Det sårbara digitala samhället

Av Robert Malmgren

DN har en artikelserie som handlar om det sårbara digitala samhället. Efter att ha börjat avhandla ämnen som internetleverantörernas sårbara modem för bredbandsanslutning och att privatpersoner har satt upp sina skrivare och dokumentscanners på Internet, så kommer de nu fram till exponerade styrsystem. De visar på ett antal fastighetsautomationssystem som är åtkomliga för i princip vem som helst via Internet. Likaså att det är automation av olika system och funktioner, såsom ventilation, värme, fjärrkyla med mera. Genom att styra dessa olika funktioner kan en obehörig såväl påverka allmänmiljökvaliteten i anläggningarna och i värsta fall påverka utrustning på ett sådant sätt att den ställs av eller går sönder.

I DN:s artikelserie förekommer också en artikel där man beskriver hur man använt fjärråtkomstprogramvara för att komma åt olika styrsystem. Man har använt gratisprogrammet VNC, för att skapa ett fjärrskrivbord där man kan se en hel skärm från en dator där olika applikationer körs. Inte sällan är de "publika" VNC-servrar som går att nå på Internet en dator som används för att styra en fysisk process. Artikeln den 4e november handlar om hur man använder detta fjärråtkomstprogram när man i sina sökanden efter system som är tillgängliga på Internet har hittat olika anläggningar främst, en vattenkraftanläggning som man använder i sitt exempel.  En mycket oroande sak som framgår av artikeln om vattenkraftverket är hur dåligt insatt kraftverksföreståndaren är i de mest grundläggande IT-säkerhetsfrågorna. Han påstår i artikeln:

"Det går att se statistik över värdena och även öppna och stänga en dammlucka. Det vore inte särskilt bra om någon obehörig skulle komma in. Men man måste ju faktiskt veta IP-numret för att det ska gå, säger ägaren."

Att hitta IP-nummer är inte speciellt svårt. Det går att göra storskaliga sökningar över hela Internet för att hitta alla datorer som har just dessa tjänster (VNC) öppna. Det går också att via sökmotortjänster såsom Shodan att fråga efter viss typ av utrustning på Internet.  Det är därför mycket viktigt att förstå att detta inte är en giltig ursäkt eller en kvalificerar på något sätt som svar på frågan "är systemet säkert?"

I artikeln säger också anläggningsägaren:

"Det aktuella företaget säger till DN att det medvetet satt systemet utan lösenordsskydd för att det ska bli enklare och smidigare att manövrera."

Detta är en dödssynd.


Man får helt enkelt inte ha datorer på Internet utan någon typ av grundskydd. Att det skall bli enklare eller smidigare är inte vare sig en förklaring eller en ursäkt. Hur mycket svårare och långsammare skulle det vara att använda någon typ av lösenord på fjärråtkomstservern? Inte alls är svaret. Likaså, så borde inte systemen ligga åtkomliga på Internet på det sättet som de verkar göra enligt artikeln. De måste ligga bakom någon sort av skydd, i form av brandvägg eller liknande, där övriga nätverksportar och tjänster är skyddade. Det finns idag mängder med program som på olika sätt jobbar med att leta efter sårbarheter i operativsystem, i applikationer såsom VNC. Ett sådant exempel är att man kan försöka gissa lösenord till VNC, rdesktop och liknande tekniker för fjärraccess. Att ha VNC exponerat på det sättet som man har i artikelserien är såväl oansvarigt som direkt dumt.


Artikelserien sätter lite grand på sin spets det allmänna läget vad gäller hur vi skyddar vår elektroniska infrastruktur i form av enkel hemutrustning, kommunikationsutrustning, glömda och gömda servrar som sköter något viktigt automatiseringsarbete. Som ett samhälle kan vi kan helt enkelt bättre än så här, men varför gör vi inte bättre ifrån oss? Är det för att vi satsar för mycket på att tjäna pengar och struntar i säkerhetsfrågorna? Är det för att beslutsfattare helt enkelt inte förstår hur vanligt dessa typer av problem är? Eller har helt enkelt bara tekniken sprungit ifrån kunnandet? Jag vill inte tro det sistnämnda, för vi som människor måste vara bildbara och intresserade av att förstå hur nya lösningar formar - men också underförstått påverkar - vår vardag och vårt samhälle. Men kanske måste vi jobba på alla fronter? Vissa myndigheter jobbar med medvetandehöjning, andra jobbar med mer tillsyn, andra jobbar med expertråd och hjälp till självhjälp? Sist men inte minst måste de som äger utrustning och anläggningar inse sitt eget ansvar och faktiskt jobba med säkerhetsfrågorna, med allt ifrån kravställning, till att hantera säkerhet vid införande/drift/underhåll samt uppföljning på olika sätt. Att kontrollera och följa upp att skydden finns på plats och är verksamma är otroligt viktigt. Annars kan man få hamna i TVs morgonsoffa och få förklara varför ens system går att manipulera från andra sidan jordklotet.

Upplägget i artikelserien påminner om de som norska Dagbladet hade för ungefär ett år sedan[1], där pekas det på en mängd byggnader och deras respektive automationssystem går att missbruka och påverka av obehöriga. Så att detta problem är globalt och att öppna servrar finns lite var stans är något som tyvärr bara går att ta som en sanning.

En annan liknande undersökning, som återkommande görs i samband med säkerhetskonferensen DefCon i USA, sökte igenom Internet efter öppen åtkomst till utdelade fjärrskrivbord via VNC-protokollet. Givetvis blev resultatet intressant, där många - i storleksordningen 30000 - öppna servrar kunde hittas med i princip ingen arbetsinsats. En längre bloggartikel som beskriver bakgrunden och resultaten finns här [14].


Andra liknande projekt är "Project Sonar"[19] som HD Moore (som är huvudutvecklaren för verktyget metasploit) driver eller "Project Shine"[20]. I dessa projekt sammanställs och redovisas olika listor med publikt tillgängliga känsliga system, exempelvis ICS/SCADA-relaterad utrustning eller medicinteknisk utrustning. De olika exempel vi visat på när folk hittat åtkomliga styrsystem eller industridatorer är bara toppen av ett isberg. Räkna med att åtskilligt fler personer, organisationer eller stater gör denna typ av sökningar men att de sedan inte redovisar resultatet publikt.

 

I de avslutande delarna av artikelserien pekar DNs Kristoffer Örstadius på ett par till intressanta bitar:

* Handläggare på myndighetssveriges tekniska spetskompetens inom IT-säkerhet använder sig av gammal programvara med kända sårbarheter, när man surfar på internet [18]

* Rättsvårdande myndigheter, d.v.s. polis och åklagare, lägger ner anmälda IT-brott i en sällan skådad takt. I artikeln med titeln "Polisen tar inte IT-brottslighet på allvar"[16] så beskrivs att inte ens de många utredningar där anmälarna har bistått med omfattande tekniskt underlag tas vidare till en riktig utredning och åtal. Artikeln tar upp exempel på olika nedlagda fall [17].


Ovanstående är mycket ledsam läsning för en som arbetar med att försöka förbättra vår hantering av information och säkra upp vår vardag. Det visar att vi har lång väg att gå, inom alla områden och inom alla kompetenser och kompetensnivåer.

 

Efter att nu ha staplat problem på varandra, så gäller det också att komma med något positivt. Vad finns det då för positivt med detta? Till att börja med så är det bra att sakfrågan diskuteras i öppna forum och i största allmänhet. Att det kanske går upp för gemene man att man har massor med underliga IT-system som finns lite här och där, och att de måste skyddas. Att frågan kanske kommer upp på diverse policy- och ledningspersoners bord för diskussion, beslut och beredning.  En annan vinkling på det hela är det finns en massa saker som måste göras, allt ifrån tekniska skydd som måste till och till att en och annan kanske får upp ögonen för att de måste göra olika typer av granskningar av sina IT-miljöer och IT-relaterade bitar såsom fastighetsautomation, industriella kontrollsystem, SCADA-lösningar i driftcentraler med mera.


I SvKs hotkatalog, mer formellt Elbranschens hotkatalog IT- och informationssäkerhet[15], finns sedan hotkatalogen gavs ut första gången dessa typer av problem upptagna. Hotkorten i katalogen finns där och beskriver vanliga säkerhetsproblem samt klassificerar dom, ger exempel på situationer där hotet finns samt ger exempel på konsekvenser. Som det går att se av nedanstående, lista så kan man se flera hot som går in i de händelser som DN och andra redovisat:

 

* 4.6.1 Felaktig behörighetsadministration
* 4.6.12 Felaktiga rutiner för att ta bort icke aktiva användare sid 59

* 5.1.8 Felaktigt utformad fjärråtkomstlösning på sid 139
* 5.5.3 Obehörig åtkomst till managementinterface på sid 171

* 5.5.5 Exponering av intern infrastruktur på sid 173


Denna hyffsat omfattande lista kommer av de enkla ursprungsproblemen: administratörskonton med standardlösenord kvarvarande i produktionssatt utrustning som är åtkomlig från Internet.

 

Sammanfattningsvis kan man säga att denna typ av problem inte borde - eller får - finnas hos någon av de organisationer som arbetar med samhällsviktig infrastruktur. Till denna kategori finns givetvis elbranschens olika bolag, men även andra, såsom fastighetsbolag. Ett avstängt kylsystem i en datorhall får snabbt katastrofala effekter och kan vara mer effektivt för någon som vill jäklas än att på distans "bara" stänga av strömmen. Vi kan alla dra vårt strå till stacken genom att agera för bättre säkerhet (informera, utbilda, kravställa, designa, implementera lösningar, följa upp, etc.) lokalt inom våra organisationer, eller med dem vi har nära kontakt med.

Fördjupnings- och bakgrundsinformation finns här:

Den norska originalartikeln finns här
[1] http://www.dagbladet.no/2013/11/27/nyheter/innenriks/datasikkerhet/informasjonsteknologi/nullctrl/27184070/

Dagens Nyheter
[2] http://www.dn.se/nyheter/sverige/it-expert-bristerna-ett-hot-mot-rikets-sakerhet/
[3] http://www.dn.se/ekonomi/vattenkraftverk-enkelt-att-hacka/
[4] http://www.dn.se/ekonomi/vanliga-modem-latta-att-kapa/
[5] http://www.dn.se/ekonomi/sa-granskade-dn-modemen/
[16] http://www.dn.se/ekonomi/polisen-tar-inte-it-brottslighet-pa-allvar/

[18] http://www.dn.se/nyheter/sverige/fras-system-sarbart-for-dataintrang/


+ uppföljningsartiklar
[6] http://www.dn.se/webb-tv/klipp/nyheter/kyrkoherden-forbluffad-det-dar-borde-du-inte-kunnat-gora/
[7] http://www.dn.se/nyheter/polisen-efter-larmet-vi-slet-ut-kabeln-till-internet/
[8] http://www.dn.se/nyheter/sverige/sakerhetsbrist-atgardades-inte-trots-expertens-larm/

[17] http://www.dn.se/ekonomi/nio-it-brottsfall-som-lagts-ned/


SvD
[9] http://www.svd.se/nyheter/inrikes/stor-brist-i-sakerhetssystem_4065823.svd

SvT
[10] http://www.svt.se/nyheter/sverige/vi-jobbar-med-medvetandehojande

SR
[11] http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6008422

TV4
[12] http://www.tv4.se/nyhetsmorgon/klipp/s%C3%A5-s%C3%A5rbart-%C3%A4r-samh%C3%A4llet-mot-dataintr%C3%A5ng-3004492

Kabonas VD svarar på kritiken från DNs granskning
[13] http://www.bt.se/nyheter/boras/kabona-slar-tillbaka-mot-kritiken(4518054).gm

Beskrivning av Internetscanningarna gjorda på säkerhetskonferensen DefCon
[14] http://atenlabs.com/blog/scanning-the-whole-internet/


Elbranschens hotkatalog IT- och informationssäkerhet
[15] /media/1040/Hotkatalog-fo¦êr-Elbranschen-MASTER.pdf

Sonar-projektet
[19] https://community.rapid7.com/community/infosec/sonar/blog/2013/09/26/welcome-to-project-sonar

Project Shine
[20] http://www.slideshare.net/BobRadvanovsky/project-shine-findings-report-dated-1oct2014

Robert Malmgren
rom@romab.com