Return to search

Sovellusten sallimislistaus teollisuusautomaatiojärjestelmissä

Sovellusten sallimislistaus pyrkii parantamaan kohdejärjestelmän tietoturvaa. Sen suojaus perustuu siihen, että vain ennalta hyväksytyt ohjelmat pystyvät käynnistymään kohdejärjestelmässä. Tällä pyritään ehkäisemään haittaohjelmien vaikutusta, kun ne eivät pääse käynnistymään järjestelmässä eivätkä täten aiheuttamaan haittaa. Sallimislistausohjelmia on kehitetty usean eri valmistajan toimesta, ja ne ovat valmiina ominaisuutena joissain käyttöjärjestelmäversioissa.

Myös teollisuudessa on kiinnostuttu sallimislistausohjelmista ja niiden sopivuudesta suojaamaan erilaisia teollisuuden järjestelmiä. Teollisuudessa järjestelmät voivat olla keskeytymättömässä käytössä useiden vuosien ajan, eikä niiden käyttämiä ohjelmia pysty välttämättä päivittämään muulloin kuin huoltoseisokkien aikana. Tämä voi jättää järjestelmiin useita haavoittuvuuksia, kun käytössä on vanhoja ohjelmaversioita. Teollisuusjärjestelmien suojaamisessa voidaan käyttää viruksentorjuntaohjelmia, mutta koska myös uudet virustunnisteet vaativat säännöllisen päivittämisen, voi viruksentorjuntaohjelman tehokkuus kärsiä. Sovellusten sallimislistausohjelmien mainostetaan auttavan näissä tilanteissa. Ne eivät vaadi päivitystä muulloin kuin asennettaessa järjestelmään uutta ohjelmaa. Osa ohjelmista sanoo myös suojaavansa käytössä olevien ohjelmien haavoittuvuuksien hyväksikäytöltä vähentäen näin ohjelmien päivitysten tarvetta.

Tässä työssä on tavoitteena tutkia, soveltuvatko sallimislistausohjelmat teollisuusautomaatioympäristöön sekä suojaavatko ne käytössä olevien ohjelmien haavoittuvuuksien hyväksikäytöltä. Haavoittuvuuksien hyväksikäyttöä on testattu asentamalla sallimislistausohjelmalla suojattuun kohdekoneeseen sellaisia versioita eri ohjelmista, joissa on tunnettuja haavoittuvuuksia. Haavoittuvuuksia hyväksikäyttäen kohteeseen on yritetty hyökätä Metasploit-hyökkäystyökalun valmiiden hyökkäysmoduulien avulla. Testit on toistettu suojaten järjestelmä kahden eri myyjän, McAfeen ja Lumensionin, sallimislistausohjelmilla. Tulosten sekä kirjallisuuslähteiden perusteella on pohdittu myös sitä, voiko sallimislistausta käyttää ainoana puolustusmekanismina suojaamaan teollisuusjärjestelmää.

Molempien myyjien sallimislistausohjelmat sanovat suojaavansa sallituissa ohjelmissa olevien haavoittuvuuksien sekä muistihaavoittuvuuksien hyväksikäytöltä. Testien tulokset osoittavat kuitenkin muuta. McAfeen sallimislistausohjelma onnistui estämään täysin yhden ja osittain seitsemän 14:stä hyökkäyksestä, kun loput hyökkäyksistä saivat muodostettua yhteyden kohdekoneeseen sallimislistausohjelman huomaamatta hyökkäystä. Lumensionin ohjelma ei estänyt hyökkäyksistä yhtään edes osittain. Näiden tulosten perusteella voidaan päätellä, että sallimislistausta ei voida käyttää ainoana puolustusmekanismina. Sallimislistausohjelma voi kuitenkin olla hyvä lisä teollisuusjärjestelmän puolustusstrategiaan, mutta sen lopullinen sopivuus tulee pohtia tarkemmin tapauskohtaisesti. / Application whitelisting aims at improving security for systems. Its protection is based on allowing only the predefined whitelisted applications to execute on the system in question. This aims at preventing the impact of malware as they cannot execute on the system and thereby cannot make any harm. Several different vendors have developed application whitelisting programs and they even are a build-in feature in some operating system versions.

Application whitelisting and its suitability to protect different industrial systems has risen interest also among industrial sector. In industry the systems may be in continuous usage for several years and the software they use may not be able to be updated outside the maintenance breaks. This may leave several vulnerabilities into systems since old software versions are used. Anti-virus programs may be used to protect industrial systems but because the new virus signatures require regular updates the efficiency of the anti-virus program may suffer. Application whitelisting is advertised to aid in these kind of situations. They do not require updates unless a new application is being installed into the system. Some of the programs also say to protect from exploiting the vulnerabilities that may be in allowed application, decreasing thus the need of updating them.

The aim of this thesis is to find out if application whitelisting programs are suitable for industrial control system environments and if they protect from vulnerabilities that may be in applications that are used in the systems. Exploiting the vulnerabilities has been tested by installing some old versions of applications that have known vulnerabilities to the system that is protected by application whitelisting. By utilising these vulnerabilities the target system has been exploited by using Metasploit penetration testing tool with its build-in exploit modules. The tests have been repeated by protecting the system with application whitelisting programs from two different vendors: McAfee and Lumension. Based on the test results and literature sources it has been also discussed if application whitelisting can be used as one and only defence mechanism to protect an industrial system.

Both vendors say that their application whitelisting program protects from exploiting the vulnerabilities in whitelisted applications and also from memory vulnerabilities. Nevertheless the test results show otherwise. McAfee’s program managed to prevent completely one and partly seven from 14 exploits, while the rest managed to get a session with the target machine without the application whitelisting program to notice. Lumension’s program did not prevent from any of the exploits, not even partially. Based on these results it can be seen that application whitelisting cannot be used as the one and only protection mechanism. However it may be a good complement to industrial control system’s defence strategy, but it’s final suitability needs to be pondered more specifically case by case.
Date27 August 2013
CreatorsOlli, P. (Pia)
PublisherUniversity of Oulu
Source SetsUniversity of Oulu
Detected LanguageFinnish
Typeinfo:eu-repo/semantics/masterThesis, info:eu-repo/semantics/publishedVersion
Rightsinfo:eu-repo/semantics/openAccess, © Pia Olli, 2013

Page generated in 0.0018 seconds