Moedwillig misbruik van software

Een focus van de nucleaire summit in Den Haag is
om zo veilig mogelijk met hoog radioactief
materiaal om te gaan.  We willen niet dat de
verkeerde mensen dit levensgevaarlijke goedje in
handen krijgen.  We hebben al kunnen merken aan
het Stuxnet virus dat het menens is.  Doel van
Stuxnet was het frustreren van de nucleaire
infrastructuur van Iran.  Het verhaal gaat dat de
malware reeds tijdens de verscheping naar Iran is
geinstalleerd op onderschepte onderdelen.

Het Department of Homeland Security zit overigens
ook niet stil als het gaat om de conventionele
energie sector.  Het is u wellicht ontgaan maar
CNN meldde al jaren geleden dat ze beschikking
hadden gekregen over een filmpje van dit illustere
ministerie waarin te zien was dat hun onderzoekers
een dieselaggregaat hadden opgeblazen.  Dit staat
nu bekend als de Aurora Generator Attack.  Niet te
verwarren met operation Aurora: de aanval op
Google en anderen vanuit China.  Er is een merk
dieselaggregaat dat Aurora heet, ik vermoed dat
het dus om dat merk ging.

De test-aanval op het aggregaat  maakte misbruik
van een race condition om hem uit balans te
krijgen, aldus het Internationaal Atoomagentschap.
De nieuwszender werd overigens verzocht om niet
teveel details prijs te geven over deze aanval.
Het op youtube vrijgegeven filmpje is redelijk
surrealistisch als je je realiseert dat er iemand
remote dat ding zit te manipuleren.  Je ziet een
grote machine, je hoort een paar keer een tik en
binnen een minuut komt er witte en zwarte rook uit
en stopt het enorme gevaarte met functioneren.

Het schijnt overigens dat Stuxnet zo'n 1000
centrifuges naar de knoppen heeft geholpen door
veranderingen in de snelheid van die apparaten te
forceren.  Daardoor zouden fatale vibraties zijn
ontstaan.  Eigenlijk net zoiets als hoe dat met de
Aurora Generator Attack is gegaan.

We proberen nu wel met z'n allen te voorkomen dat
nucleair materiaal in verkeerde handen terecht
komt.  Maar als je echt wilt aanvallen met
nucleair materiaal dan kun je beter zorgen dat je
remote via de software aanvalt.  Het materiaal is
al ter plekke: namelijk in de kernreactoren van de
regio die je aanvalt.  Alles dat nodig is, is de
reactor overnemen en daar dan bewust hele
onverstandige dingen mee gaan doen zodat je de
reactor in no time letterlijk opblaast.

Hoe realistisch is dit?  Geen idee, maar een groot
probleem met control systemen is dat ze nooit zijn
ontworpen op misbruik.  In het beste geval worden
bedienfouten die een catastrofe kunnen veroorzaken
afgevangen of in ieder geval gesignaleerd.  Maar
een popup menu helpt niet tegen voorgenomen
misbruik.  Neem even het verdwijnen van de
Maleisische Boeing in gedachten: daar kon
kennelijk iemand die het echt wilde alle cruciale
communicatieapparatuur uitzetten.   en daarmee
zichzelf onvindbaar maken.

Een ander majeur issue met control systemen is dat
ze meestal niet ontworpen zijn met security als
expliciete ontwerpeis.  Geen aspect om zwaar
rekening mee te houden dus.  Hoe voorkom je dat
men via een netwerk binnen geraakt, hoe voorkom je
erger als dat toch lukt, en hoe kun je achterhalen
wie het was, wat gedaan is, enzovoort.  Hoe weet
je welke software draait, en of die ook hoort te
runnen?  Hoe weet je of er iets bij gezet is,
afgehaald is?  Luistert er iemand mee op de lijn?
De typische engineer van control systemen denkt
daar helemaal niet over na.  Dat ligt overigens
niet aan de werkvloer maar aan de besluitvormers.

Een ander issue is natuurlijk dat control systemen
meer en meer via Internet benaderbaar zijn.  Dat
is aan de ene kant heel handig: als er wat is, kun
je er meteen bij.  Reistijd is niet nodig.  En als
je meerdere faciliteiten hebt, kun je het areaal
aan systemen centraliseren in een control room.
Naast deze goede kanten is er dan ook de
mogelijkheid dat kwaadwillenden er ook bij
kunnen proberen te komen.

Hoe je die aggregaten en andere apparaten kunt
vinden wordt allengs gemakkelijker.  De
zoekmachine Shodan is hier typisch handig: op die
search engine kun je naar apparaten zoeken op
stad, land, geo-coordinaten, operating system,
IP-adres, enzovoort.

Het zou verstandig zijn om een complementaire
aspecteis aan kritische software mee te nemen
gericht op het voorkomen van moedwillig misbruik
ervan: het misusability aspect.  Dit aspect zit
niet in de ISO standaard voor software kwaliteit.

X
Meer weten over de wondere wereld van ICT
in Jip en Janneke taal? Ga dan naar de
knipselkrant van Chris Verhoef

Prof. dr Chris Verhoef is hoogleraar informatica
aan de Vrije Universiteit in Amsterdam en
wetenschappelijk adviseur voor overheid en
bedrijfsleven.  Hij schrijft regelmatig een
column in de AG.  Hij is te bereiken via email:
x@cs.vu.nl.  Deze tekst is copyright SDU.  Niets
van deze uitgave mag zonder schriftelijke
toestemming van de uitgever worden overgenomen of
worden gepubliceerd.