16 Okt 2012
Das Kaspersky Labor entwickelt sein eigenes Betriebssystem? Wir bestätigen die Gerüchte, und setzen den Spekulationen ein Ende!
Hallo an alle!
Heute möchte ich über die Zukunft sprechen. Über eine nicht sehr glamoröse Zukunft der Massen Cyber-Anschläge auf Kernkraftwerke, Energieversorgung- und Transport-Kontrollanlagen, Finanz-und Telekommunikations-Systemen, und alles, was wir als Anlagen von entscheidender Bedeutung bezeichnen. Denken Sie an Stirb Langsam 4– bei dem Anschläge auf die Infrastruktur ein ganzes Land zum Einsturz brachten. Denken Sie an Stirb Langsam 4– bei dem Anschläge auf die Infrastruktur ein ganzes Land zum Einsturz brachten.
Leider ist John McClane nicht da ist, um das Problem der gefährdeten Industriesysteme zu lösen, und selbst wenn er da wäre – würden seinen üblichen Arbeitsmethoden nicht funktionieren. Daher arbeiten wir an Technologien, für die Entwicklung eines sicheren Betriebssystems mit dem Ziel, eben solche kritischen IT-Systeme ((industrial control systems(ICS)) zu schützen. Einige Gerüchte über dieses Projekt wurden bereits im Internet veröffentlicht, daher denke ich, dass es an der Zeit ist, den Vorhang vor unserem geheimen Projekt (ein wenig) zu lüften und Ihnen (etwas) darüber mitzuteilen, was wirklich vor sich geht.
Aber zuerst möchte ich einige Hintergrundinformationen über gefährdete Industrieanlagen erwähnen und Ihnen erklären, warum die Welt diesen neuen und völlig anderen Ansatz von unserer Seite braucht.
Die Wehrlosigkeit der Industriesysteme
Obwohl die industrielle IT-Systeme und, die typischen Büro-Computer-Netzwerke sich in vielerlei Hinsicht ähneln, sind diese ganz anderer Natur – vor allem in Hinblick auf ihre Prioritäten zwischen Sicherheit und Benutzerfreundlichkeit. In einem normalen Unternehmen ist das Wichtigste, die Vertraulichkeit der Daten. So wird zum Beispiel, wenn man auf dem Unternehmens-Datenserver einen Trojaner entdeckt, das infizierte Systemeinfach von dem Netzwerk getrennt und dann später damit begonnen, das Problem zu bearbeiten.
In Industrieanlagen darf das nicht geschehen, da die höchste Priorität ist, dass der Betrieb immer läuft, egal was passiert. Ein ununterbrochener Produktionablauf ist von größter Bedeutung in jeder industriellen Anlage auf der ganzen Welt; der Schutz ist immer zweitrangig.
Dies führt zu einer Situation, bei der die Software einer industriellen / infrastrukturellen Anlage erst nach einer gründlichen Prüfung, die einen störungsfreien Ablauf sichert, aktualisiert werden kann, damit der Arbeitsprozess nicht unterbrochen wird. Da eine solche Überprüfung viel Aufwand erfordert (und trotzdem keine Garantie dafür ist, dass keine Fehler auftreten) aktualisieren viele Unternehmen einfach ihre ICS überhaupt nicht – so dass diese Jahrzehntenlang unverändert bleibt. Erst kürzlich las ich einen interessanten Bericht darüber, welcher die 11 ICS Sicherheitsregeln auflistete, Regel Nr. 1 ist „nicht anfassen. Niemals.“ Was beschreibt die Situation eindrücklicher?!
Aktualisieren von Software könnte auch ausdrücklich durch die Sicherheitspolitik einer industriellen / infrastrukturellen Organisation verboten werden. Selbst wenn die Möglichkeit, Software zu aktualisieren und dadurch „Löcher“ zu stopfen, gegeben ist, hilft das oft nicht viel. Die Hersteller von spezialisierter Software sind nicht an ständiger Quellcode-Analyse und Löcherstopfen interessiert. Wie die Erfahrung gezeigt hat, sind diese Vorgänge (Kosten) in der Regel auf diese Art von Aktivität beschränkt und Löcher werden nur dann gestopft, wenn ein konkretes Exploit gefunden und im Internet veröffentlicht wurde. In der Tat kommt dies nicht nur bei spezialisierter Software, sondern auch bei genereller Sofware vor; trotzdem werden wir heute speziell über industrielle Software sprechen.
Das Problem besteht in folgendem: die Anfälligkeit der Steuerungs-Software, programmierte Steuerungssysteme und industrielle Kommunikationsnetze führt dazu, dass die Betreibern von Industrieanlagen / Infrastruktursystemen nicht wirklich fähig sind, verlässliche Informationen über die komplette Operationsfähigkeit des Systeme zu erhalten! Theoretisch wird dadurch eine Situation möglich, in der z.B. ein System für die Verteilung von Strom angegriffen wird und daraufhin irgendwo an einer entfernten Anlage auf der anderen Seite des Landes ein Stromausfall erfolgt. Aber die Kontrollstation weiß nichts davon, da die Angreifer ihrem Computer falsche Daten gesendet haben.
Beispiele
Sie müssen nicht lange suchen, um Beispiele dafür in der Realität zu finden. Die erste Methode, die benutzt wurde – ein Beispiel von Cyber-Sabotage, die potenziell sehr gefährlich ist – war in einem direkten Angriff auf die SCADA-Systeme im Jahre 2000 in Australien. Der Arbeiter eines Auftragnehmers, der am Kontrollsystem des Staates Maroochy Shire arbeitete, führte 46 (!) Angriffe aus, um die Wasserpumpen der Stadt zu sabottieren. Niemand konnte verstehen, was geschehen war – die Kommunikation innerhalb des Systems war zerstört. Erst nach Monaten konnten das Unternehmen und die Behörden herauszufinden, was passiert war. Es stellte sich heraus, dass der Arbeitnehmer einen Job bei dem Abwasser-Unternehmen bekommen wollte, aber abgelehnt wurde, und daher beschloss, mit dem Abwasser ein riesiges Gebiet von Queensland zu überfluten!
Es gibt tausende solcher Beispiele; sie werden nur eben nicht in den Nachrichten erwähnt. Die Unternehmen, die solchen Anschlägen zum Opfer werden, sind normalerweise nicht sehr versessen darauf, der ganzen Welt mitzuteilen, dass ihr System angegriffen wurde. (Für heute werden wir von den öffentlichen Interessen absehen, dies ist für einen anderen Tag und eine neue Nachricht vorgesehen…) Bei vielen Angriffen, wissen die Opfer selber nicht, dass überhaupt etwas passiert ist. Nicht vor langer Zeit bei den Industrie-Routern von RuggedCom wurde ein Leck gefunden, welches jeden normalen Benutzer erlaubte, einfach seine/ihre Zugriffsrechte bis hin zum Verwalterniveau zu erweitern und Kontrolle über das System erhielten. Von wem, wann, wie und wo noch das Leck ausgenutzt werden konnte, lassen wir mal dahingestellt. Und wieviele andere Löcher existieren und gerade ausgenutzt werden…viel Kopfzerbrechen.
Für ein bisschen persönliche Weiterbildung empfehle ich über ISC Angriffe nachzulesen, die ihre Ziele erreicht haben – hier und in diesem Artikel.
Wer kann außerdem– ausser Betrügern, nicht eingestellte Jobbewerber, etc. – Zugriff zu den Codes der ICS Software, Kontroll-oder Operationssystemen usw. erhalten? Natürlich gibt es die zuständigen offiziellen Behörden. Vor allem jene, die eine Abteilung zur Zertifizierung von Sofware für kritisch wichtige Anlagen haben, aber auch andere Abteilungen – eines davon entwickelt (in den letzten Jahren) Cyber-Waffen, um gegnerische Systemen anzugreifen, welche auch immer das sein können, normalerweise andere Länder.
Ja, ich meine Dinge wie Stuxnet un Duqu, Flame oder Gauss– M, so unglaublich komplex, dass es deutlich wird, dass diese mit der Hilfe von Staaten entwickelt wurden. Es ist nicht wirklich wichtig, wer gerade im Visier steht; was wichtig ist, ist dass überhaupt Cyber-Waffen erfunden werden. Wenn ertmal die Büchse der Pandora geöffnet wird, gibt es keine Möglichkeit, diese wieder zu verschließen. Der Rüstungsaufbau für Angriffe auf die Industrie-und Infrastruktursystemen der Feinde, wird uns über kurz oder lang alle betreffen. So stellt sich heraus, dass die größte Bedrohung auf der Welt nicht von Cyber-Gesindel, und auch nicht von organisierten Cyber-Kriminällen, sondern von staatlich unterstützen Cyber-Waffen-Erfindern ausgeht.
Schutz heute: Leider nicht wirksam
Neben der Aufrüstung, vergessen weder Infrastrukturfirmen noch die verschiedenen Behörden an den Schutz zu denken. Zugegebenermaßen haben sie schon lange damit begonnen, sich zu schützen. Aber was machen sie wirklich?
Es gibt nur zwei Mehtoden. Die erste bedeutet, kritisch wichtige Objekte zu isolieren: sie vom Internet abzuschalten, oder physische Absonderung von der Außenwelt. Egal wie, unsere Erfahrung hat gezeigt, dass falls ein Techniker in der Nachtschicht einen infizierten USB-Stick in den Kontrollcomputer steckt, um einen Film zu sehen, ihn nichts daran hindert, dies zu tun (wir haben Methoden, um dies zu verhindern, aber darauf werde ich hier nicht eingehen).
Zweitens-Geheimnisse haben. Kollektive Versuche auf breiter Basis, um Geheimnisse zu schützen. Die Entwickler von ICS behalten den Quallcode geheim, Besitzer von Fabriken und Infrastrukturanlagen kleben eine „Geheim-“ Marke auf die Informations-und Kontrollsysteme, die Arten der Software, die benutz werden, sind geheim, usw. Aber trotzdem ist gleichzeitig die Information zur Verletzlichkeit in z.B. den meisten SCADA Systemen frei erhältlich im Internet. Und wenn wir noch detallierter nachsehen, finden wir heraus, dass die offene Suchmaschine SHODAN seit Jahren funktioniert und unter Anderem dafür gemacht wurde, die Schwachpunkte von Industriesystemen zu finden (einschließlich SCADA), wessen Besitzer beschlossen hatten, dieses mit dem Internet zu verbinden oder vergessen hatten, es davon zu trennen.
Parrallel dazu, benutzen Spezialisten für Industrie-/Infrastrukturorganisationen auch traditionelle Methoden, um verletzliche Software und Operationssysteme anhand von Programmkontrolle und Benutzeraktionen zu schützen. Aber eine 100% Garantie kann nicht geboten werden, durch die Schwachstellen bei der automatischen Kontrollsoftware. Aber bei kritischer Infrastruktur ist eine Garantie mehr als notwendig.
Schutz, wie er sein sollte
Idealerweise, müsste jegliche ICS-Software neu geschrieben werden, wobei sie alle Sicherheitstechnologien einschließen müsste, welche die neue Realität der Cyber-Angriffe berücksichtigen. Leider würde selbst ein so großer Aufwand und die riesige Untersuchung, die dazu nötig wäre, trotzdem keine Grantie für einen stabilen Ablauf des Systems sein.
Aber es gibt eine ausführbare Alternative: Ein sicheres Betriebssystem, auf dem die ISC installiert werden können und das in die existierende Infrastruktur eingebaut werden müsste – und dabei „gesunde“ Systeme kontrolliert und verlässliche Datenberichte über das System garantiert.
Zuerst werde ich die offensichtlichste Frage beantworten: Wie ist es möglich, dass das Kaspersky Labor ein sicheres Betriebssystem entwickelt, wenn keiner bei Microsoft, Apple, oder den offenen Communitys dies geschafft hat? Es ist eigentlich recht einfach.
Erstens: Unser System ist extrem maßgeschneidert, dafür entwickelt, eine bestimmte Aufgabe zu erfüllen, und nicht dafür bestimmt, ein ganzes Leben zu regeln, indem es Ihre Urlaubsfotos entwickelt, oder für die sozialen Netzwerke taugt. Zweitens: Wir widmen un seiner Art von Methode der Software-Entwicklung, die durch ihr Design keine Aktivität im Hintergrund zuläßt. Das ist der wichtigste Aspekt: es ist unmöglich, die Codes Dritter auszuführen oder in das System einzubrechen oder nicht autorisierte Anwendungen in unserem Betriebssystem zu benutzen; und das ist sowohl test- als auch nachweisbar.
Mehr Informationen über das System, seine Vorraussetzungen und den Hintergrund seiner Entwicklung, können hier nachgelesen werden [link zu Securelist.com].
Zum Abschluss, um den vielen Fragen meiner Kollegen, Geschäftspartner, der Medien und den neugierigen Leuten zuvorzukommen, ein paar grundlegende Informationen: Die Entwicklung findet in einer wirklich sicheren Umgebung statt. Das Projekt ist sehr anspruchsvoll und fast nicht durchführbar ohne den Austausch mit den ICS Operatoren und Händlern. Wir können nicht viele Details über das Projekt preisgeben, wegen der Vertraulichkeit einer solchen Operation. Und wir wollen nicht über alles reden, damit unsere Konkurrenz nicht unser Know-How stielt. Und dann gibt es auch noch Informationen, die nur für die Benutzer gemacht sind, um diese vor den Angriffen der Cyber-Terroristen zu schützen. Aber sobald es möglich ist, werden wir Ihnen soviele Details über das Projekt erzählen, wie möglich.
Bis zum nächsten Mal!…