2017-11-30 10:51

Uppföljning av Ekoredaktionens granskning av IT-säkerhet hos Internetanslutna anläggningar

En reporter på Sveriges Radios Ekoredaktion har gjort en ambitiös IT-säkerhetsgranskning genom att med tekniska verktyg (Shodan) kombinerat med journalistiska efterforskningar kunnat hitta förvånansvärt många känsliga, men samtidigt Internet-anslutna, anläggningar och processer. 

Ekots kartläggning publicerades i flera steg under vecka 47, där de redovisar olika fynd från sökningar med Shodan och därtill efterföljande intervjuer med ansvariga från olika industri- eller infrastrukturområden. I sin kartläggning har man bland annat hittat vindkraftverk, vattenkraftverk, reningsverk (och därtill kopplade pumpstationer etc.), värmeanläggningar, fastighetsautomation och andra liknande typer av skyddsvärda funktioner eller samhällsviktiga verksamheter.

 Under veckan publicerades åtminstone sju olika nyhetsinslag förutom ett antal studioinslag med intervjuer av experter och företrädare för olika organisationer. 

I ett av inslagen sägs bland annat:

"Vår kartläggning visar på tusentals sårbara system som bland annat används till att styra avloppssystem, fjärrvärme och brandlarm. I över 1000 fall krävs överhuvudtaget inget lösenord för att kontrollera systemen. Allt mer i samhället är uppkopplat på internet för att kunna övervakas och styras på distans. Ekot har därför sökt av internet med en speciell sökmotor. Vi har kategoriserat över 7000 system med säkerhetsbrister och bland annat hittat samhällskritisk infrastruktur."

 Kartläggningen, som bara utförts med öppna källor och med publikt tillgängliga sökmotortjänster, får ses som ett stickprov och ett exempel på något som egentligen utgörs av ett mycket större urval. Undersökningen har dock givit ett resultat som både är oroväckande, i det att man hittat så mycket utrustning och så många känsliga samhällsfunktioner, och att man snabbt förstår att en grundligare undersökning hade gett ett ännu mer omfattande utfall.

 Det finns ett antal värmekraftanläggningar och vattenkraftverk som hittats. De värmekraft- och vattenkraftverk som figurerat i kartläggningen har som regel haft liten produktionskapacitet, upp till någon Megawatt. De har också visat sig ägas av mindre företag, inte någon av de stora aktörerna på den svenska elmarknaden. Detta hindrar inte att även större anläggningsägare går igenom och överväger hur man egentligen gör med att exponera sina anläggningar och kritiska processer mot externa parter och framförallt Internet. 

De vindkraftverk som förekommer i kartläggningen är än mer problematiska, främst av två orsaker: 

1. vindkraftverk förekommer i större omfattning, där kan vi prata om 100-tal.

2. denna typ av anläggningar är av tradition "inte anslutna internt på elbolags egna nätverk" utan vanligtvis sitter de internetanslutna för att leverantörer, övervakningstjänst, reparatörer och andra ska få åtkomst till dessa, då har de dessutom ofta säkerhetsbrister i sina åtkomstlösningar. 

Kännetecknande för undersökningen är bland annat:

  • Sverige har en förhållandevis hög andel samhällstjänster vars IT-miljöer på olika sätt exponeras via Internet. 
  • De ägare eller ansvariga som intervjuats har antingen litat på leverantörer eller visat annan naiv inställning till säkerhet, särskilt med avseende på att de tillhandahåller viktiga samhällstjänster.

  •  De leverantörer som intervjuats har visat sig ha en naiv inställning till säkerhet genom att tillhandahålla lösningar som vid närmare granskning påvisat grava säkerhetsbrister.

  • De anslutningar som kunnat påvisats via Shodan är som regel vägar in mot hela nät, där det sitter flera utrustningar anslutna. Inte sällan exponeras osäkra styrprotokoll, exempelvis ModBus eller BACNet, ut mot internet på ett sätt som motsäger all logik och grundprinciper för säkerhet.

 
Shodan, som journalisten på Sveriges Radios Eko-redaktion har använt är motsvarigheten till Googles sökmotor men som används för att hitta utrustning, inte dokument och information. Shodan är ett amerikanskt företag och databasen finns på flera datorer runt om i världen. Insamlingen av vilken utrustning datorer, kommunikationsutrustning, övervakningskameror med mera görs från ett antal nätscanningsdatorer spridda över hela världen. Åtkomsten till sökningar i Shodan görs via en prenumerationstjänst vilken är öppen för vem som helst att teckna abonnemang för. 

Några viktiga fakta som behöver klargöras i och med detta:

En viktig poäng är att informationen om åtkomsten till denna typ av system inte är hemlig, eller ens går att hålla hemlig. Om Shodan-tjänsten skulle tvingas stänga, eller av andra skäl försvinna, så är det andra, såväl kommersiella aktörer, privata insamlingsinitiativ, myndigheter samt underrättelse- och säkerhetstjänster i olika länder, som ägnar sig åt liknande datainsamling och databearbetning. 

Mycket av den utrustning som hittats via Shodan satt ansluten på ett sånt sätt att de basala skyddsfunktionerna faktiskt inte fanns på plats. Det saknades brandväggar för att filtrera åtkomsten. Det saknades VPN för att kontrollera att enbart auktoriserad personal som hade korrekt behörighetsinformation fick åtkomst till utrustningen. Om man skall ansluta utrustning till externa nätverk så måste man till att börja med ha ett bra grundskydd på plats och man bör tänka på att ha en lösning som följer principen "försvar i djupled", så att inte ”enkel-fel” som man gjort själv eller som t.ex. kommer via kommunikationsleverantören slår igenom katastrofalt.

 När en router sitter på Internet på det sätt som många av de som hittats gjort så exponeras ofta tjänster via så kallad (eng.)portforwarding. Så när 61850 (TCP-port 102), Modbus (TCP-port 502) eller IEC 104-protokollet (TCP-port 2404) är åtkomligt så slussar ofta den Internetanslutna routern vidare dessa portar till de egentliga systemen som sitter innanför.

Det finns absolut inga bra anledningar eller ursäkter för att lägga ut åtkomst till utrustningar via fjärrskrivbord som saknar inloggningsförfarande. Att vem som helst via standardtekniker såsom RDP, vanligt för åtkomst till Windowsdatorer, eller VNC, vanligt för åtkomst till Linuxbaserade datorer, utan lösenord ska kunna se eller kunna påverka datorer på distans är förkastligt.

 Det finns absolut inga bra anledningar eller ursäkter för att lägga ut åtkomst till utrustningar via utrustning som behåller lösenord som är satta av leverantören vid leverans, eller som utrustningen har satt som standard, så kallade defaultlösenord. Dessa är kända och spridda exempelvis via listor som hittas på Internet. Dessa finns dessutom inlagda i vanliga hackingverktyg.

De nätadresser som hittas via shodan är som regel andra nätadresser än de som företaget eller organisationen normalt använder varpå det är svårt att själv förstå att det egna företagets anläggningar eller utrustningar är exponerade. Nätadresserna tillhör ofta en telefoni- eller internetleverantör, som följd av att man köpt 4G-, ADSL-, stadsnät- eller annan publik nätverksåtkomst. Att en pump på företag X:s nät med IP-adress Y faktiskt tillhör bolag Z kan vara nog så svårt för personal på bolag Z att veta. Särskilt om utrustningen helt och hållet installerats via entreprenörer eller om utrustningen drivs som en tjänst. Det sistnämnda förekommer mer och mer inom vissa marknadssegment.

Många standardinställningar i produkter och komponenter är tyvärr inte inställda så att man får god säkerhet. Utrustning måste konfigureras på ett genomtänkt sätt för att kunna få bra säkerhet.

 På samma sätt som många utrustningar saknar grundskydd så saknas ofta grundläggande övervakning, särskilt säkerhetsrelaterad övervakning

 

  Referenser till Ekots olika inslag finns här:

"Ekot avslöjar: Tusentals IT-system har allvarliga säkerhetsbrister-
https://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6825512

"Svenska kraftverk har allvarliga säkerhetsbrister"
http://sverigesradio.se/sida/artikel.aspx?programid=1650&artikel=6826629

"Säkerhetsmiss kunde stänga ner ett hundratal vindkraftverk"
http://sverigesradio.se/sida/gruppsida.aspx?programid=83&grupp=17393&artikel=6827064

http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6827000

"Gick att styra kraftverk utan lösenord"
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6826610

"Företag lovade kunderna en säker IT-lösning"
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6825621

"Här är Sveriges IT-säkerhet sämre än grannländernas"
http://sverigesradio.se/sida/gruppsida.aspx?programid=83&grupp=17393&artikel=6827064

"Efter Ekots granskning: Myndighet efterlyser tydligare mandat"
http://sverigesradio.se/sida/artikel.aspx?programid=83&artikel=6826493