A TSMC-nél történt vírusfertőzés miatt csúszhat több termékbejelentés is

Titkosítás, biztonság, privát szféra

A Taiwan Semiconductor Manufacturing Company (röviden: TSMC), az egyik legnagyobb (ha nem a legnagyobb) független félvezetőgyártó a világon. Beszállítója többek közt az Apple-nek, Nvidia-nak, AMD-nek, Qualcomm-nak és a Broadcom-nak, illetve legtöbbször az "iPhone processzorok" gyártójaként emlegetik. A vállalatnál a napokban WannaCry zsarolóvírus-fertőzés tombolt. A TSMC emiatt figyelmeztetést adott ki, amelyben leírja, hogy a vírusfertőzés miatt szállításait várhatóan csúszással tudja teljesíteni, illetve az eset kihat a negyedéves pénzügyi eredményére is:

TSMC today provided an update on the Company’s computer virus outbreak on the evening of August 3, which affected a number of computer systems and fab tools in Taiwan. The degree of infection varied by fab. TSMC contained the problem and found a solution. As of 14:00 Taiwan time, about 80% of the company’s impacted tools have been recovered, and the Company expects full recovery on August 6. TSMC expects this incident to cause shipment delays and additional costs.

Részletek a bejelentésben.

Egyetértek. Sikerült egy több mint egy éves ransomware-t ennyi idő után beszopniuk, amire már rég van minden érintett rendszeren patch. Gondolom a mai napig nem tették fel, mert „lassít”, meg kell az elavult SMB v1, mert anélkül nem lehet élni, meg ők úgyse Win Pistik, értenek hozzá jobban, azért nem fenyegeti őket veszély, tudják mit csinálnak. Valóban.

No keyboard detected... Press F1 to run the SETUP

( XMI | 2018. 08. 12., v – 19:09 )

Ebben az a finom, hogy annyira tipikus a PLC beszállítók esetén a "minek ide hardening/patchelés, ez belső hálózatra megy" hozzáállás, hogy egy gyártó, ha akarná se nagyon tudná biztonságosan üzemeltetni.

Persze a TSMC van akkora ügyfél, hogy akár szerződésben elő is írhatná a beszállítóinak, hogy CIS compliance, külső auditor céggel ellenőriztetve. Illetve X évig patch támogatás, Y munkanapon belül szállítva, elmaradás esetén kötbér. Csak akkor nyilván kicsit többe kerülne minden... Plusz rendszeres tervezett karbantartási leállás az aktuális patchek telepítés miatt, ami lehet hogy összességében több kiesés, mint amit most bekaptak.

Viszont az mindenképpen fontos következtetés, hogy egy kicsit szofisztikáltabb malware-rel simán lehetne észrevétlenül finoman szabotálni a termelést (aka Stuxnet), vagy akár a legyártott hardverekbe észrevétlenül beinjektálni valami apróságot. Remélhetőleg a TSMC ügyfelei is elgondolkodnak ezen...
---
Régóta vágyok én, az androidok mezonkincsére már!

Azt hiszem, a probléma ennél összetettebb. A különböző ICS berendezéseket gyártó cégek nagyobbik része ad ki javításokat és vannak különböző hardening-javaslataik is (saját gyűjtésű statisztikáim szerint az idei évben eddig publikált sérülékenységek kb. feléhez már a publikáció pillanatában volt kint elérhető javítás), viszont az Operations Technology területen dolgozó mérnökök és üzemeltetők ezek közül nagyon sokat nem vagy csak nagyon komoly késésekkel telepítik - aminek pedig az IT és az OT közötti filozófiai különbségek az oka.

Minden másban nagyjából egyetértünk, lenne egy közepes összegem arra, hogy viszonylag gyorsan fogunk hallani hasonló incidens(ek)ről.

Ja, az IT kb. a "move fast and break things" az OT a "whatever it takes, do not break it" mentén dolgozik. Én most egy industrial IoT cégnel dolgozom, ott is folyamatos ez a konfliktus, hogy nálunk a fejlesztők az "eltörjük most, hogy később könnyebb legyen" filozófiával dolgoznak, a field engineer-eink meg agyvérzést kapnak, hogy ötödször is migrálni kell a komplett konfigot egy évben, és emiatt mindent újra kell validálni a gyártósoron (hiába van mindenre mockup teszt, az maximum annyit segít, hogy csak 1 napos, ne két hetes szopás legyen lent a sor mellett).

Én nem blamálnám a TMSC OT-t feltétlenül, nem tudjuk miféle egyéb countermeasure-ek vannak az efféle dolgok megakadályozására, valamint miféle egysejtű kreatív user kötött valami olyasmit a termelési hálózatra, aminek ott semmi keresnivalója nincs, megszegve minden létező szabályt amit felállítottak.

Én is dolgoztam sysadminként még az őskorban, miután lett ADSL a telepen, az éjjeliőr folyton pornót nézett a titkársági gépeken éjszaka, de hiába raktam rá bármiféle filteringet vagy időintervallum engedélyezést a netre, az éjjeliőr addig rinyált a megfelelő helyeken hogy "hát még híreket se lehet olvasni", hogy kikapcsoltattak minden ilyesmit. Aztán másnap meg persze engem baszogattak, hogy megint vírusos a gép, és felszórja a pucér csöcsös nénis bannert a titkárnő arcába. És csak annyi volt a szerencsénk, hogy a gyártást OS/2 vitte, nem Windows, a networköt meg Netware és Linux, szóval pont nem volt kritikus, hogy mit csinálnak a Windowsos gépek, a rajtaütésszerű csöcsök miatti enyhe riadalmat leszámítva a tisztes családanya titkárnők között. (Meg hát, az még a Win 95/98 korszak volt, azokkal tökmindegy volt mit csináltál akkor is fejreálltak előbb-utóbb.)

De hát ugye, kinek hisz ilyenkor a döntéshozó? A rendszergazdásat játszó 21 éves, 1 éve ott lévő kis taknyos IT nördnek (nekem), vagy a tíz éve ott dolgozó megbízható őrnek, aki valamelyik fejes spanjának a kutyájának a kölyke?... És csak remélni tudom, hogy így kb. tizenöt+ évvel később a TSMC-nél azért valamivel komolyabb szint van mindkét oldalon. :)

-=- Mire a programozó: "Na és szerintetek ki csinálta a káoszt?" -=-

"This virus outbreak occurred due to misoperation during the software installation process for a new tool, which caused a virus to spread once the tool was connected to the Company’s computer network."

Ők maguk (állítólag 3rd party-n keresztül) hurcolták be a zsarolóvírust:

"CEO C.C. Wei told Bloomberg that TSMC wasn’t targeted by a hacker; it was an infected production tool provided by an unidentified vendor that was brought into the company."

Majd úgy terjedt el, hogy basztak megpatchleni a Windows 7-es gépeiket, amikre kb. 1 éve kinn van (2017. március) az a javítás (KB4012212), amit a WannaCry kihasznál:

"Chip-making giant TSMC will lose hundreds of millions of dollars for failing to patch its Windows 7 computers, which were infected by the WannaCry virus."

De, ez az ő hibájuk.

--
trey @ gépház

Amit az OT-re írtam, azt nem a konkrét TMSC-s esetre értettem, hanem általánosságban. Amennyit tudni lehet a mostani incidensről, még azt is el tudom képzelni, hogy az EternalBlue patch-ek telepítésének hiányát kompenzálták egy jól tervezett és felépített mélységi védelemmel, aztán (ahogy más is írta a hozzászólások között), valaki bevitt egy fertőzött eszközt és rögtön jóval kevesebbet ér egy esetleg jól összerakott hálózatbiztonsági rendszer.

A legnagyobb baj az, hogy az ICS biztonság világában nincs hagyománya és létjogosultsága a logikai biztonsági kockázatelemzéseknek és a döntéshozók a saját előítéleteik és berögzült gondolkodásuk mentén hoznak döntéseket, nem pedig az alapján, hogy egy adott döntésnek milyen várható kimenetelei lehetnek.

A többiben megint egyetértünk, nekem is lassan egy évtizedes munkám van abban, hogy már meghallgatják, hogy ilyen téren mit és hogyan kéne csinálni és néha még meg is valósul valami a javaslatokból.

az EternalBlue patch-ek telepítésének hiányát kompenzálták egy jól tervezett és felépített mélységi védelemmel, aztán ... valaki bevitt egy fertőzött eszközt

Számomra ez sajnos pont úgy hangzik, mintha nem mélységi védelemről, hanem éppenhogy perimeter defense-ről lett volna szó. (Hogy mondják ezt magyarul? Felületi védelem? Perem-védelem?)
---
Régóta vágyok én, az androidok mezonkincsére már!

( szs v | 2018. 08. 13., h – 09:26 )

azt hittem az alkalmazottakat döntötte le a lábáról valami