Az ICS cyber security blog vendégposztja:
Vendégposzt I.: Két össze nem függő eset összefüggése
2021. január 16. – icscybersec
Már a blog valamivel több, mint 5 évvel ezelőtti elindulása után röviddel megfogalmazódott a kérdés, hogy adok-e lehetőséget vendégposztoknak is? Nekem tetszett az ötlet, mégis, különböző okok miatt egészen a mai napig kellett várni az első olyan bejegyzésre, amit nem én írtam. Nem is húznám tovább a bevezetőt, íme az első vendégposzt, GéPé kolléga tollából:
Az elmúlt hónapok történéseit helikopter-nézetből szemlélve két egymástól távoli – első ránézésre tényleges összefüggés nélküli – fejleményt emelnék ki: egyrészt a múlt év május 1-jén kiadott elnöki rendeletet (energetikai vészhelyzet kihirdetéséréről az USA-ban, E.O. 13920), másrészt a decemberi SolarWinds/Orion esetet.
Az elnöki rendelet az USA átviteli hálózatát akár beszállítói, akár tulajdonosi, akár üzemeltetői pozícióban, akár már beépített, akár a jövőben beépítésre kerülő egyes villamos berendezések esetében állapít meg nemzetbiztonsági kockázatot egyes külföldi szereplők vonatkozásában. Bár konkrét publikus bizonyíték nem érhető el, de a szelek olyan híreket fújdogálnak, melyek szerint a 2019-ben, a Houston-i kikötőben lefoglalt, majd Albuquerque-be, a Sandia National Laboratories-ba beszállított kínai gyártmányú transzformátor elektronikájában tényleg találhattak valamiféle „gyárilag beépített” sérülékenységet, hardware backdoor-t. Erősíti a „valami van” érzetet, hogy az elnökválasztás körüli botrányok közepette, nem kivárva az új elnök beiktatását, decemberben a DoE sürgőséggel formálisan is megtiltotta az USA nemzetbiztonságilag kockázatos objektumait betápláló villamosenergetikai létesítményekbe meghatározott kínai gyártmányok (közte transzformátok!) beépítését.
A SolarWinds esetnél pedig nem is feltételezés, hanem bizonyított tény, hogy valamely külföldi hatalom képes még kiadás előtt hozzáférni az Orion alkalmazás új verziójához. Képes volt backdoor-t elhelyezni, amely frissítéskor az új verzióval észrevétlenül és akadálytalanul feltelepült a frissítést gyanútlanul – és amúgy helyesen! – végrehajtó cégek rendszereibe. Mint ismeretes az USA számos szenzitív kormányzati szervezetének informatikai rendszerei érintettek. A támadás részleteinek elemzése, a kárfelmérés, a teendők meghatározása jelenleg is zajlik és vélhetően még számos információ csak a jövőben lesz elérhető, már ha egyáltalán…
És mi köti össze a két eseményt? Nos az, hogy mindkét eset a supply chain, azaz az ellátási lánc intaktságát érinti. Ráadásul mindkét esetben kifejezetten innovatív, a meglévő védelmi vonalakat „könnyedén” kikerülő támadásokról lehet szó. Mert ki gondolna arra, hogy a villamosenergia-ellátás folyamatossága pl. a transzformátor ún. hűtésautomatikájába esetleg „gyárilag” beépített hardware backdoor-on keresztül fenyegethető?! Avagy ki gondolna arra, hogy egy eddig elképzelhetetlen módon, egy éppen a megbízhatóságot növelni hivatott szoftver frissítés „eredményeként” válhat „ajtó-ablak nyitva” a támadó számára?!
Mindeddig egyik eset sem volt reálisan elképzelhető. És lám, mára mindkettő immár talán maga a valóság.
Mintha az élet igazolni kezdené Joe Weiss elsőre meredeknek tűnő figyelmeztetését az informatikai – hangsúllyal OT – rendszerek „Maginot vonalait” megkerülő backdoor-okra. Hiszen mindkét említett esetben hatástalanok a védelem jelenlegi eszközei.
Úgyhogy helyzet van! Nem árt, ha akiknek ez dolga, azok mostantól erősebb paranoiával végzik a dolgukat. Mert mint tudjuk az, hogy üldözési mániád van, messze nem jelenti azt, hogy tényleg ne üldöznének…
Utóirat: a Solarwinds/Orion eset következményei azért is beláthatatlanok, mert érvet adnak az OT rendszerek eddig sem a gyakori frissítéseikről híres üzemeltetőinek kezébe. Azaz tovább nő annak esélye, hogy ismertté váló sérülékenységek megszüntetése még inkább gyatra tempóban történjen. Ha egyáltalán… Szóval úgy hiányzott ez az eset, mint üveges tótnak a hanyatt esés…
***
A vendégposzt eredetije az ICS cyber security blogon jelent meg.