Magnus Lund Jacobsen IT-sikkerhedsanalytiker Forsvarsministeriet Projektenhed for Cybersikkerhed, GovCERT Cybertrusler mod Smart Grids
GovCERT En statslig varslingstjeneste for internettrusler
Kritisk Infrastruktur Internettet Vi er alle hinandens naboer Kilde: Wikipedia http://en.wikipedia.org/wiki/file:internet_map_1024.jpg
Kritisk Infrastruktur Aktiver, systemer eller dele deraf, der befinder sig i medlemsstaterne, og som er væsentlige for opretholdelsen af vitale samfundsmæssige funktioner og menneskers sundhed, sikkerhed og økonomiske eller sociale velfærd, og hvis afbrydelse eller ødelæggelse i væsentlig grad vil påvirke en medlemsstat som følge af, at disse funktioner ikke kan opretholdes. Kritisk infrastruktur EU s definition Kilde: Retsinformation https://www.retsinformation.dk/forms/r0710.aspx?id=135381&exp=1
PLC er (Programmable Logic Controllers) De små computere der udgøre byggestenene for automatisering og kontrolsystemer
Industrielle kontrolsystemer (ICS) Et typisk netværk Kilde: Ernst & Young, Attacking the smart grid
Usb hub Laptop Cybati Træningsbæt Backtrack 5 Windows 7 AB Micologix 1400 PLC Demonstration Sårbarhedseksempel
Demonstration
dr.dk: Rød bølge på Hillerød-motorvejen Kilde: dr.dk http://www.dr.dk/nyheder/indland/2012/03/07/071054.htm
Jyllands-Posten: Mange københavnere er uden vand Kilde: Jyllands-Posten http://jyllands-posten.dk/indland/kbh/article2597787.ece
ing.dk: Strømnedbrud rammer 360 mio. mennesker Kilde: ing.dk http://ing.dk/artikel/130903-kaos-i-indien-stroemnedbrud-rammer-360-mio-mennesker
Målerettede cyberangreb Stuxnet & Aurora
1: Inficerer Pc'en som kører et Microsoft Windows operativ system, gennem et USB interface. 2: Virussen søger derefter specifikt leverandørspecifikt Siemens software som benyttes til styre 3: Hvis virussen ikke kan finde softwaren spreder den sig til den næste computer i netværket, og foretager en søgning der. 4: Når virussen finder Siemens softwaren, kan den om programmere de tilsluttede PLC er, som så igen kan sende nye instrukser til de tilsluttet maskiner, herunder omdrejninger, temperatur og tryk målinger. Stuxnet Anatomien af et målrettet cyberangreb
Sårbarheder Forkert input validering Indikatorer for ringe kode kvalitet Rettigheder, privileger og adgangskontroller Forkert autentificering Utilstrækkelig verificering af datas ægthed Kryptografiske problemer Styring af brugeroplysninger
Sårbarheder (forsat) Vedligehold og konfiguration af sikkerhedsindstillinger for ICS software Planlægning, politikker og procedurer Revision og kontrol Svagheder i netværksdesign Svage firewall regler Svagheder og fejl i konfiguration af netværkskomponenter
Angrebsvinkel Værktøjer/færdigheder Udviklingstid Man-in-the-middle angreb, Cross site request forgery Ettercap/etterfilter scripting Protokol analyse Protokol manual eller reference, dokumentation fra leverandøren. 3 dage (valideret) En USB mus med en Teensyduino og en scripted HMI kontrol Denial of Service på kontrolsystems komponenter (både enheden og kommunikationskanaler) Arduino og VBScript programmering Lodning HMI og kontrolsystem protokol kendskab Et Moderat kendskab til cybersikkerhed Administrationssoftware til PLC en Kendskab til kommandoline netværksværktøjer 1 uge (valideret) 1 dag (valideret) TCP replay angreb af PLC kommandoer Netduino plus hardware med TCP replay angreb Python/Scapy programmering PLC Administrationssoftware Protocol analyse Visual Basic portering af Scapy/wireplay værktøjer Protocol analyse 1 måned 1 måned
Sårbarhedstyper og trends Produktionssystemer SCADA, EMS, PLC, Smartmeters, IEDs IT systemer Arbejdsstationer, mainframes, applikationer, databaser, web sites og services Kommunikationsnetværk og protokoller Ethernet, Wi-Fi, Zigbee, DNP3, Modbus Endpoints Smartphones, smart meters, mobile enheder Menneskelige faktorer Manglende træning, Social Engineering, phishing angreb, USB-drev
Antal af registeret SCADA sårbarheder Årstal Registrering af SCADA sårbarheder Kilde: OSVDB http://osvdb.org
Antal af registeret Smart Grid sårbarheder 5000 4500 4000 3500 3000 2500 2000 1500 1000 500 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 Årstal IBM X-Force registrering af Smart Grid sårbarheder Kilde: IBM X-Force http://www-958.ibm.com/software/data/cognos/manyeyes/visualizations/ibm-x-force-vulnerability-disclosu
Open Source Intelligence (OSINT) SHODANHQ & ERIPP
Antal forbindelser per forespørgsel 3500 3000 2500 2000 1500 1000 500 0 Telemetry SCADA RTU Protocol Bridge PLC PCS PAC HMI Historian HAN/BMS HA Embedded web Antal forbindelser per forspørgelse server BMS Open Source Intelligence (OSINT) SHODANHQ Kilde: Quantitatively Assessing and Visualising Industrial System Attack Surfaces, Érieann P. Leverett, Unisversity of Cambridge
7 trin til bedre sikkerhed: Sikkerhedsvurdering af eksisterende systemer Dokumentation af politikker og procedurer Træning af medarbejdere, leverandører og samarbejdspartnere Segmentering af kontrolsystemnetværket Implementering og styring af adgangskontrol Hærdning af systemkomponenter og enheder Overvågning og vedligeholdelse af sikkerhedssystemer
Stuxnet: Anatomy of a Computer Virus http://vimeo.com/25118844 Digital Bond: Project Basecamp http://vimeopro.com/s42012/s4-2012/video/35783988 ENISA http://www.enisa.europa.eu/activities/resilience-and-ciip/critical-infrastructure-and-services ICS CERT http://www.us-cert.gov/control_systems/ics-cert/ Gode links til mere information Og videre fordybelse
Spørgsmål?
contact@govcert.dk magjac@govcert.dk Magnus Lund Jacobsen IT-sikkerhedsanalytiker Forsvarsministeriet Projektenhed for Cybersikkerhed, GovCERT Kontakt