Produktsjef Øivind Barbo i det norske it-sikkerhetsselskapet Norman greier ikke å skjule at han har spennende dager på jobb for tiden.
– Jeg liker å kalle dette et «survival kit» for industrien, sier han.
Sammen med representanter for vertskapet, kunde og utviklingspartner Kongsberg Maritime (KM), demonstrerer Barbo hjertebarnet Norman Scada Protection for Teknisk Ukeblad – et produkt som for tiden fyller Barbo og hele resten av Norman-organisasjonen med forventninger om et kommersielt og omdømmemessig opprykk til den internasjonale elitedivisjonen av it-sikkerhetsselskaper.
Dommedagsormen
Entusiasmen lar seg forklare: Det er i dag temmelig nøyaktig to år siden verden først ble gjort oppmerksom på et styggvakkert stykke programmeringskode som senere skulle få navnet Stuxnet.
Dataormen var så utsøkt og samtidig djevelsk at den raskt ble gjenstand for rigide studier fra enhver sikkerhetsekspert med respekt for seg selv.
Den førte til internasjonal cyberparanoia uten historisk sidestykke – og endret fokuset i global it-sikkerhetsindustri til for alvor å inkludere også samfunnskritisk infrastruktur og industrielle såkalte Scada-systemer (se fakta ).
Vi spoler frem til i dag: Med en løsning så tilsynelatende primitiv (se prinsippskisse) at den mottas med et hoderystende «kan det virkelig være så enkelt?» fra utenlandske forståsegpåere, mener de to norske it-bastionene Norman og Kongsberg Maritime at de i dag kan tilby industridirektører over hele verden en sårt tiltrengt livlinje midt i post-Stuxnet-panikken:
Et bredt rettet, brukervennlig og «felttilpasset» førstelinjeforsvar mot ondsinnede angrep på selve akilleshælen for nær sagt alle industrigrener til lands og vanns: Driftskritiske Scada-systemer.
Stuxnet: Cyberkrigen er i gang
– Stuxnet er et militært våpen
Helnorsk kombinasjon
Utviklingssamarbeidet mellom de to ganske så forskjellige norske it-selskapene har inntil i dag vært godt skjult.
Resultatet er blitt oppsiktsvekkende håndfast, og preget av tankegods fra Normans og KMs respektive spesialområder – passende nok nettopp skadelig programvare og industrielle kontrollsystemer.
– Vi er kanskje på hver vår planet, men er like fullt begge programvareleverandører. Her var det Kongsbergs tanker og behov som skapte løsningen, sier Barbo og forteller om da han halvannet år tilbake ble tatt til siden på en konferanse av KM-prosjektleder Stein Arne Riis med spørsmålet «har Norman en løsning for å holde antivirus oppdatert på en smartere måte i Scada-systemer?»
– Svaret var jo nei, sier Barbo.
Løsningen ble et samarbeid om en skreddersydd Scada-sikkerhetsarkitektur som i disse dager leveres integrert i KMs nye softwareplattform IMS under navnet Kongsberg Malware Protection, lansert i april.
«Biproduktet» er en kommersiell Scada-løsning tilpasset det brede lag av industrien, og som Norman nå kan markedsføre fritt utenom på Kongsbergs kjerneområder martitim, olje og gass.
Ødeleggelsespotensial
Systemet har allerede før markedsføringen tar til for alvor vunnet en bransjeutviklingspris i Tyskland. Og om produktet holder det den norske it-selskapsduoen lover, er det internasjonale markedet definitivt til stede.
Stuxnet-ormen, som antas å stamme fra et annet hemmelig samarbeid (Israel og USA), oppnådde nemlig mer enn hovedmålet om å forsinke Irans atomprogram.
Den gjorde også en hel it-verden, både cyberangripere- og forsvarere, oppmerksom på en helt ny målgruppe og et vell av nye katastrofescenarioer.
Eller som daværende NorCert-sjef Christophe Birkeland (nå teknologidirektør i nettopp Norman) uttalte det i TU i 2010:
– Konsekvensen er at dataangrep nå har tatt steget ut i den virkelige verdenen.
Siden har bekymringsrynkene foldet seg i dype furer hos industriledere, forsvarstopper og politikere i Norge og verden for øvrig.
Scada-systemene er utbredt i alt fra pizzaovner til vannforsyning, oljeplattformer, krafttilførsel og atomkraftverk.
Les også: Slik kan hackere mørklegge Norge
Ikke skapt for nett
Mange av de tidvis aldrende systemene kjører ikke bare kritiske funksjoner, men må til overmål av forretningsmessige årsaker stadig oftere kobles opp og eksponeres mot åpne nett på en helt annen måte enn det lukkede miljøet de i sin tid ble konstruert for, forklarer KM-prosjektleder Stein Arne Riis.
– Mye av den nye IMS-plattformen handler om dette: Tidligere var kontrollsystemene ofte isolerte. I de siste årene har særlig utviklingen i satellitteknologi bidratt til at mange redere eller operatører velger operasjonsstøtte fra land. Det betyr økt fokus på å samle inn data fra sensorer og systemer – og å få data til land. Trenden er at man linker nettverk sammen, sier Riis.
Da Scada ble hackermål
Midt i slike omveltende trender passet det ekstra dårlig at Stuxnet-katta slapp ut av sekken:
Kildekoden lå tilgjengelig på nett, oppfølgeren (eller forløperen, mener stadig flere) Duqu dukket opp, og dermed også en angst for ymse generiske etterligninger, cyberterrorisme, eller at skadevare konstruert for mer harmløse formål forårsaker enorme ødeleggelser idet de uforvarende kommer i kontakt med skjøre Scada-prosesser med krav om null nedetid.
Vondt blir til verre ved at Scada-systemer har gått fra å kommunisere serielt i en lukket verden til å bruke internettprotokollen TCP/IP, og fra proprietære systemer til generiske operativsystemer – som Windows.
Egne søkemotorer kan spore opp styrings- og prosessystemer som kommuniserer over internett, med til dels detaljert informasjon om både bruk og beliggenhet. Og angrepsteknikker mot Scada-systemer har nå også funnet veien inn i «hackermanualer» som Metasploit.
Tåler ikke antivirus
Inngangsporten, som for mye annen skadevare, er ofte i form av eksempelvis teknikeres ubetenksomme bruk av mobile lagringsenheter som USB-pinner, slik tilfellet var med Stuxnet.
– USB-enheter er sikkerhetsmessig å betrakte som offentlig internett. Selv om Scada-en ikke er i kontakt med internett, har den likevel på denne måten i praksis kontakt med det hver dag. Genialiteten, om den finnes, ligger i at vi har tatt høyde for dette, utdyper KMs Bjørnar Eilertsen.
Mange av sårbarhetene kunne slik sett vært håndtert av en pc med «vanlig» antivirus.
Men her er vi ved kilden til industriens hodepine: Konsekvensene av nedetid, og risikoen ved å tukle med et sårbart system som funker.
– Å oppdatere en stor Windows-maskin gir stor risiko for nedetid. Det samme gjelder for antivirusskann. Én falsk positiv deteksjon er farlig. Vi klarer heller ikke å holde virusdefinisjonene oppdatert – du kan ikke ha autooppdatering på en Scada-maskin, sier Eilertsen.
It-gransking av oljeselskapene: Varsler ikke om datafeil
113 kilobyte
Øivind Barbo oppsummerer dagens automatiserte skadevareproduksjon gjennom å sammenligne et oppdatert antivirusprogram med en varm middag.
– Blir den to timer gammel, har du ikke lyst på den. Blir den to dager gammel, går den i søpla, illustrerer han.
Løsningen Norman og KM kom fram til i fellesskap, er populært forklart et «kringvern» rundt selve Scada-enheten basert på to eksisterende Norman-kjerneteknologier som begge har til felles at den teknologiske suksessen hittil har vært større enn den kommersielle: Deteksjonsemulatoren Sandbox og nettverksskanneren Norman Network Protection.
Men den siste og avgjørende biten i puslespillet var en kodesnutt som kunne tynes ned i bare 113 kilobyte.
– Noe mer var det ikke rom for, og det er dette som gjør løsningen spesiell – ved at den ikke krever noen designendringer eller større inngrep på selve Scada-enheten. Vi har videreutviklet beskyttelsesteknologien til en tilpasset feltkit for industrien, der man kun installerer denne lille beskyttelsesdriveren på Scada-maskinen. Men denne driveren sperrer til gjengjeld all datatrafikk til enheten med mindre den gjenkjenner at eksempelvis USB-sticken har en digital signatur som betyr at den er skannet og godkjent av vårt system, sier Barbo.
Første skritt på veien
– Stopper 113 KB virkelig Stuxnet?
– Systemet som helhet stopper Stuxnet og Duqu, ja – og deteksjons- og analysearbeidet er kommet langt også på å fange opp ukjent malware. Det tilfredsstiller også de andre av Kongsbergs krav underveis: Marintilpassede maskiner, at det må støtte alle eksterne filsystemer og være kompatibelt med alle anlegg levert de siste ti årene.
– Hva med hittil ukjente målrettede angrep av Stuxnets kaliber, kan et antivirusprogram stå imot en motivert statsmakt?
– Om viljen og ressursbruken er ubegrenset, kommer man alltid inn. Det er i så måte en rekke tiltak som ytterligere forbedrer sikkerheten utover kun dette produktet. Men det er viktig å minne om at så sofistikerte og målrettede angrep er det ytterst få som blir utsatt for. Dette er 1.0-varianten, den gir Scada-systemer samme beskyttelse som andre systemer. Og vi mener den allerede nå svarer på et skrikende behov som finnes i store deler av industrien, sier Øivind Barbo.
Bilen: Hackernes nye domene?
Målrettede dataangrep økte med 400 prosent
Slik skal jernbanen bli digital
