorerne i urancentrifugerne til at accelerere på en måde, der fik dem til at brænde sammen.
Den italienske undersøgelse af industrirobotter viste, at denne form for sabotage ved små ændringer i forhold til normal opførsel også kunne ramme kontrolboksene til robotter. Eksempelvis lykkedes det forskerne – som tidligere omtalt på ing.dk – at hacke en ABB-robot til at tegne en skæv linje ved at lave reverse engineering på dens controller-software.
Risikovurdering
Software er med til at gøre robotterne mere fleksible, og ved at basere dem på internetteknologier kan man udnytte den generelle udvikling, som er med til at gøre hurtigere fremskridt og sænke priserne. Men det betyder altså, at man er nødt til at tænke over sikkerheden.
»Man er nødt til at holde de forskellige trusler op mod en risikovurdering. Hvor stor en risiko er man villig til at løbe for de forskellige trusler, og hvor stor er sandsynligheden? Det er vigtigt at få taget dette overordnede perspektiv op på ledelsesniveau,« siger Gert Læssøe Mikkelsen.
Problemet er, at det vil være meget omfattende at skulle sikre sig bedst muligt mod hele spektret af trusler lige fra det tilfældige angreb af ransomware til det målrettede angreb fra en efterretningstjeneste.
»Sikkerhed er en ting, man aldrig bliver færdig med. Der er altid mere, man kan gøre, men man har en endelig mængde penge. Så ingeniørerne i it og drift kan være gode til at implementere sikkerheden, men det er nødt til at være på ledelsesniveau, at man siger, hvad der skal beskyttes mod,« påpeger Gert Læssøe Mikkelsen.
