De mörkaste hörnen av knarkarkvarten: SCADA system online

Kommer nästa terrorangrepp ske genom att någon telnettar in till motorn på en 747:a?

Det vet vi inte, men det ter sig troligare nu än för 10 år sedan. En debatt håller på att blossa upp om huruvida skyddet av SCADA-system verkligen förtjänar någon uppmärksamhet. Bakgrunden är återigen Stuxnet, och att Ralph Langner, en av de som ägnat mest tid åt att förstå Stuxnet, nu får mothugg när han säger att ingen lyssnat och att inga åtgärder har kommit. Tyvärr kommer mothugget i form av personangrepp, men i princip kan man säga att motpoängerna skulle vara:

• Att människor inte pratar med Ralph om det betyder inte att ingen gör något (i.e. "Vi arbetar på det, men utan dig och i tystnad!")
  
• SCADA system är ändå inte online
• Det finns andra system online som därför behöver mer uppmärksamhet
  
• Skulden till Stuxnet finns att skylla på säkerhetsforskare som alls har pratat om att SCADA-system är sårbara. (i.e. "Om alla bara hållit tyst så hade ingen märkt något och ingen tänkt på det, och då hade allt varit ok.")
  

Svaret på mothugget? Kommer från tredje part och riktar in sig främst på att SCADA system inte finns online. En bloggpost som grundar sig på personliga erfarenheter i Australien visar den verkligheten de flesta har svårt att föreställa sig. Jo, många system kopplas upp och risker ignoreras. Och ja, precis som så mycket annat försummas det sedan och blir en del av knarkarkvarten. Kan det vara värre? Ja, SCADA-systemens startpunkt är så mycket sämre eftersom kunskapsnivån hos tillverkarna är brutalt usel. Blogginlägget hintar om det; system som kör Windows 98 och nätverk som inte får ha några brandväggar för att tillverkarna är rädda och inte känner sig komfortabla med att deras prylar klarar av det. Ehh... wtf?

Mina egna erfarenheter är liknande. De diskussioner jag haft med tillverkare av industrisystem har visat på att de inte ens förstår sig på fundamentala tekniker som TCP/IP. När jag frågat om saker som autentisering och hur de hanterar användarnamn och lösenord tittar de flesta på mig som om jag vore från en annan planet. "Man trycker på knappen här så kopplar den upp". Någon har sträckt sig till att ha en PIN-kod på fyra siffror, utan brute-force skydd (yay?).

Hela poängen är dock det här: kunskapen hur vi kan säkra upp finns redan. Men efterfrågan finns inte. Det är därför knarkarkvarten ser ut som den gör. Och det är därför Ralph Langner upplever det som att ingen lyssnar. Skaran människor som är intresserade är mycket liten, och när marknaden bestämmer vad som ska prioriteras är säkerhet inte en av de sakerna.

Och så kan det väl få vara!? Ja, återigen så är det ok under de flesta omständigheter. Vi säkerhetsmänniskor tenderar att alltför ofta bli "poliser" och besserwissrar. Men det är varken vårt ansvar eller vår befogenhet att tvinga på omvärlden våra prioriteringar, även om vi tror oss ha rätt. Men när system som har livslängder på 20 år byggs som om det vore 1980 känns det helt enkelt inte bra. Vi vet att många oskyldiga kan drabbas, samtidigt som de som gagnats av att prioritera bort säkerhet kommer stå utan större konsekvenser. Moral hazard anyone?

Min åsikt? Vrid ekonomin rätt om det är privata aktörer som tar smällen när den kommer, eller lagstifta om det är samhället som behöver ta den smällen.