Tulostusversio

4/2010

Tietoturva: Tuotanto tähtäimessä

Teksti: Päivi Männikkö

Teollisuustuotannon ohjausjärjestelmiin on hyökätty ennenkin, mutta tapaus Stuxnet osoittaa, että haittaohjelmilla pystytään nyt muuttamaan tuotantoprosessia. Lisää samantyyppisiä iskuja lienee tulossa, kun haittaohjelmien tekijät ottavat oppia Stuxnetin toimintaperiaatteista ja teknisistä ominaisuuksista.

Valkovenäläinen tietoturvayhtiö VirusBlokAda tuli kesäkuussa julkistaneeksi yhden tietoturvahistorian kyseenalaisista merkkipaaluista, kun se raportoi uudesta, Stuxnetiksi nimetystä haittaohjelmasta.

Kesän jälkeen tämän poikkeuksellisen haittaohjelman ominaisuuksia on ratkottu pala palalta. Tekijöistä, tarkoitusperistä ja lopullisista vaikutuksista on kuitenkin vain arvauksia.

Valikoi kohteensa tarkasti

Teollisuuden ohjausjärjestelmien on ajateltu olevan melko hyvin suojassa tietoverkkouhkilta, koska ne ovat yleensä eristettyinä yleisistä verkoista. Stuxnet on kuitenkin onnistunut saastuttamaan työasemia esimerkiksi aivan tavallisilla USB-muistitikuilla.

Stuxnet aktivoituu, kun käyttäjä avaa haittaohjelman sisältävän hakemiston tiedostonhallintatyökalulla, esimerkiksi Windowsin resurssienhallinnalla.

Tavallisissa PC-tietokoneissa Stuxnetin ei ole huomattu aiheuttavan ongelmia. Sen todellisia kohteita ovat työasemat, jotka ohjaavat tiettyjen Siemensin valmistamien teollisuusautomaatiojärjestelmien logiikkaohjaimia. Ohjaimet ohjaavat taajuusmuuttajia, jotka puolestaan säätelevät sähkömoottorien pyörimisnopeutta. Stuxnet muuttaa logiikkaohjaimen komentoja ja siten sähkömoottorien pyörimisnopeutta lyhyeksi ajaksi kerrallaan useiden kuukausien ajan. Muutokset haittaavat normaalia tuotantoa.

Tietoturvayhtiö Symantecin selvityksen perusteella Stuxnet reagoi vain tietynmerkkisten taajuusmuuttajien logiikkaohjaimiin ja vain, jos ne on ohjelmoitu pyörittämään moottoreita tavanomaista nopeammin. Tiedot viittavat siihen, että lopullisena kohteena voisi olla uraania ydinasekäyttöön rikastava laitos. 

Ammattilaisten kädenjälkeä

Stuxnetissä on useita ennennäkemättömiä ominaisuuksia. Siinä esimerkiksi hyödynnetään useita korjaamattomia haavoittuvuuksia yhtä aikaa, kun jo yhden löytämistä ja hyväksikäyttöä pidetään haasteellisena.

Se leviää työasemille muun muassa käyttämällä hyväksi Windows-käyttöjärjestelmän oikopolkutiedostojen käsittelyn haavoittuvuutta. Teollisuusautomaatiojärjestelmiin se on päässyt hyödyntämällä suunnitteluohjelmistojen WinCC ja Step 7 haavoittuvuuksia. Esimerkiksi kaikissa asennetuissa WinCC-ohjelmistoissa on sama pysyvä salasana, joka on hakkereidenkin tiedossa.

Aiemmista teollisuusautomaation haittaohjelmista Stuxnet eroaa siinä, että se tuntee tarkasti kohteenaan olevan prosessin. Suunnitteluohjelmiston tietokannan tiedoista se päättelee, liittyykö työasema logiikkaohjaimen ohjelmoimiseen. Jos liittyy, se korvaa osan ohjaimen komennoista omillaan.

”Logiikkaohjaimeen vaikuttavaa koodia ei olisi voinut tehdä tuntematta prosesseja hyvin”, totesi Siemensin CERT-yksikön haavoittuvuusryhmän päällikkö Thomas Brandstetter. Hän puhui Huoltovarmuuskeskuksen ja kansallisen tietoturvaviranomaisen CERT-FI:n järjestämässä teollisuusautomaation tietoturvaseminaarissa marraskuussa.

Stuxnet osaa hallita ohjelmiston ja logiikkaohjaimen välistä tietoliikennettä ja näin piilottaa käyttäjältä logiikkaohjaimeen tekemänsä muutokset. Tässäkin se on laatuaan ensimmäinen.

Poikkeuksellista myös on, että Stuxnetin tiedostot on allekirjoitettu kahdella aidolla varmenteella. Niiden epäillään olevan kahden eri yhtiön tiloista varastettuja.

Suomi päässyt vähällä

Symantecin tietojen mukaan Stuxnet on levinnyt ainakin sataantuhanteen työasemaan. Niistä yli puolet on Iranissa. Siemensin Thomas Brandstetterin mukaan vain harva saastunut työasema kuuluu teollisuuden ohjausjärjestelmään, ja siksi järjestelmien tartunnoista on raportoitu vain vähän.

Suomessa CERT-FI toimii välikätenä, joka neuvoo suomalaisia yrityksiä ja raportoi Suomen Stuxnet-tartunnat Siemensille. Suomessa Stuxnet on levinnyt muutamaan yksityiseen työasemaan ja yhteen teollisuusautomaatiojärjestelmään. Siitä ei CERT-FI:n mukaan ole aiheutunut vakavia ongelmia. 

Tulossa lisää hyökkäyksiä

Yleisimmät tietoturvaohjelmistot ovat tunnistaneet Stuxnetin heinäkuusta lähtien, ja useimmat sen hyödyntämät turva-aukot on saatu korjattua. Sen poistamiseen ohjausjärjestelmästä on myös julkaistu työkalu.

Teollisuudessa ei kuitenkaan ole aihetta helpotuksen huokaukseen. Asiantuntijat olettavat, että Stuxnetin vanavedessä nähdään sitä jäljitteleviä hyökkäyksiä. Esimerkiksi logiikkaohjainten hyväksikäytön oletetaan lisääntyvän, ja ohjausjärjestelmistä löytyy jatkuvasti uusia haavoittuvuuksia.

Myös Stuxnet itsessään on arvaamaton. CERT-FI:n mukaan sen useasta osasta koostuva rakenne viittaa siihen, että sitä voidaan muokata tarpeen mukaan ja suunnata muihin kohteisiin.

”Teollisuusautomaation laitteiden ja ohjelmistojen tietoturva on otettava tuotekehityksessä huomioon nykyistä enemmän”, arvioi tietoturva-asiantuntija Tomi Hasu CERT-FI:stä.

CERT-FI suosittelee, että teollisuusautomaatiossa otetaan käyttöön samat tietoturvaperiaatteet kuin muuallakin, esimerkiksi jaetaan tietoverkot osiin ja noudatetaan tietoturvallisen ohjelmoinnin periaatteita sulautettujen järjestelmien kehittämisessä. Käyttäjät voivat tehdä eri käyttöjärjestelmäversioihin kovennuksia, jotka estävät tietokoneen saastumisen.

Ostajan vaadittava parempaa tietoturvaa

Tähän asti teollisuusautomaation ohjausjärjestelmän ostanut asiakas ei ole voinut muuttaa järjestelmiä tietoturvallisiksi omin päin menettämättä tuotetukea. Tämän arvellaan muuttuvan.

”Ostajien on vaadittava sopimuksiin oikeutta päivittää ja lisätä tietoturvakomponentteja. Ostajien pitää myös tuntea omat järjestelmänsä ja niiden liikennöinti hyvin. Silloin mahdolliset liikennöinnin poikkeavuudet on ylipäänsä mahdollista havaita”, Tomi Hasu muistuttaa.

---

Symantecin päivitetty raportti Stuxnetistä >>

Lue myös

Tietoturva: Internet on mobiiliverkon pahantekijä »
Tietoturva: Lähiverkoissakin on omat vaaransa »
Anna palautetta

Kommentit (0 kpl)

Ei kommentteja.

 

Kommentoi








Kyllä


* = Pakollinen tieto
 

 

tietosuoja_logo_2013.gif

 

 

 

Vastaava toimittaja
Hanna Tamminen


 


 

 

 

 

Julkaisijat
Tietosuojalautakunta
Tietosuojavaltuutetun toimisto
Viestintävirasto
Patentti- ja rekisterihallitus



 

 

 

 

 

 

 

Rekisteriselosteet »

Tietoa evästeistä »

 

 

 

Tietosuoja-verkkojulkaisua julkaistaan Tietosuoja-lehden yhteydessä. Yhdessä lehti ja verkkojulkaisu tutustuttavat tietosuojan normeihin ja käytäntöön, tietoturvaan ja viestinnän luottamuksellisuuteen. Tarkoituksena on ohjata hyvään rekisterinpitoon sekä tietoturvallisuuden ja viestinnän luottamuksellisuuden varmistamiseen.