A Verizon Enterprise 2016 márciusi adatbiztonsági incidenseket összefoglaló kiadványában egy 5 oldalas összefoglaló (gyakorlatilag egy esettanulmány) jelent meg a Kemuri Water Company (KWC) rendszerében felfedezett ICS kiberbiztonság incidensről. Az esetet a szaksajtó is felkapta, számos online biztonsági híroldalon jelentek meg cikkek az esetről.
A KWC egy proaktív ellenőrzést kért a Verizon RISK Team-jétől, vagyis állításuk szerint semmilyen jel nem utalt arra, hogy bármilyen IT vagy ICS biztonsági incidens érintette volna a rendszereiket. A vizsgálat során a Verizon a vizsgálat során számos aggasztó részletet tárt fel. Ilyenek voltak az összefoglalóban antiknak nevezett, 10 évnél öregebb informatikai rendszerek, amelyek továbbra is éles üzemben voltak használva. A KWC központi rendszere egy AS400 alapú rendszer, ami egyszerre szolgált a víziközmű folyamatirányító rendszereként, százas nagyságrendű PLC-t vezérelve és biztosított backend-szolgáltatásokat a számlázórendszer és az Internet irányából elérhető webes alkalmazások számára az ügyfél azonosító adatok tárolásával (ezeket többek között az Internetes fizetési lehetősége biztosító alkalmazás is használta). Gyakorlatilag az AS400-as rendszer, a különböző hálózati zónákba kiépített kapcsolatain keresztül router-ként funkcionált a KWC hálózatában. Mindezen túl további üzemeltetési és logikai biztonsági kockázatokat jelentett, hogy ezt a rendszert mindössze egyetlen ember üzemeltette.
Az Internet irányából elérhető szolgáltatások használatához a KWC csak a felhasználónév-jelszó páros követelte meg, többfaktoros azonosítást nem alkalmaztak, ráadásul az alkalmazásszerver és az AS400-as szerver között direkt fizikai összeköttetés volt kialakítva, de hogy a helyzet még rosszabb legyen, a Verizon szakemberei felfedezték, hogy az AS400 elérhető volt az Internet irányából, az alkalmazás szerver egyik .ini fájljában elérhető volt az AS400-as szerver belső hálózati IP címe is.
A további vizsgálatok során kiderült, hogy a KWC rendszereit korábban már kompromittálták (erről a vizsgálatnak eddig a pontjáig a KWC-nek nem volt tudomása - ez mondjuk nem túl meglepő, ha az átlagos IT biztonsági incidens-felderítési időablakot nézzük, ami jóval több, mint 200 nap!) és mintegy 2,5 millió ügyfél adatait lopták el. Még ennél is nagyobb gondot jelentett az, hogy a támadók nem elégedtek meg az ügyféladatok ellopásával, hanem beavatkoztak a szelepeket és a vízvezetéket vezérlő alkalmazás működésébe is és ezt kb. 60 napig voltak képesek megtenni a vizsgálatot megelőzően. Legalább két esetben megváltoztatták azoknak a vegyszereknek a mennyiségét, amiket a KWC az ivóvíz megfelelő minőségének biztosítása érdekében használ a vízvezeték-rendszerben és ezzel növelték a vízellátás helyreállításához szükséges időt. A vizsgálat során a támadók indítékait nem sikerült kideríteni.
Az incidens feltárása után a KWC és a Verizon szakemberei megszüntették a kapcsolódási lehetőséget az ügyfélmenedzsment rendszer és az AS400 között, majd miután a támadók további hozzáférési lehetőségeit blokkolták, újraépítették a kompromittált rendszereket. A Verizon javaslatot tett az elavult rendszerek cseréjére és a frissített rendszerek naprakész patch-elésére (az én tapasztalataim szerint a core ICS rendszerek esetén ez az egyik legnehezebb feladat, elérni azt, hogy újabb verziójú szoftvereket és biztonsági frissítéseket lehessen alkalmazni). Ugyancsak javasolták, hogy az egyetlen AS400 adminisztrátor kérdését is rendezze a KWC, hiszen ez a helyzet nem csak logikai biztonsági, hanem jelentős üzembiztonsági kockázatokat is képvisel.
A Verizon esetleírása számos tanulságos pontot mutat be. Ahogy arról már többször írtam, az ICS biztonság területén általános probléma, hogy a különböző ICS rendszerek nagy része közvetlen Internet-kapcsolattal rendelkezik, ahol pedig nem, ott olyan szervereknek vagy munkaállomásoknak van ICS/SCADA-hozzáférésük, amelyek Internet-eléréssel is rendelkeznek. Ez önmagában is jelentős kockázatokat hordoz, de azzal a ténnyel együtt, hogy az ICS rendszereket (és gyakran bizony az ICS rendszerekhez kapcsolódó kiegészítő rendszereket sem) nem patch-elik rendszeresen, ezek a kockázatok nagyságrendekkel nagyobbak lesznek. Ahogy a KWC-t érintő incidens is megmutatja, ezek a kockázatok valósak és az ICS rendszereket üzemeltetőknek esetenként fogalmuk sincs arról, hogy a támadók már hetek vagy hónapok óta hozzáféréssel rendelkeznek a legfontosabb rendszereikhez.
Az ICS rendszerek biztonsága esetén számos egyéb hiányosság is általánosnak tekinthető, így a KWC incidensben is jelentős szerepe volt annak, hogy a kritikus eszközöket nem szeparálták el megfelelően a hálózat más részeitől és nem alkalmaztak erős illetve több faktoros authentikációs megoldásokat.
Mit lehet tenni annak érdekében, hogy az ICS rendszereket ne tudják úgy kompromittálni, mint a KWC rendszereit? Számos olyan módszert lehet alkalmazni, amelyek megfelelő kombinálásával jelentősen lehet javítani az ICS rendszerek biztonságát, azonban egyenként nem fognak megoldást jelenteni.
1. Az ICS rendszereket és eszközöket a lehető legnagyobb mértékben el kell szeparálni a hálózat többi szegmensétől.
2. Meg kell szüntetni az ICS rendszerek közvetlen vagy közvetett Internet-kapcsolatát. Alapszabályként kell kezelni, hogy olyan számítógépnek, aminek Internet-elérése van, nem lehet hozzáférése az ICS-rendszerekhez.
3. Erős, lehetőleg több faktoros azonosítást kell bevezetni az ICS rendszerek felhasználói számára.
4. Mélységi védelmet (defense-in-depth) kell kialakítani a vállalati és az ICS rendszerek körül és olyan riasztási mechanizmusokat kell beépíteni a rendszerbe, amelyekkel a lehető leghamarabb fel lehet fedezni a támadók tevékenységeit.
5. Kiemelkedően fontos az ICS rendszerekkel bármilyen kapcsolatba kerülő emberek (fejlesztők, projekt- és felsővezetők, felhasználók, üzemeltetők) biztonságtudatossági képzése, hogy mindannyian ismerjék és értsék azokat a kockázatokat, amelyek a leginkább fenyegetik az ipari rendszereket. Ugyanilyen fontos, hogy az IT biztonsági szakembereket képezni kell, hogy megismerjék az ICS rendszerek sajátosságait, enélkül gyakran előfordulhat, hogy az IT biztonsági szakterület olyan javaslatokat tesz, amik az ICS rendszerek funkcionalitását fogja gátolni, ami abból adódik, hogy számos ipari rendszert az átlagos informatikai rendszerektől eltérő módon működnek.
A sors furcsa fintora, hogy a Verizon összefoglalója után néhány nappal Brian Krebs blogbejegyzése nyomán számos helyen arról cikkeztek a szaksajtóban, hogy támadók 1,5 millió ügyfél adatati lopták el a Verizon Enterprise rendszereinek feltörésével és ezeket árulják a DarkNet-en.
