Mainpress: the best of Belgian Technology

Instrumentation de processus
Motion Control
Métal
Automatisation industriel
Pompes & Vannes
Maintenance

Formations d'ingénieurs
Formations d'entretien
Formations de sécurité

Rechercher marque(s)
Knowledge Base

Engineeringnet Magazine
Energie & Engineering
Maintenance Magazine
Pumps & Process Magazine

Qui est qui
Tarifs des annonces
Calendriers rédactionnels
Données techniques

Procesnetwerken (ook) onveilig
Wie stuurt het proces? U of de hacker?

version française

door ir. Walter Belgers

Een ontslagen medewerker van een waterzuiveringsinstallatie die maandenlang vuil water loost in bewoonde gebieden. Criminelen die miljoenen eisen om een inbraak stil te houden. Zijn dit scenario’s uit Hollywood of is dit de keiharde werkelijkheid? Het inbreken op een modbus-netwerk kan dan wel een machine met de juiste connectoren en ondersteuning van het modbus-protocol vereisen, maar indien het TCP/IP-protocol is gebruikt, volstaat een simpele PC of laptop.

Het is erg moeilijk om aan goede gegevens te komen over (ICT-)beveiligingsincidenten, zeker in de procesindustrie waar de imagoschade enorm kan zijn. Anoniem durfden bezoekers van de beurs Industrial Processing wel te vertellen wat het beveiligingsniveau binnen hun bedrijf was. Zes procent typeerde dit als “zo lek als een mandje”.
Moeten we ons zorgen maken? Als je op internet of via andere bronnen gaat zoeken naar beveiligingsproblemen in de procesindustrie, dan kom je vaak dezelfde verhalen tegen, zoals dat van de medewerker van de waterzuiveringsinstallatie in Australië. Een incident dat in 2000 speelde. Na enig speurwerk merk je dat al deze incidenten zijn te herleiden tot een enkele bron: de Industrial Security Incident Database (ISID) van het British Columbia Institute of Technology (BCIT). Zij houden een overzicht bij van alle incidenten in de procesindustrie, waaronder niet alleen moedwillige inbraken vallen, maar ook fouten van een operator. Het overzicht is voor iedereen gratis toegankelijk, mits er een nieuw incident wordt aangemeld.
Er zijn, naast de ISID, eigenlijk nauwelijks gegevens over incidenten te vinden. Zijn het dus toch allemaal Hollywood verhalen? Tenslotte is het ook erg moeilijk om op een procesnetwerk in te breken. Op zo’n netwerk vinden we zeer specialistische apparatuur, zoals PLC’s en embedded- systemen. Er is weinig of geen informatie over te vinden en de gebruikte standaarden zijn niet gepubliceerd. Dat moet dus wel erg veilig zijn. Maar nee. Het niet vertellen van hoe een systeem of protocol in elkaar zit, wat ook wel ‘security through obscurity’ heet, is wel nuttig om misbruik iets moeilijker te maken, maar er mag niet op vertrouwd worden dat dit al voldoende is om criminelen te stoppen. Ook met merkgebonden systemen met gesloten standaarden is inbraak mogelijk. Experts die zich verdiepen in dit soort systemen zijn in staat om in korte tijd te achterhalen hoe het werkt, en om de lekken te vinden.

Verhoogd risico
Zolang niemand zich interesseert voor de procesindustrie en er ook nog de drempel is dat eerst moet worden uitgezocht hoe de systemen werken en wat de kwetsbaarheden zijn, is het risico nog niet zo hoog. Er zijn echter ontwikkelingen gaande die het risico aanzienlijk verhogen. Denk bijvoorbeeld aan de nieuwe lichting internetcriminelen, de verschuiving naar open standaarden en het feit dat netwerken steeds meer worden gekoppeld. Internet is indertijd begonnen als hulpmiddel voor academici. Beveiliging was toen nog niet zo belangrijk omdat er nog geen criminelen op Internet zaten. In de jaren ‘90 echter zagen we veel inbraken door mensen. Mensen die daarmee in hun sociale groep aanzien verkregen. Zo werden er bijvoorbeeld vaak websites aangevallen en aangepast. Zo’n ‘website defacement’ vermeldde dan ook altijd de naam van de aanvaller (of groep van aanvallers).

Afbreukrisico
Tegenwoordig zien we een verschuiving van aanvaller voor ‘de lol’ naar aanvallen voor geldelijk gewin. Het inbreken op websites om de inhoud te veranderen zien we dan ook nauwelijks meer. Geld is te verdienen op veel manieren. Bijvoorbeeld door een netwerk op te zetten met honderden of duizenden gekraakte systemen waar vandaan spam e-mails kunnen worden verstuurd, tegen betaling natuurlijk. Of door ondernemingen af te persen. Afpersing werkt het beste bij bedrijven met een hoog afbreukrisico. De criminelen breken in en beloven niets te doen mits er een groot geldbedrag wordt overgemaakt. Deze criminelen hebben inmiddels ook de procesindustrie ontdekt. Daar zit vaak wel wat geld, waardoor afpersing de moeite loont. Het afbreukrisico is groot, dus de gedupeerde zal eerder geneigd zijn om geen aangifte te doen en te betalen.

Twee netwerken
Vaak is er in de procesindustrie sprake van twee netwerken: het process control netwerk en een kantoorautomatiseringsnetwerk. Op het process control netwerk vinden we de PLC’s en embedded systemen die de productie aansturen. Op het kantoorautomatiseringsnetwerk vinden we de werkstations van de medewerkers en de verdere infrastructuur voor bijvoorbeeld e-mail en web. Het inbreken op de corporate webserver is een ding, het inbreken op het process control netwerk is andere koek. Of moet ik zeggen: /was/ andere koek? We zien namelijk een verschuiving van de eerder genoemde gesloten standaarden naar open standaarden zoals we die ook op Internet vinden: TCP/IP, ethernet, HTTP. Een embedded device dat al deze protocollen ondersteunt is daarmee eenvoudig met een webbrowser te beheren. Ook zien we een verschuiving van gespecialiseerde systemen naar commodity systemen. In procesnetwerken zie je nu bijvoorbeeld al systemen die Windows als besturingssysteem gebruiken. Door deze verschuiving naar open standaarden en COTS (Common Off The Shelf) systemen, wordt het opeens veel eenvoudiger om in te breken. Zoals ik al eerder aangaf is het gebruiken van gesloten standaarden niet voldoende om criminelen te weren, maar door de open standaarden wordt het risico wel erg veel groter. Dit komt door de beschikbaarheid van vele hulpmiddelen en methodes om in te breken op dit soort bekende protocollen en systemen.
Het inbreken op een modbus-netwerk vereist een machine met de juiste connectoren en ondersteuning van het modbus-protocol. Indien er echter gebruik wordt gemaakt van het TCP/IP-protocol, volstaat een standaard PC of laptop. Het daadwerkelijk inbreken is met COTS-systemen ook vele malen makkelijker geworden. Er zijn voldoende hulpmiddelen waarmee eenvoudig kan worden ingebroken, zonder dat de inbreker specifieke kennis nodig heeft. Als er namelijk een probleem wordt gevonden in de software, wordt er vaak snel een ‘exploit’ uitgebracht: een programma dat het probleem misbruikt om in te breken. Zulke exploits zijn moeilijk te vinden voor gesloten systemen, omdat die minder gebruikt worden (en dus minder interessant zijn). Exploits voor bijvoorbeeld het Windows besturingssysteem zijn in ruimte mate te verkrijgen. Door het vervangen van specialistische systemen, zoals aan de procesindustrie aangepaste Real-Time UNIX varianten, door commodity systemen als Windows, wordt het aanvallen zo eenvoudig dat elke tienjarige het kan.

Praktijkvoorbeeld
Het voorbeeld van James Cupps spreekt wat dat betreft boekdelen. Deze man werd in 2004 benoemd tot Security Officer bij een grote papierfabriek in de Verenigde Staten. Hij merkte op dat de PLC’s in de fabriek niet meer via seriële verbindingen communiceerden, maar via ethernet, en vroeg zich af of dat risicovol was. Hij sloot een standaard PC aan op het netwerk en startte een ‘netwerk sniffer’. Dit is een programma om het dataverkeer op het netwerk te analyseren. Zulke programmatuur is eenvoudig en gratis verkrijgbaar. Wat Cupps zag was een verbinding tussen een besturingsstation en een PLC waarin duidelijk het wachtwoord ‘hihihi’ was te herkennen. Dat wachtwoord was de sleutel tot de hele fabriek en kon zonder enige moeite worden onderschept. Het wachtwoord was hard in de systemen ingebakken: het was niet mogelijk het te wijzigen. Iedereen die eenmaal heeft uitgevonden dat PLC’s van bedrijf X als wachtwoord ‘hihihi’ gebruiken heeft nu dus vrij spel. Dit soort problemen kom je vaker tegen in situaties waarin sprake is van gesloten systemen. De leverancier vertrouwt er dan op dat het nooit zal uitlekken hoe het systeem werkt en in dat soort gevallen worden systemen zodanig ontworpen dat het later toevoegen van beveiliging vrijwel onmogelijk is, zoals in dit voorbeeld waarin het later wijzigen van het ingebouwde wachtwoord niet meer mogelijk was.

Verspreiding
Een bijkomend probleem is dat dit soort kennis via Internet ook nog eens snel wordt gedeeld. Er bestaan programma’s die zoeken naar kwetsbaarheden door systemen en programmatuur te onderzoeken op bekende problemen. Een voorbeeld is de kwetsbaarhedenscanner ‘Nessus’. Dit (gratis) hulpmiddel kan bijvoorbeeld ontbrekende patches ontdekken. Onlangs is het uitgebreid met allerlei checks op kwetsbaarheden in SCADA-netwerken. Door het gebruik van bijvoorbeeld Windows in het procesnetwerk, wordt dit ook kwetsbaarder voor aanvallen door virussen en wormen. We zien daar in de literatuur voorbeelden van. Het is geen wonder dat anti-virus programma’s in 97% van de bedrijven wordt gebruikt. Een beveiligingstechniek die nog vaker gebruikt wordt (98%) is de firewall.
Firewalls dienen als grenscontrole tussen twee netwerken. Ze worden bijna altijd gebruikt tussen het kantoorautomatiseringsnetwerk en het internet. Ook tussen het procesnetwerk en het kantoorautomatiseringsnetwerk is een firewall onmisbaar, zeker nu het zo eenvoudig is te koppelen. Veel mensen denken dat ze met de aankoop van een firewall klaar zijn, maar dat is helaas niet zo. Naast veel voorkomende misconfiguraties zijn er nog andere problemen.

Misbruik
Mensen die fysiek bij het procesnetwerk kunnen, hebben vrij spel om fouten in configuraties en het ontbreken van beveiliginspatches te misbruiken. Een kwaadwillende kan vaak ook het terrein oplopen, even zwaaien naar de portier is in veel gevallen voldoende. Of men nodigt zichzelf uit met een smoes (bijvoorbeeld om een nieuw product aan te prijzen). Tijdens het toiletbezoek wordt dan even een draadloos netwerkstation ingeprikt in een hoekje en de aanvaller kan nu draadloos vanaf het parkeerterrein het hele netwerk benaderen. Omdat voor deze aanval fysieke toegang en een goede dosis bravoure nodig is, komt zo’n aanval wat minder vaak voor.
Helaas zijn aanvallen door een firewall heen ook vaak mogelijk. Sterker nog, dit soort aanvallen behoren tot de meest voorkomende op Internet. De standaard manier van werken is om een applicatie op een webserver, benaderbaar vanaf Internet, te misbruiken en via de verbinding die de webserver met interne systemen maakt mee te ‘liften’. Met behulp van deze aanval is het mogelijk door de firewall heen interne systemen te manipuleren. Slecht geschreven applicaties komen helaas maar al te vaak voor. Vaak worden alleen functionele eisen aan applicaties gesteld (wat moet de applicatie doen?). Beveiligingseisen (wat moet de applicatie vooral niet doen?) zijn echter ook noodzakelijk. Ook misconfiguraties en het ontbreken van de laatste beveilingspatches komen nogal eens voor.

Criminaliteit dichtbij
Door dit soort aanvallen is het voor de gevorderde crimineel vaak mogelijk diep door te dringen tot in het interne netwerk, allemaal vanaf een veilige plek thuis, duizenden kilometers verderop, gewoon via het Internet. Zo vertelt een medewerker van Symantec in een gesprek hoe hij via het Internet inbreekt op een webserver en van daaruit (door een firewall) inbreekt op interne systemen. Eenmaal daar weet hij, door naar de namen van de systemen te kijken, een systeem te vinden dat als enige toegang heeft tot een systeem op het procesnetwerk. De firewall tussen het kantoorautomtiseringsnetwerk en het procesnetwerk is zodanig ingesteld dat er een speciaal systeem is dat als enige naar het procesnetwerk mag. In plaats van de verantwoordelijke zit nu de medewerker van Symantec op die machine en hij kan het procesnetwerk op. Omdat men daar dezelfde gebruikersnamen en wachtwoorden gebruikt kan hij zonder moeite de human interface controller bedienen en heeft hij volledige controle over het hele procesnetwerk. Dat alles vanaf zijn eigen PC over het Internet.
Door de verschuiving naar open standaarden wordt het ook makkelijker om netwerken te koppelen, waar ook weer gevaar in schuilt. VPN’s kunnen verschillende locaties koppelen, maar een raadbaar wachtwoord of een verkeerde instelling kan het VPN toegankelijk maken voor onbevoegden. Modems die worden geïnstalleerd zodat een dienstverlener op zaterdagnacht vanuit thuis zijn werk kan doen kunnen ongewenste achterdeuren creëren. Draadloze netwerkverbindingen die standaard WEP-versleuteling gebruiken zijn in tien minuten te kraken. Kortom, al die extra netwerkkoppelingen brengen extra risico’s met zich mee.

Achterdeurtjes
Concluderend kan ik stellen dat door de overgang naar open standaarden en COTS-systemen, door de criminalisering van Internet en door de toegenomen koppelingen tussen netwerken, het risico snel tot onaanvaardbare proporties kan stijgen. Kent u alle netwerkkoppelingen? Kent u alle achterdeurtjes? Misschien is het tijd om uw netwerk eens grondig te laten onderzoeken. <<

Kader:
Belgische bedrijven innoveren zonder bescherming

Van al de Benelux-merken die in 2005 werden gedeponeerd, kwamen er beduidend meer aanvragen uit Nederland dan uit België. Niet minder dan 20.385 aanvragen waren afkomstig uit Nederland tegen 5.707 aanvragen uit België. Bovendien blijkt uit studies dat 63% van de Belgische ondernemingen merkregistratie ‘niet’ belangrijk vindt.
Belgische ondernemingen hebben dus een enorme achterstand in merkbescherming ten opzichte van hun Nederlandse collega’s. Een pijnlijke vaststelling voor een land dat “innovatie” als dé toekomst propagandeert. Onze ondernemingen worden wél aangemoedigd om innovatief te zijn en met nieuwe producten op de markt te komen. De Belgische ondernemers spannen zich in om kwalitatieve producten op de markt te brengen. Daar slagen ze ook in. Maar de volgende stap krijgt blijkbaar minder aandacht.
Ondernemingen beschermen hun producten immers onvoldoende tegen namaak en gooien het kwalitatieve imago ervan te grabbel. Op die manier worden minderwaardige producten op de markt gebracht door concurrenten onder een merknaam die sterk op de originele lijkt. En gaan anderen aan de haal met het kwaliteitsimago. Door domweg geen aandacht te besteden aan merkbescherming verliest de onderneming zowel het geld als de tijd dat ze in het product investeerde.
Studies tonen aan dat 63% van de Belgische ondernemingen merkregistratie niet belangrijk vindt. Niet-geregistreerde merken kunnen echter gestolen of nagemaakt worden. Zonder registratie heeft een onderneming immers geen sluitend recht op een merk. Dom, want blijkt dat namaakproducten onze markt wel degelijk overspoelen. De cijfers liegen er niet om: in 2005 legde de Belgische douane beslag op meer dan 26 miljoen namaakproducten. <<
Bron: VLAO (Vlaams Agentschap Ondernemen)

Qui conduit le processus?
Vous ou un pirate?

Par ir Walter Bergers

Un collaborateur licencié d’une installation d’épuration des eaux déverse des mois durant des eaux polluées dans des régions habitées. Des criminels qui réclament des millions pour taire une effraction. S’agit-il là de scénarios venus tout droit de Hollywood ou d’une réalité? L’effraction d’un réseau modbus nécessite une machine disposant des bons connecteurs et du support du protocole modbus. En revanche, s’il s’agit du protocole TCP/IP, un simple PC ou portable suffit.

Il est très difficile d’obtenir des données exactes sur les incidents relatifs à la protection (ICT), surtout dans l’industrie de processus où ces faits peuvent fortement nuire à l’image de la société. Des visiteurs du salon Industrial Processing ont parfois précisé de manière anonyme le niveau de protection au sein de leur société. Six pour-cent d’entre eux le qualifiaient de ‘passoire’.
Devons-nous nous inquiéter? Si vous recherchez sur internet ou via d’autres sources des problèmes de protection dans l’industrie de processus, vous retrouvez souvent les mêmes histoires, comme celle de l’employé de la station d’épuration des eaux en Australie. Cet incident s’est déroulé en 2000. Après quelques recherches, nous remarquons que tous ces incidents proviennent d’une seule et même source : l’Industrial Security Incident Database (ISID) du British Columbia Institute of Technology (BCIT). Celui-ci conserve un résumé de tous les incidents survenant dans l’industrie de processus, parmi lesquels non seulement les effractions malveillantes mais aussi les erreurs commises par un opérateur. Les résumés sont accessibles à tous gratuitement, à condition qu’un nouvel incident soit annoncé.
Outre l’ISID, il est très difficile de trouver des données sur de tels incidents. Faut-il alors considérer tout cela comme des histoires venues tout droit d’Hollywood? Il est effectivement fort difficile d’entrer par effraction dans un réseau de processus. Un tel réseau contient un équipement très sophistiqué comme des PLC et des systèmes embarqués. Nous retrouvons peu ou pas d’informations à leur sujet et les standards utilisés ne sont pas publiés. Tout cela doit donc présenter une garantie de grande sécurité. Eh bien non! Ne pas dévoiler comment est fait un système ou protocole, appelé également ‘security through obscurity’, est utile pour complexifier la violation. Toutefois, il ne faut pas croire que cela suffit pour arrêter les criminels. Les effractions sont également possibles avec des systèmes propriétaires aux standards fermés. Les experts qui approfondissent ce type de systèmes sont en mesure de trouver très vite leur fonctionnement, et donc leurs failles.

Un risque accru
Tant que personne ne s’intéresse à l’industrie de processus et qu’il subsiste le problème de recherche du fonctionnement des systèmes et de leurs failles, le risque reste minime. Toute-fois, certaines évolutions actuelles tendent à accroître sensiblement le risque. Pensez par exemple à la nouvelle vague de criminels sur internet, au glissement vers des standards ouverts et aux liaisons toujours plus fréquentes des réseaux. Internet a démarré à l’époque comme outil pour les universités. Les protections n’étaient alors pas aussi importantes car il n’y avait pas encore de criminels sur Internet. Puis, dans les années 90, nous avons assisté à de nombreuses effractions par des personnes qui acquéraient ainsi du prestige au sein de leur groupe social. Des sites web étaient souvent attaqués et adaptés. Un tel ‘website defacement’ mentionnait dès lors toujours le nom de l’attaquant (ou du groupe d’attaquants).

Risque de dommage
Nous notons aujourd’hui un glissement des attaques ‘pour le plaisir’ vers des attaques pour l’argent. Nous n’enregistrons quasiment plus d’effractions de sites web se limitant au simple changement de contenu. Il existe de nombreuses façons de gagner de l’argent. Par exemple en mettant sur pied un réseau comptant des centaines voire des milliers de systèmes craqués à partir desquels sont envoyés des pollupostages, contre paiement naturellement. Ou encore en extorquant de l’argent à des sociétés. Le chantage qui fonctionne le mieux est celui opéré auprès des sociétés qui courent un grand risque de dommage. Les criminels entrent par effraction et promettent de ne rien faire, moyennant la remise d’une grosse somme d’argent. Ces criminels ont entre-temps aussi découvert l’industrie de processus. On y retrouve souvent pas mal d’argent, ce qui motive le chantage. Le risque de dommage étant grand, la société abusée aura plutôt tendance à ne pas porter plainte et à payer.

Deux réseaux
On parle souvent de deux réseaux dans l’industrie de processus: le réseau de contrôle de processus et le réseau d’automatisation bureautique. Sur le réseau de contrôle de processus, nous retrouvons les PLC et systèmes embarqués qui pilotent la production. Sur le réseau d’automatisation bureautique, nous retrouvons les stations de travail des collaborateurs et l’infrastructure pour les courriels et le web par exemple. L’effraction du serveur web de l’entreprise est une chose, l’effraction du réseau de contrôle de processus en est une autre. Ou devrais-je dire ‘en était une autre’? Nous notons en effet un glissement des standards fermés vers des standards ouverts qui se trouvent aussi sur Internet: TCP/IP, Ethernet, HTTP. Un appareil embarqué qui soutient tous ces protocoles se gère ainsi très simplement à l’aide d’un navigateur web. Nous voyons aussi un glissement des systèmes spécialisés vers des systèmes courants. Nous voyons déjà apparaître dans les réseaux de processus des systèmes qui utilisent Windows comme système d’exploitation. De par ce glissement vers des standards ouverts et des systèmes COTS (Common Off The Shelf), l’effraction devient soudainement plus simple. Comme je le disais déjà précédemment, l’utilisation de standards fermés ne suffit pas à repousser les criminels mais les standards ouverts augmentent sérieusement le risque en raison de la disponibilité de nombreux outils et méthodes pour entrer par effraction sur ces protocoles et systèmes connus.
L’effraction d’un réseau modbus nécessite une machine disposant des bons connecteurs et du support du protocole modbus. En revanche, s’il s’agit du protocole TCP/IP, un simple PC ou portable suffit. L’effraction effective est aussi beaucoup plus facile avec les systèmes COTS. Il existe suffisamment d’outils permettant d’entrer par effraction sans que le pirate ne doive disposer de connaissances spécifiques. De fait, lorsqu’une faille est découverte dans le logiciel, il ne faut pas attendre bien longtemps pour que sorte un ‘exploit’, c’est-à-dire un programme malicieux qui exploite une faille pour entrer par effraction. De tels exploits se trouvent difficilement pour les systèmes fermés car ils sont moins utilisés (donc moins intéressants). En revanche, les exploits pour le système d’exploitation Windows sont largement disponibles. En remplaçant des systèmes spécifiques, comme des variantes UNIX temps réel adaptées à l’industrie de processus, par des systèmes courants comme Windows, les attaques deviennent si simples qu’elles sont à la portée de n’importe quel enfant de dix ans.

Exemple pratique
L’exemple de James Cupps en dit long à ce sujet. Cet homme a été nommé en 2004 Security Officer d’une grande usine de papeterie aux Etats-Unis. Il a remarqué que les PLC dans l’usine ne communiquaient plus via des connexions sérielles mais via Ethernet et s’est demandé si cela comportait des risques. Il a raccordé un PC standard au réseau et a lancé un ‘renifleur de réseau’, c’est-à-dire un programme qui analyse le trafic de données sur le réseau. De tels programmes se trouvent très facilement et gratuitement. James Cupps a identifié une liaison entre une station de commande et un PLC où l’on reconnaissait clairement le mot de passe ‘hihihi’. Ce mot de passe était la clé vers toute l’usine et pouvait être intercepté sans aucune difficulté. Le mot de passe était fortement imbriqué dans les systèmes, il n’était pas possible de le changer. Tous ceux qui trouvent à un moment donné que les PLC d’une entreprise X ont comme mot de passe ‘hihihi’, ont donc libre jeu. On rencontre souvent ce type de problèmes dans des situations où l’on utilise des systèmes fermés. Le fournisseur se fie au fait qu’on ne saura jamais comment fonctionne le système. Dans ces cas, les systèmes sont conçus de telle sorte que l’ajout ultérieur d’une protection devient quasiment impossible, comme dans cet exemple où la modification ultérieure du mot de passe imbriqué n’était plus possible.

Diffusion
Le partage rapide de ce type de connaissances via Internet constitue un problème supplémentaire. Il existe des programmes qui recherchent les vulnérabilités en confrontant les systèmes et les logiciels aux problèmes connus. Le scanner de vulnérabilités ‘Nessus’ en est un exemple. Cet outil (gratuit) peut par exemple découvrir l’absence de patches. Il a été récemment étendu avec toutes sortes de vérifications de vulnérabilités dans les réseaux SCADA. Avec l’utilisation de Windows dans le réseau de processus par exemple, celui-ci devient aussi plus vulnérable aux attaques des virus et autres vers. Nous en retrouvons de nombreux exemples dans la littérature. Il n’est guère étonnant des lors que 97% des entreprises utilisent des programmes antivirus. Le coupe-feu est une technique de protection qui est encore plus fréquemment utilisée.
Les coupe-feu servent de contrôle de frontière entre deux réseaux. Ils sont quasi toujours utilisés entre le réseau d’automatisation bureautique et Internet. Un coupe-feu est également indispensable entre le réseau de processus et le réseau d’automatisation bureautique, surtout maintenant qu’il est tellement simple de les relier. Beaucoup de gens pensent que l’achat d’un coupe-feu résout leur problème mais ce n’est malheureusement pas le cas. Outre de fréquentes mauvaises configurations, il y a encore bien d’autres problèmes.

Abus
Les personnes qui peuvent accéder physiquement au réseau de processus ont toute la latitude d’abuser des erreurs de configuration et de l’absence de patches de protection. Il arrive souvent qu’une personne malveillante puisse aussi pénétrer dans un site en saluant de loin le portier sans se faire arrêter. Elle peut s’inviter elle-même en inventant un prétexte (par exemple la présentation d’un nouveau produit). En se rendant aux toilettes, elle peut se repiquer sur une station de réseau sans fil placée dans un coin et accéder sans fil à tout le réseau à partir du parking. Heureusement, de telles attaques ne sont pas si fréquentes car elles nécessitent un accès physique et une bonne dose de bravoure.
Malheureusement, les attaques au travers d’un coupe-feu sont souvent possibles. Pire encore, ces attaques figurent parmi les plus fréquentes sur Internet. La procédure standard consiste à abuser d’une application qui tourne sur un serveur web, en l’approchant via Internet et en ‘usurpant’ la connexion que le serveur web établit avec les systèmes internes. Ces attaques permettent de manipuler des systèmes internes au travers du coupe-feu. Les applications mal écrites sont malheureusement monnaie courante. Les applications ne doivent souvent répondre qu’à des exigences fonctionnelles (que doit faire l’application?). Les exigences de protection (que ne doit-elle surtout pas faire) sont cependant cruciales. Les mauvaises configurations et l’absence des derniers patches de protection ne sont pas rares non plus.

Une criminalité si proche
Ce type d’attaques permet à un criminel aguerri de pénétrer en profondeur dans le réseau interne, le tout à partir d’un endroit sûr à la maison, à des milliers de kilomètres, tout simplement via Internet. Un collaborateur de Symantec expliquait lors d’une conversation comment il pénètre dans un serveur web via Internet et de là (à travers le coupe-feu) dans des systèmes internes. Ensuite, il sait - en regardant les noms des systèmes - trouver un système qui est le seul à avoir accès aux machines sur le réseau de processus. Le coupe-feu entre le réseau d’automatisation bureautique et le réseau de processus est paramétré de manière à ce qu’un seul système spécial puisse accéder au réseau de processus. Au lieu du responsable, c’est maintenant le collaborateur de Symantec qui se trouve sur la machine et peut aller sur le réseau de processus. Et puisque les noms d’utilisateur et les mots de passe y sont identiques, il peut sans aucun problème commander le contrôleur d’interface homme machine et prendre le plein contrôle de tout le réseau de processus. Tout cela via Internet, à partir de son propre PC.
Désormais, le glissement vers des standards ouverts facilite aussi la liaison des réseaux, ce qui implique à nouveau un danger. Les VPN peuvent relier différents sites mais un mot de passe qu’il est possible de deviner ou un mauvais paramétrage peut rendre ces VPN accessibles à des personnes non autorisées. Les modems installés pour permettre à un collaborateur de travailler le samedi soir de chez lui peuvent créer des portes de derrière indésirables. Les connexions aux réseaux sans fil qui utilisent un cryptage WEP standard peuvent être craquées en moins de dix minutes. Bref, toutes ces connexions de réseaux supplémentaires entraînent aussi des risques supplémentaires.

Portes de derrière
En guise de conclusion, je peux dire qu’avec la migration vers des standards ouverts et des systèmes COTS, la criminalisation sur Internet et la hausse des liaisons entre les réseaux, les risques peuvent rapidement prendre des proportions inacceptables. Connaissez-vous toutes les connexions de réseaux? Connaissez-vous toutes les portes de derrière? Peut-être devriez vous, sans tarder, examiner en détail votre réseau.<<

Cadre:
Les sociétés belges ne protègent pas leur innovation

De toutes les marques du Benelux déposées en 2005, il y avait sensiblement plus de demandes émanant des Pays-Bas que de la Belgique. Pas moins de 20.385 demandes provenaient des Pays-Bas contre 5.707 de la Belgique. Des études montrent en outre que 63% des entreprises belges ne considèrent pas l’enregistrement d’une marque comme important.
Les sociétés belges ont donc un énorme retard en matière de protection de marque par rapport à leurs collègues néerlandais. Un constat consternant pour un pays qui clame haut et fort que l’innovation est son avenir. Nos entreprises sont encouragées à se montrer innovantes et à mettre de nouveaux produits sur le marché. Les entrepreneurs belges s’efforcent de mettre sur le marché des produits qualitatifs et ils y parviennent. Cependant, l’étape suivante semble apparemment bénéficier de moins d’attention.
Les entreprises ne protègent pas suffisamment leurs produits contre la contrefaçon et nuisent ainsi à leur image de qualité. En effet, des produits de qualité inférieure sont mis sur le marché par des concurrents sous une marque qui ressemble fort à la marque originale. Et d’autres profitent de l’image de marque. En ne consacrant pas suffisamment de temps à la protection de la marque, l’entreprise perd bêtement l’argent et le temps qu’elle a investis dans le produit.
Des études montrent que 63% des entreprises belges n’attachent pas beaucoup d’importance à l’enregistrement de la marque. Les marques non enregistrées peuvent toutefois être volées ou imitées. Sans enregistrement, la société n’a aucun droit probant sur une marque. Dommage car les produits de contrefaçon semblent bel et bien inonder notre marché. Les chiffres sont révélateurs : en 2005, la douane belge a confisqué plus de 26 millions de contrefaçons.
Source: VLAO (Vlaams Agentschap Ondernemen)

Disclaimer
Contact