Les voor de toekomst

Transcriptie

1 LES VOOR DE TOEKOMST l'histoire se répète? Eric Luiijf EVEN VOORSTELLEN Koninklijke Marine; daarna TNO TNO Defensie en Veiligheid Making Cyber work for you! 4k*12 bit PDP-8 mainframe & 110 bd ARPAnet IPv5 Cyber warfare information operations cyber operations (1995+) KWINT ( ) & bescherming vitale infrastructuur (2003) NATO security regelgeving netwerkinterconnecties EU CIP-projecten (2003+) SCADA/ICS security (2005+); smartgrid security kernteam NCSS2, Eric Luiijf 1

2 HOE VEILIG IS (IT IN) NEDERLAND? Schoten voor de boeg hoezo IT? hoezo Nederland? (on)veiligheid? meetbare veiligheid versus perceptie van (on)veiligheid HOE VEILIG IS (ICT IN) NEDERLAND? Historie Onze toekomst? Onze weerbaarheid? Uitweg? Eric Luiijf 2

3 HOE VEILIG IS (ICT IN) NEDERLAND? Stelling l'histoire se répète - helaas ook in ICT / cyber security gebrek aan historisch besef - wij vergeten good practices geïdentificeerde cyber security lessen niet toegepast in volgende ICT-golf ICT: EEN JONGE GESCHIEDENIS Wanneer kopte De Telegraaf Chantage om gegevens uit computer? Eric Luiijf 3

4 ,5 JAAR CYBERCRIME HOE (ON)VEILIG IS IT? 12 jan jan 1977 DE EERSTE CYBER* WANNEER OOK AL WEER? : 1 e bankrekeningen geplunderd (1.5 M$) e keer meer dan 10M$ 1971: 1 e computervirus op ARPANET 1988: 1 e worm door Robert Morris jr. 1995: 1 e phishing aanval 1998: 1 e DDoS m.b.v. Floodnet van het EDT 1 e SCADA aanval in het nieuws (kolencentrale) 2005: 1 e hack van airconditioning systeem (computercentrum bank) 2006: 1 e keer sprake van nieuw type bedrijf: Cybercrime central (Odessa) 2008: 1 e? cybotage: oliepijpleiding opgeblazen 2010: 1 e? Geval van staatscybotage (Stuxnet) 2013: 1 e keer publiek: welk gerespecteerd land doet niet aan e-spionage? 1 e keer cyberspace meets space virus in het ISS Eric Luiijf 4

5 NIEUWE TECHNOLOGIE: VERGETEN WE DE OUDE GOOD PRACTICES? verdediging tegen Advanced Persistent Threat anno NIEUWE TECHNOLOGIE: VERGETEN WE DE OUDE GOOD PRACTICES? Rigoureuze controle op valide waarden alle input-velden Waarom hebben we tegenwoordig blindelings vertrouwen in alle input? Eric Luiijf 5

6 VEEL LESSEN GEÏDENTIFICEERD NIET GELEERD > 150 buffer overflows verwijderd uit operating system in 1978 ~ 40 jaar later zijn buffer overflows nog steeds good practice (CVE-2015-*) O ja Because of its size, the Operating System is also quite unreliable. We have about 1000 errors each release and this number seems to be reasonable constant OS/360; lines of code NATO Software Engineering rapport (1968) Android > 1.2 M coderegels hoeveel fouten? GEÏDENTIFICEERD NOOIT GELEERD U gaat naar Start cyber security = 0! weak applications e.g., SQL weak applications ~ 100% secure weak s/w weak s/w memory scavenging no passwords disk scavenging no passwords disk scavenging no passwords Stuxnet iwatch Tesla domotics 0% security Eric Luiijf 6

7 ICT VERSTOPT ZICH IN FUNCTIES WIE FAALT ER? VEERE, VEERE waar en waarom ging het fout? Onveilige ICT komt steeds meer in de handen van onbewust onbekwamen op papier verantwoordelijk geen bewustwording, geen opleiding, geen kennis Onveilige ICT komt steeds uit de handen van onbewust onbekwamen IRAM project (Uni Berlin) SHODAN SIEMENS S7 ICS Gehackte ICS: Gehackte ICS: - Vitale infra - Tropisch bad - Crematorium - Stallen - Windmolenenergiepark - Eric Luiijf 7

8 GEHELE KETEN ACTEERT ONBEWUST ONVEILIG NIEMAND eist een veilig systeem NIEMAND voelt enige beveiligingsverantwoordelijkheid U krijgt of levert DUS een onbeveiligde functie? De blackhatter krijgt DUS een leuk speeltje 15 GEÏDENTIFICEERD NOOIT GELEERD Sinds de jaren 60 dweilen met de kraan open fabriekswachtwoorden, zwakke protocolimplementaties, zwakke wachtwoorden, ongeteste s/w, buffer overflows, ECU A400M en dagen bug flight-by- new device detected low-cost-carriervoordelen onveilige ICS: schepen, olieplatformen en vitale infra en er komt zo nog meer Eric Luiijf 8

9 HEDEN EN TOEKOMST 18 PC ANNO 2004 (VOORUITBLIK IN 1954) Ease of use: - Teletype - Fortran Eric Luiijf 9

10 DIGITALE TV'S n* 100 miljoen Tv's beperkt aantal leveranciers krachtige processoren en internet-connected TV verwordt tot open multi-media gaming & service platform (bijv. Wyplay) voor hackers (en anderen) #1 FUNCTIONALITEIT #?? cyber security? Wie vraagt dat? #?? privacybescherming? Samsung luistert met u mee Uitdaging: patchen van n* 100 miljoen Tv's DOMOTICA& GEBOUWBEHEER Huis op afstand besturen, dan ook het bedrijf met smart apps voor verwarming, verlichting en de sloten #1 FUNCTIONALITEIT #?? cyber security? Wie vraagt dat? #?? privacybescherming Status gehackte airco s, NEST thermostaten, smart verlichting, 20 Eric Luiijf 10

11 GEZONDHEIDSZORG Functionaliteit medische apparatuur is ICT-gebaseerd Persoonlijke medische apparatuur We gaan naar continue patiëntmonitoring en onderling verbonden medische apparatuur (snelle terugkoppeling) #1 FUNCTIONALITEIT #?? cyber security #?? privacybescherming Gehackte insulinepompen, pacemakers, Kazaa in hartbewaking verkoeverruimte, FINANCIËLE SECTOR Betaalgemak voorop: geïnjecteerde chip; NFC; EVH als betaalmedium #1 FUNCTIONALITEIT #?? cyber security #?? privacybescherming #?? fysieke veiligheid persoon 22 Eric Luiijf 11

12 HACKER SVIEW: 4-WIEL CYBER DEVICE 24 DE SNELWEGHACKER SLOEG WEER TOE ecall per 2018! car-2-car road-2- car ANWB dongle dial-a-car bluetooth/wifi smart phone radio/dvd RMV radar navigatie locatie ABS multi-media airbags snelheidsmeter spiegels USB/MP3 stick parkeersysteem rain datum/tijd antidiestal stoelgebruik monteur airco lampen locks motormanagement achtersensor cruse/limiter gas & remm (ABS..) light sensor actieve vering laserafstand bandspanning (draadloos) snelheidsmeting tractie temperatuur Eric Luiijf 12

13 AUTO S Van onafhankelijke niet-gekoppelde open interfaces naar geïntegreerd platform autonoom rijden; op afstand wijzigbare performance auto uitgebreide ipad met vervoersfunctie #1 fysieke veiligheid inzittenden #2 FUNCTIONALITEIT #?? cyber security #?? privacybescherming Op afstand laten toeteren, stilzetten, deuren openen/afsluiten, niet laten laden SLIMME METERS Miljoenen meters van beperkt aantal leveranciers #1 is FUNCTIONALITEIT #2 privacyaspecten op afstand uitschakelen nutsvoorziening (mag niet van 1 e Kamer) Uitdaging field upgrades nodig levensduur van 25+ jaar grote uitvalgebieden indien switch-off functie Criminelen in VS bieden patches aan: halve tikken 26 Eric Luiijf 13

14 SMART APPLIANCES Slimme (af)wasmachines, koelkasten, ovens, stofzuigers, verlichting, verwarming, CO & brandmelding, Beperkt aantal niet-ict (!) leveranciers #1 is FUNCTIONALITEIT #?? cyber security Uitdagingen field upgrading hoe? (levensduur jaar) manipulatie van het smart (power) grid 27 MEERKOSTEN SMART APPLIANCE EN U WILT OOK NOG CYBER SECURITY? Eric Luiijf 14

15 ROBOTICA Assistentie voor patiënten, gehandicapten en ouderen #1 is VEILIGHEID #2 is FUNCTIONALITEIT #? cyber security Wie is (onbewust onveilig) verantwoordelijk? verpleegkundige of de T.D.? wie configureert robots en draadloos? wie is aansprakelijk? INTERNET OF THINGS(IOT) Cool gadgets met te kekke functies!!!! Imponeer uw vrienden!! #1 is FUN #2 is FUNCTIONALITEIT #? cyber security is NO FUN! 30 Eric Luiijf 15

16 D A Y Verwachte onveilige in lab in het wild point-of-sales Dexter malware pacemakers insulinepompen medische apparatuur (e.g. beademing) virus; Kazaa slim ondergoed; slimme pillen openbaar vervoer Oyster, OV-chip,.. in-car netwerken, sensoren & actuatoren CANBus Triple Tesla, 2.2 M BMW s, mini s, RR vlootmanagement trucks & auto s Google auto coöperatief rijden ADS-B vliegtuigen (2020) spoofing mogelijk verkeerslichtcamera 2.0 attractief CANbus - Wifi, LAN, 3G 31 D A Y REALITYCHECK Verwachte onveilige in lab in het wild mobile telecom HLR (via SS7) digital Tvs als zombies (open platform ) binnenkort in dit museum smart meters smart grids smart appliances (Z-Wave, )? smart appliances (witgoed, ) zonnepanelen windenergie Software Defined Radio = Zwitsers zakmes (zie: HackRF Jawbreaker $ MHz-6 GHz) 32 Eric Luiijf 16

17 D A Y Verwachte onveilige in lab in het wild printers/kopieermachines beveiligings- & alarmeringssystemen (KNX..) HITB 2013 airconditioning/hvac systemen gebouwbeheersystemen domotica (via apps)? (Shodan) clouds INTERNET-OF-THINGS. en meer Hoe onveilig is (IT in) Nederland? 33 ONZE WEERBAARHEID? Eric Luiijf 17

18 U! doet uw best en voert een risicoanalyse (statisch!) uit en treft maatregelen om het risico beheersbaar te maken Samenvattend 1. u start met een inherent onveilig systeem 2. pakt dit in met lagen beveiligingsmaatregelen 3. die nieuw zwakheden introduceren 4. en meer lagen {2.} eisen en PUNTOPLOSSINGEN EN BELOFTEN? keycards wetgeving governance VoG SOCextended3.0A EM veiligheid IDS IPS cryptografie hardening spread spectrum Eric Luiijf 18

19 WELKE VERZAMELING MAATREGELEN IS BETER? Cyber Security: een kunstvorm of een staaltje van engineering? ROBUUST? Eric Luiijf 19

20 LUCHTVAARTVEILIGHEID++ IN DEZELFDE PERIODE EN OVERHEDEN KIJKEN NAAR Klassieke telecom, ISP s en soms Diginotar s.. Wie is de nieuwe Facebook nu nog in de garage van pa? Wit- en bruingoed de nieuwe ICT-leveranciers? (Gorenje, June,..) Software APK voor auto s? Eric Luiijf 20

21 EEN UITWEG? ZOUDEN WE HET NIET EENS EEN KEER GOED GAAN DOEN? Doorbreek de onveiligheidscyclus! Eric Luiijf 21

22 OP WEG NAAR CYBER SECURITY 2.0 Analyse eerder falen lessons identified & root cause analyse CYBER SECURITY SCIENCE CYBER SECURITY ENGINEERING CYBER SECURITY EDUCATIE Zoek continu verbetering maar eerst de kraan dicht! 43 OP WEG NAAR CYBER SECURITY 2.0 Verenigde Staten DoD beleid onderkent noodzaak Cyber Security Science NSA initiatieven Cyber Security Science Verenigd Koninkrijk CGHQ stimuleert Science of Cyber Security Research Academic Centre of Excellence for Cyber Security Research samenwerken en concentreren CS researchkernen (o.a. Cambridge) Eric Luiijf 22

23 % ICT-VEILIG BESTAAT NIET, MAAR Blijven dweilen of leren van verleden? Onbewust onveilig en puntoplossingen? Naar CS 2.0: - Science of CS - Engineer - Onderwijs HOE VEILIG IS (IT IN) NEDERLAND? REPRISE Perceptie: veilig (nog steeds) Realiteit: onveiliger met de dag Nederland? EU-deel Koninkrijk der Nederlanden?, NL-sprekend, cyberspace! ICT blijft onveilig, tenzij wij het fundamenteel anders gaan aanpakken opleiden en bewustwording greep op gehele security life cycle en organisatie en op weg gaan naar cyber security 2.0 Eric Luiijf 23

24 BEDANKT VOOR UW AANDACHT VRAGEN? ACHTERGRONDLITERATUUR The Healthcare Internet of Things Maritime cybersecurity firm: 37% of Microsoft servers on ships vulnerable to hacking Stop talking in front of Samsung TV s FAA needs to address weaknesses in Air Traffic Control Systems 80% winkels zou via standaardwachtwoord gehackt worden Vulnerabilities of Hosperia Lifecare PCA3 and PCA5 infusion pump systems IoT Security Threat Map KNX poort 3671; multicast Building a national program for cybersecurity science, NSA, The Next Wave Vol 19 No.4 pp 8-36, 2012 Schneider, F. B., Blueprint for a Science of Cybersecurity, The Next Wave, Vol. 19, No.2 Kott, A., "Towards Fundamental Science of Cyber Security." in Network Science and Cybersecurity. Springer NY, Luiijf, H.A.M., McCallam, D. (2014), Setting the Scene: the Need for Cyber Security 2.0, NATO/STO-IST Eric Luiijf 24