Rogue One — de beste cybersecurity videotraining

Een handleiding voor een cursus die we graag “Hoe je kritieke informatie-infrastructuur niet moet beschermen” noemen.

Vorig jaar analyseerden we een incident dat in Star Wars: Episode IV werd afgebeeld. We hadden toen al het idee dat de fouten in de beveiliging die tot de vernietiging van de Death Star leidden, slechts de top van de ijsberg waren.  De problemen die het Imperium had met informatieveiligheidssystemen zijn duidelijk van een meer galactische aard. Gelukkig hielden de onderzoekers van Lucasfilm een grondig onderzoek naar de gebeurtenissen die voorafgingen aan dit incident en dit werd onder de naam Rogue One: A Star Wars Story gepubliceerd. Hier volgen de onthullingen van dit videodocument.

Veiligheid begint bij Personeelszaken

Rogue One begint met het hoofd van innovatieve projecten van Imperial Military, Orson Krennic, en een team van specialisten in Personeelszaken die jagen op de topontwikkelaar Galen Erso on te werken aan het superwapenproject Death Star. Wat weten we over Erso? Ten eerste, dat hij voorheen werkte aan het project alvorens zijn ontslag in te dienen. Ten tweede, hij heeft geen haast om terug te keren. Maar de HR-afdeling van Imperial doet hem een aanbod dat hij niet kan afslaan, en hij keert terug. Later komt Krennic er achter dat Erso een industriële spion is, de bron van de gelekte plannen.

Zo’n werknemer zou nooit met gevoelige informatie hebben mogen werken – of überhaupt aangenomen mogen worden – iets wat het HR-team opgemerkt zou moeten hebben in het sollicitatieproces. Maar ze waren er niet in geslaagd om de risico’s te zien. Een tijdige training over veiligheidsbewustzijn zou ertoe geleid hebben dat tijdens de selectieprocedure de alarmbellen af zouden zijn gegaan.

Andrey Nikishin, Directeur Speciale Projecten, Toekomstige Technologieën, Kaspersky Lab
Mocht je bovenstaande situatie geforceerd vinden, dan heb je het mis. De menselijke factor en ontoereikende training in cyberveiligheid zijn de oorzaken van de meeste incidenten bij industriële installaties.

Top-secret lab op Eadu

Galen Erso wordt naar een verwerkingscentrale van kyber crystal op de planeet Eadu gebracht. In feite is dit een “experimenteel ontwerpbureau” in Gulag-stijl, waar hij wordt gedwongen te werken aan een topgeheim militair project. Zoals we al zeiden, hem een geheim project toevertrouwen is dom. Maar hem eraan laten werken zonder supervisie is nóg dommer. Erso implementeert een kwetsbaarheid in de Death Star.

In complexe projecten, vooral bij het ontwerpen van objecten voor kritieke infrastructuur, is het van vitaal belang dat er een extra analyse wordt uitgevoerd naar implantaten voordat de bouw ervan begint. En al helemaal met zo’n verdachte en ontevreden werknemer in het team.

Andrey Nikishin, Directeur Speciale Projecten, Toekomstige Technologieën, Kaspersky Lab
Ik weet 100% zeker dat onze moderne methoden voor de ontwikkeling van veilige software bekend waren bij de Imperial-ontwikkelaars. Waarom pasten zij deze dan niet toe? Waarschijnlijk om dezelfde reden die sommige ontwikkelaars van industriële software hebben – de focus ligt ergens anders. De Death Star is een uitstekend voorbeeld van wat kan gebeuren.

Het ontbreken van een veiligheidsevaluatie is geen nieuws. Maar het idee dat Erso, afgesloten van de buitenwereld, nog steeds kan communiceren met piloten van Imperial, laat staan dat hij er een aanwerft, gaat te ver.

Het resultaat is dat hij:

  1. Het bestaan van de Death Star onthult aan de Rebellen.
  2. Hen informeert over de kwetsbaarheid.
  3. De locatie van de blauwdrukken van de planeet Scarif met hen deelt.

De Scarif-kluis

De streng beveiligde kluis met data heeft een beter ontwerp dan de meeste faciliteiten van Imperial. Ten eerste is Scarif omringd door een krachtveld waar fysieke objecten niet doorheen kunnen (tegelijkertijd een firewall). Het heeft slechts één ingang, die vanuit het centrum wordt gecontroleerd. De data worden op offline harde schijven opgeslagen (een hoogwaardige luchtspleet) die worden beschermd door een biometrisch slot. De transmissie-antenne heeft ook geen toegang tot het netwerk – er is fysieke toeging nodig om het te kunnen activeren.

Biometrie is echter niet ideaal als beschermingsmechanisme. In dit geval kan het simpelweg omzeild worden door de hand van een dode agent tegen de scanner te houden. Ook de firewall is geen wondermiddel. Het blokkeert weliswaar de overdracht van grote hoeveelheden data, maar het kan ontweken worden met een sterk signaal van de zender van de Rebellen door middel van systemen voor interne communicatie. Daarnaast kan het schip aan het systeem verbonden worden met slechts een paar kabels en een hendel. Zonder dat er om authenticatie wordt gevraagd! Op deze manier kunnen de Rebellen een krachtige DDoS-aanval plegen op de firewall.

Erger nog is dat de bejubelde transmissie-antenne niet eens beschermd wordt. Voer een harde schijf in en klaar is Kees! Waren ze echt zo zeker van de ondoordringbaarheid van de firewall?

Andrey Nikishin, Directeur Speciale Projecten, Toekomstige Technologieën, Kaspersky Lab
Jammer genoeg lijkt dit erg op de werkelijke implementatie van cyberdefensie van moderne industriële faciliteiten. Het lijkt goed ontworpen totdat je er een veiligheidstest op loslaat en een dreigingsmodel maakt, dat is wanneer simpele aanvalsvectoren opdoemen. En in onze wereld hebben aanvallen niet uitsluitend een datalek tot gevolg – er zijn mogelijk nog rampzaligere gevolgen.

Internet of Things

De desastreuse situatie omtrent IoT-veiligheid is een bijzonder geval. De Rebellen gebruiken een opnieuw geprogrammeerde droid K-2SO. Dit is niet een soort Andromech of tolk. K-2SO is een strategische analist. En af te leiden aan zijn gedrag, is het gehackt, en goed ook. Alles wat je moet weten over protocollen van Imperial is opgeslagen in het geheugen van de droid. Maar wat voor soort besturingssysteem staat toe dat het apparaat opnieuw geprogrammeerd kan worden? En waarom denkt het systeem van Imperial dat K-2SO überhaupt goedaardig is en autoriseert het om te communiceren met computers? Hoe kan het dat het Imperium niet weet dat het om een malafide droid gaat? Het is tenslotte een stukje kritieke infrastructuur.

Het resultaat van de lakse veiligheid van Imperial is K-2SO in staat om stiekem data te verkrijgen van andere droids, te verbinden met het Imperial Archive om te zoeken naar informatie, en controle te krijgen over de beschermingsmechanismen van het werkstation.

Imperial Opperbevel

De beslissingen die de Imperial-bevelhebbers maken over informatieveiligheid zouden apart geanalyseerd moeten worden. Er is genoeg keuze.

Grand Moff Tarkin

Tarkin gebruikt hardhandige middelen om datalekken tegen te gaan. In feite vernietigt hij hele steden waar een datalek ontdekt wordt. Zijn eerste bevel is om de hele stad op de planeet Jedha te vernietigen nadat agenten hem verteld hebben dat er een overloper is die afweet van de bouw van de Death Star. De twee keer is tegen het Imperial Archief op Scarif als het nieuws over een Rebellenaanval zijn oren bereikt.

Maar vernietiging is een ineffectieve maatregel, vergelijkbaar met het opnieuw installeren van een geïnfecteerd systeem. Een veel betere tactiek zou zijn geweest om een urgente diepteanalyse uit te voeren van het incident om uit te zoeken welke data gestolen zijn en of de overloper het door heeft kunnen spelen aan de Rebellen. En als het Imperium het relevante bericht onderschept zou hebben in plaats van het verwoesten van de Heilige Stad op Jedha, dan zou er meer over de kwetsbaarheid bekend zijn geworden.

Orson Krennic

Behalve de idiote obsessie om Galen Erso terug te halen in dit geheime project, zijn de beslissingen van Krennic redelijk rationeel. Hij probeert namelijk een onderzoek uit te voeren: Bij aankomst op de basis van Scarif geeft hij de opdracht om alle uitgaande berichten van Galen Erso te analyseren. Hoewel het een beetje laat is, zouden zulke handelingen tot de kwetsbaarheid geleid kunnen hebben.

Onthoud ook dat Krennic het idee had om de basis te sluiten en te beschermen tijdens de Rebellenaanval, en om de firewall in complete banmodus te zetten.

Andrey Nikishin, Directeur Speciale Projecten, Toekomstige Technologieën, Kaspersky Lab
In mijn ogen  is Rogue One misschien wel de beste film in dit nieuwe hoofdstuk van de saga. Sterker nog, het biedt trainingsmateriaal voor cyberveiligheid voor industriële faciliteiten en kritieke infrastructuur. Iedereen die werkzaam is in het vakgebied zou de film moeten zien, zelfs diegenen die niet fan zijn van Star Wars. Het is in feite een handleiding voor de cursus “Hoe je kritieke informatie-infrastructuur niet moet beschermen.”
Tips