Az ipari rendszerek üzemeltetésekor alapvető elvárás lehet, hogy távoli elérést tudjunk biztosítani az üzemeltetett eszközökre. Számos okból lehet szükség távelérésre, ilyenek lehetnek például a saját üzemeltetők, karbantartók, operátok számára, vagy akár a gyártói vagy integrátori támogatók számára biztosítandó távoli hozzáférések.
Sajnos sok esetben erre nem megfelelő megoldásokat alkalmaznak a szervezetek, részint költségcsökkentő hatások alatt (olcsóság), részint pedig azért, mert nincsenek tisztában azzal, hogy pontosan mi is történik ilyen esetekben.
A távoli elérés azt jelenti, hogy tulajdonképpen kinyitunk egy ajtót az egyébként védett zónában működő eszközeink felé egy megbízhatatlan zóna – az Internet – felé, azaz beengedünk valakit a saját, védett hálózatunkba és a védett eszközeinkre egy olyan „világból”, amelytől egyébként más védelmi eszközökkel (tűzfal, behatolás védelem, malware- és vírusvédelem, anomália detektor, stb.) szeparálni akarunk.
Sok megoldás létezik arra, hogy az ipari rendszerek távelérését megvalósítsuk, de talán a TeamViewer általános felhasználási módja erre az egyik legrosszabb példa.
Sokszor tapasztaltuk, hogy már licensz szempontjából is helytelenül járnak el szervezetek. Megpróbálják az ingyenes változatot alkalmazni távoli hozzáférés céljára, hiszen ehhez semmit nem kell tenniük, csak a telepítéskor elfogadni, hogy nem használják üzleti célra.
Természetesen ez már súlyos licensz-jog sértésnek számít, olyan esetekben, amikor az adott szervezetre valamilyen megfelelőség (compliance) (ISO 27001, ISO 9001, stb.) vonatkozik, így ez akár „nemmegfelelőséghez” is vezethet, amivel az adott szervezet az audit-megfelelését kockáztathatja.
2019-ben sok ilyen szervezet került kellemetlen helyzetbe, amikor a limitált session ideig működő ingyenes eléréseik elkezdtek nem működni az alábbi hibaüzenettel fogadva a hozzáférőt:
Természetesen annak a kockázata eddig is megvolt, hogy a TeamViewer észleli az üzleti célú felhasználást, azonban 2019-ben sokat finomítottak a felismerési algoritmuson, ezért egyre többen találkoztak ezzel a kellemetlen üzenettel, illetve azzal a jelenséggel, hogy a korábban működő és ingyenes távelérés már nem működött.
Különféle fórumokon, torrent oldalakon aztán jóféle crack megoldásokat és programokat ajánlgatnak, persze aki így „okosítja” távelérési rendszerét, az ne csodálkozzon, ha kellemetlen tapasztalatok fogják érni és fertőzöttebb lesz, mint egy túlzsúfolt óvoda az influenzajárvány idején.
A másik nagy probléma magából a TeamViewer működéséből fakad. Ugyanis a TeamViewer alapjába véve egy távoli asztal elérésére alkalmas megoldás, azaz arra való, hogy egy felhasználó hozzáférjen a védett hálózatban működő munkaállomáshoz vagy szerverhez.
Ez viszont azt jelenti, hogy a távoli felhasználó jumping host-ként használ a belső hálózatban működő munkaállomást vagy szervert, azaz a rendszer nem a PLC, SCADA, HMI, stb. rendszerekhez ad auditálható és ellenőrizhető hozzáférést, hanem egy távoli asztal lehetőséget biztosít egy munkaállomáshoz vagy szerverhez.
Ez nem szemantikai különbség, hanem komoly biztonsági kockázat: a TeamViewer-en keresztül gyakorlatilag a teljes belső hálózatot elérhetővé tehetjük a külső bejelentkező számára, hiszen egy kód bírtokában bejelentkezhet egy olyan hostra, amelyről aztán már bármilyen eszköz elérhetővé válik a hálózatunkban.
Ráadásul a működéséhez arra van szükség, hogy a távoli asztal (jumping host) ki lásson az Internetre – azaz ha például egy Windows-alapú SCADA rendszert teszünk elérhetővé a TeamViewer agent telepítésével (az ipari rendszerekhez tartozó komponensekre harmadik féltől származó, ráadásul Internet kommunikációban résztvevő alkalmazás telepítése a legtöbb álmoskönyv szerint egyébként is ellenjavalt), a SCADA eszköznek Internet elérést kell biztosítani, azaz a legolcsóbb és leghatékonyabb védelmi intézkedést, az izolációt (szegmentálás, szeparáció) tesszük működésképtelenné.
Ami szintén komoly problémát jelent, az ellenőrizetlen bejelentkezések engedélyezése. A TeamViewer lehetőséget ad arra, hogy még csak felhasználói/operátori/adminisztrátori engedély se legyen szükséges ahhoz, hogy valaki kívülről elérhesse az eszközeinket.
A permanens kapcsolatok engedélyezése azt jelenti, hogy bárki, akinek birtokában van a bejelentkezéshez szükséges jelszó (tehát még felhasználó névhez sem kötött), az a tudtunk és engedélyünk nélkül is be tud jelentkezni a távoli munkaállomásba.
Sok esetben azért használják ezt a megoldást, mert nem akarnak időt pazarolni arra, hogy mondjuk a gyártói vagy integrátori támogató mérnök bejelentkezését engedélyezzék hajnali kettőkor, és pláne nem is akarják tudni, hogy mit csinált a supportos a rendszerrel, nem akarják ellenőrizni a tevékenységét, csak az számít, hogy a „probléma el legyen hárítva”.
A bejelentkezésekről, hozzáférésekről csak a magasabb díjcsomagokban áll rendelkezésre audit log jellegű naplózás, ezeket a csomagokat pedig az ár miatt meglehetősen kevesen választják. Az egy felhasználós „Business” csomagban egy nagyon gyenge és kevés információt adó „Felhasználói hozzáférési jelentések” opció található, míg a legdrágább „Corporate” csomagban található az a minimum elvárható opció („Eszközhozzáférési jelentések”), amely már azt meg tudja mondani, hogy pontosan ki, honnan, mikor, milyen belső eszközt ért el.
Nyilván lehet jól is használni a TeamViewer-t, de tapasztalataink szerint nem ez a jellemző. Ha mégis mindenképpen ezt a megoldást szeretnénk alkalmazni, akkor feltétlenül a Corporate előfizetést vásároljuk meg és soha ne engedélyezzük a permanens bejelentkezési módot!
Léteznek kifejezetten az ipari rendszerek biztonságos távelérését lehetővé tévő megoldások (pl. a Moxa-nak is van ilyen eszköze, de lehetne még az Ewon-t vagy az MBConnect-et is említeni), illetve a vállalati VPN felhasználása is sokkal átláthatóbb, megbízhatóbb eredményre vezethet, amely auditálható és jobban ellenőrizhető.
A legjobb, ha úgy gondolunk a távoli elérésre, mint egy ajtóra, amely a legértékesebb eszközeinkre nyílik. A biztosítók is elvárják, hogy ha nagy értéket tartunk a lakásunkban, megtegyük a szükséges védelmi intézkedéseket azok megvédésére és nem fizetnek kártérítést, ha megállapítják, hogy a kincseinket egy papundekli ajtó mögé rejtettük, amelyen zár helyett egy rigli jelentette a védelmet.
További érdekes olvasnivalók a TeamViewer-el kapcsolatban:
https://blog.avast.com/a-deeper-look-into-malware-abusing-teamviewer
https://securelist.com/attacks-on-industrial-enterprises-using-rms-and-teamviewer/87104/
https://docs.google.com/spreadsheets/d/1Cmxz2VHMKsi96WZ3enTGuXShmXcW8Vg5sYFaXK8kmxg/edit#gid=0
https://www.bleepingcomputer.com/news/security/teamviewer-confirms-undisclosed-breach-from-2016/
https://www.zdnet.com/article/chinese-cyberspies-breached-teamviewer-in-2016/