CYBERSECURITY Een introductie 1 Even voorstellen... Rob Hulsebos, 1961 HTS Informatika, 1986 Werkzaam in embedded sw / realtime / machinebouw regio Eindhoven (Philips, ASML, Assembléon, Delem) Expertisegebied: industriële netwerken Freelance auteur over alles rondom industriële netwerken (o.a. vakblad Automatie) Freelance docent (Mikrocentrum) Industriële netwerken, v.a. 1999 Profibus, v.a. 2000 Industrieel + Wireless Ethernet, v.a. 2001 Consultancy, www.enodenetworks.com 2 1
INHOUD Security, een fascinerend vak Stuxnet en industriële hacks Waarin industriële IT verschilt van de gewone IT Wat kunnen we doen? Wat tips (ook goed voor thuis) 3 WAT KRIJGT U NIET / EN WAT WEL Geen compleet beveiligingsplan Geen hacks Wél: awareness Wél tips Hackers zijn niet slim wij zijn wel een beetje dom 4 2
BEVEILIGING (?) 5 Max Cornelisse filmpjes (Youtube) FILMPJE Is dit echt? Zou het kunnen? 6 3
ER GEBEURT VEEL... 7 SAB MILLER VOORBEELD Bierbrouwer krijgt Conficker virus binnen Chief Security Officer zegt: Kan productkwaliteit niet meer garanderen Legt complete plant stil... 8 4
WAAROM IS HET ZO LASTIG Overal zit software in Alles hangt aan een netwerk ALLES WAT JE IN DE IT TEGENKOMT...... KOM JE TEGEN IN CYBERSECURITY Dat zijn dus bijvoorbeeld: Operating systemen (Window, MacOS, Android,...) Applicaties, engineering software, beheer, logistiek Databases, servers, SQL,... Websites, content management, providers, email,... Beheerssystemen, programmeerpakket, tools,... Protocollen, infrastructuurcomponenten, cloud, wireless,... Randapparatuur, printers, fileservers, NAS, gateways,... Programmeertalen, scripts, compilers,... Open source, closed source,... USB devices,...... 9 INTERESSANTE JAREN... Vorige voorbeelden: zakelijke + consumentenmarkt Stuxnet was dé verrassing van 2010 Eerste speciaal gemaakte industriële virus Opeens véél focus op industriële cybersecurity In Nederland meer dan 150 besmettingen Sinds Stuxnet véél meer aandacht voor industriële IT Vanuit de hacker scene Vanuit overheid Vanuit de industrie zelf 10 5
EN DAARNA... Nóg meer Stuxnet 35 SCADA leaks Nog meer SCADA leaks... Nog 600 lekken... Dit jaar al weer 90! Bron: ics-cert.us-cert.gov/advisories 11 STRESS: WATERPOMP GEHACKT Volgorde van gebeurtenissen: Waterpomp in Illinois (VS) kapot Netwerk log: toegang tot systeem vanuit Rusland Conclusie: hackers hebben het gemunt op watervoorziening! Commotie alom DHS, FBI, staatspolitie, experts, etc. Wired.com 12 6
TOEN SPRONGEN WE HIER OP TILT Vorige week... o ja, toen was het hier zo koud... 13 FILMPJE 14 7
HACKEN IN HET GROOT... 15 NIET DE EERSTE DE BESTEN 16 8
FILMPJE Is dit echt? Zou het kunnen? 17 DE SLIMME METER: PRIVACY? Slimme energiemeter geeft via GSM of 230-net meterstand door aan leverancier Is het erg als iemand anders dat ook leest? De buren? De leverancier? De overheid? ( veel stroom voor een gezin... wietplantage? ) Criminelen? ( weinig stroomverbruik, ze zijn niet thuis ) 18 9
DE SLIMME METER (2) Dan lezen we: Dus ook control mogelijk Dus dit gaat verder dan privacy issues 19 BEDRIJFSSPIONAGE Datastofzuigers: Operatie Aurora oliesector Night Dragon energiebedrijven Dorifel iedereen Financiele info, broncodes, CAD,... 20 10
AFPERSING Computer blokkeren Bestanden encrypten Eigenaar bang maken Na betaling vrijgave (PC kan ook opgeschoond worden) 21 DENIAL OF SERVICE Overbelasten van website Genereren van zéér veel netwerkverkeer Via losse tools Via een botnet met zombies 22 11
COMPUTERCRIMINALITEIT IS... Ongeautoriseerde toegang Kopieren van vertrouwelijke gegevens Ongeautoriseerd wissen / aanpassen van data Ongeautoriseerde shutdown Fysieke beschadiging van apparatuur Transmissie van virussen of spam Fraude / identiteitsdiefstal Denial of service ( DOS ) aanval Bedrijfsspionage (documenten, broncode) Cyber oorlogsvoering 23 VERSCHILLEN IN HACKERS 24 12
BEDRIJFSMODEL CITADEL Open-source broncode Regelmatig nieuwe release (nu 1.3.5) Remote support via helpdesk Software op maat (bouwdoos) voor $3391 Updates voor $395 per jaar Actueel voor 35 virusscanners Huren van (beschermde) servers Alleen voor geselecteerde klanten Wat is dit? Bedrijfsmodel van Russische hackers voor het Pobelka virus, dat in NL en D toesloeg 25 STRAFBAARHEID 26 13
WAT IS EEN VIRUS? Een computerprogramma, alleen met wat speciale functionaliteit Hoe verplaatst het zich? Via een LAN / internet / Wifi Maar ook: via USB (vroeger floppy, cdrom) Hoe komt het op dat andere systeem? Via (toestemming tot) installatie Door het te laten opstarten (bv na klikken) E.e.a. gebruik maken van fouten in (systeem)sw Hoe brengt het schade toe? Door toegang te krijgen tot kritieke onderdelen E.e.a. gebruik maken van fouten in (systeem)sw 27 STUXNET 28 14
EEN WAKEUP CALL Virussen zijn er in overvloed En we hebben er ook last van Maar het was collateral damage Stuxnet eerste echte industriële virus 29 STUXNET TIJDSLIJN Juni 2010 Ontdekking Augustus Eerste publiciteit November Doel duidelijk van 1e helft virus Januari 2011 Doel duidelijk van 2e helft virus In Nederland meer dan 150 besmettingen gedetecteerd 30 15
WAT HET DOET Stuxnet is in de eerste plaats een gewoon virus, dat zich installeert op PC s en zich ook verspreidt Maakt gebruik van 4 achterdeurtjes in Windows Zoekt dan Siemens PLC programma database Step7 Komt binnen via hard-coded, uitgelekt wachtwoord Zoekt dan naar 1 specifiek PLC programma Modificeert dit PLC-programma: voegt eigen code toe PLC-programma wordt op PLC geladen (en cloakt zichzelf) Wisselt op bepaalde momenten toerentallen van 1200 motoren die met 72000 rpm draaien Welke fabriek heeft zo n configuratie? 31 WAT HET DOET (2) Uraniumverrijkingsfabriek Bushehr / Natanz (net zoals bij Urenco in Almelo) Ultracentrifuges (ca.1200) Toerental ca. 70 KRPM Omtreksnelheid > 1000 km/h Acceleratie > 1 MG Toerentalsturing via 6 Siemens PLC s 36 Profibussen 1200 frequentieomvormers motoren 32 16
WIE MAAKTE STUXNET? Wie wil dat Iran geen uranium verrijkt? Heel veel speculaties: Israël / de Mossad De VS / CIA De Russen (die de apparatuur verkochten) Een hele boze ex-employee Een Franse concurrent van Siemens Greenpeace... Omvang + complexiteit van Stuxnet suggereert partij met veel geld en veel kennis Vier jaar later is er nog steeds discussie en onderzoek naar wie er achter zit 33 LEESVOER Sinds eergisteren boek over Stuxnet: 34 17
CONSEQUENTIE VAN STUXNET Gaat het gekopieerd worden? Deel broncode op internet Opeens veel aandacht vanuit hack scene voor industriële automatisering Zwakke beveiliging industriële IT Achterlopende softwaretechniek industrie Geen sense of urgency om probleem op te lossen 35 VÉÉL AANDACHT OPEENS 36 18
SOFTWARE FOUTEN Waarom kan malware werken? We bespreken nu één mogelijke oorzaak. 37 WAT GAAT ER FOUT Italiaanse onderzoeker Luigi Auriemma aan de slag 34 (!) lekken in 7 soorten SCADA-systemen Gemiddeld maar 2 dagen per systeem nodig (!) Zonder voorkennis of ervaring op dit gebied 38 19
INTERMEZZO: WAT IS SCADA? De gewone betekenis: Supervisory Control & Data Acquisition Software voor het hoogste niveau in een industriële toepassing Voor een hacker: alles wat industrieel is (dus geen bank, kantoor, bedrijf, consument, etc). 39 OORZAAK VAN DEZE LEKKEN? Bug # A B C D 1 Geheugen beheer Geen check op file I/O 2 3 Geheugen corruptie Integer 4 5 Geen check op file I/O 6 NULL pointer Printf bug Integer 7 8 40 20
DE MITRE TOP-25 Auriemma heeft de fouten geanalyseerd Ik heb dit weer gekoppeld aan de MITRE Top -25 41 NUMMER 3 UIT DE TOP-25 IS... Nr #1 en 2 uit de top-25 zijn database + OS gerelateerd (nu verder niet relevant) Maar # 3: 42 21
SCORE VOLGENS MITRE TOP-25... Bug # 1 2 3 4 5 6 7 8 A Geheugen corruptie Geen check op file I/O NULL pointer 3 7 14 3 8 B Geheugen beheer Integer 15 7 17 7 7 7 7 7 7 7 C Geen check op file I/O Printf bug 3 3 3 D Integer 3 3 3 12 7-17 7 7 7 3 5 3 3 3 3 43 EÉN MILJOEN INDUSTRIËLE SYSTEMEN Deze vier professionele softwarepakketten... die ca. 1 miljoen industriële systemen besturen... zijn door de eerste de beste onderzoeker binnen 2 dagen te kraken... dankzij 1ste jaars-programmeur bugs Dit zegt iets over de methodes van software ontwikkeling Op deze manier is de cybersecurity-wereld altijd te laat! 44 22
LET OP! Dit was slechts één manier om fouten in software en systemen te maken die door virussen e.d. misbruikt kunnen worden Er zijn er nog véél meer (uiteraard), bijvoorbeeld: van input Wat gebeurt er tijdens e-bankieren als je een negatief bedrag overmaakt? 45 DUS... Beter zou zijn: intrinsiek veilige software vanaf dag #1 Proactief ipv. reactief: Bewustwording bij gebruikers / klanten Bewustworking bij ontwikkelaars Opleiding software-ontwikkelaars / architecten Controle-tools In review processen opnemen Testen... Dit begint nu langzaam door te dringen 46 23
PAUZE 47 BEWUST- WORDING 48 24
TOTDAT ALLE SOFTWARE VEILIG IS... Beschermingsmaatregelen zijn nodig, of niet? Bewustwording is nodig, want... Mijn systeem hangt niet aan internet Ik ben niet interessant voor hackers Cybersecurity is duur, en brengt niets op Gebruikersgedrag is fout (onderzoek Idaho National Laboratory) 20% stopt een op straat gevonden USB-stick zó in de PC 22% klikt op een leuke link in een ontvangen email 40% geeft over de telefoon zomaar wachtwoorden weg (of doet wat de ander opdraagt) 49 1. IK HANG NIET AAN INTERNET Veel gehoorde redenatie...... om niets aan cybersecurity te doen Maar toch is er vaak een koppeling waarmee bestanden kunnen binnenkomen Denk aan: Wordt er gebruik gemaakt van onbeveiligd WiFi? Worden USB-sticks gebruikt? (of andere datadragers zoals CD s, floppies...) Komen er leveranciers met servicelaptops? Worden complete subsystemen ingekocht?... 50 25
IK HANG NIET AAN INTERNET Virussen kunnen zich ook via datadragers verspreiden (bv USB) Ook via mobieltje! Wie gebruikt deze? Dezelfde ook thuis? Kinderen ook op die PC? Je krijgt er een via de post / op een beurs, wat dan? 51 VOORBEELD 52 26
2. HACKERS VINDEN MIJ NIET 53 BIJ ONS IS ALLES BETER (?) 54 27
NIET BIJ MIJ IN DE BUURT... 55 3. NIEMAND HEEFT INTERESSE IN MIJ 56 28
4. IK HEB EEN GOED WACHTWOORD 57 WACHTWOORDEN...? 58 29
5. IK KLIK NIET OP VERDACHTE MAILS Mail van collega / medestudent Iets over je favoriete hobby (dat kan hij alleen weten) KLIK! Zoek iemand bij te hacken organisatie Zoek naar hobbies Componeer email met virus eraan Zoek naam collega Stuur email met virus vanaf gehackte PC elders Geduld... 59 NOOIT ZOMAAR ERGENS OP KLIKKEN 60 30
6. TE GOED VAN VERTROUWEN ZIJN 61 7. MAAR IK HEB ANTIVIRUS! 62 31
8. SYSTEEMBEHEER WEET HET WEL 63 DOCH WE HEBBEN TOCH OOK NOG... Antivirus-programma s op de PC Intrusion detection systems (IDS) Bedrijfspolicy rondom cybersecurity Gebruik van admin rechten, wachtwoord policy, vertrekkende medewerkers, inhuur, backups, recoveryplannen, quarantaine procedures,... Firewalls, datadiodes,... Email filters Speciale IT-afdeling USB-poorten afgedicht, CDROM/DVD-spelers weggehaald... 64 32
OFFICE IT INDUSTRIELE IT Andere apparatuur (PLC s, DCS, embedded, Scada,...) Ander soort gebruikers Beheer ook vaak door gebruikers zelf Lange levensduur systemen (10... 20 jaar) Productie heeft 1ste prioriteit Patches installeren: misschien 1x per jaar tijdens productiestop (indien al gedaan...) Cybersecurity speelt geen rol in aanschaf / beheer Geen contacten met buitenwereld / leveranciers Waarom belangrijk? Het ging nooit fout!... 65 TOENEMENDE ZWAKTE Eerste generate industriële netwerken waren niet of nauwelijks kwetsbaar Geen koppelingen naar buiten Geen gebruik van TCP/IP Onbekende protocollen voor hackers Protocollen te eenvoudig Opkomst industrieel Ethernet Meer koppelingsmogelijkheden naar rest bedrijf Zelfde protocollen (TCP/IP & friends) Standaard integratie in Windows / MACs / Linux Ethernet + TCP/IP zelf out of the box erg open (vb. Microsoft DCOM OPC!) 66 33
TOENEMENDE ZWAKTE (2) Opkomst gebruik draadloze netwerken WiFi (vooral slecht beveiligde) (nieuwe) sensornetwerken a la WHart, ISA-100,... Andere trends Meer remote diagnose gewenst (achterdeur altijd dicht? zeker weten??????) Meer mobiele devices aanwezig (smartphones, tablets,... ) Nieuwe operating systemen op deze devices (lessons learned afgelopen decennia? 0) 67 WIJ LOPEN ACHTER Industriële apparatuur is cybertechnisch van slechtere kwaliteit Hackers weten dit inmiddels Explosie in aantallen hacks: Uit rapport van: Positive Technologies 2012 68 34
MEER INTERESSE IN INDUSTRIE Project Basecamp DigitalBond (VS) Vijf onderzoekers die op systematische wijze industriële besturingen onderzoeken en dit publiceren Resultaten 2012: (Niet alles is openbaar gemaakt) 69 WIE GOOIT JE SYSTEEM PLAT? Hackers van buitenaf (38% van incidenten) Sabotage door boze (ex-)employees 31% Stommiteiten, door eigen personeel 31% 70 35
IS MEN BEWUST VAN DE RISICO S? 71 NU WIJ 72 36
WIE WIL CYBERSECURIY? Cybersecurity is nu niet formeel afgedwongen (hooguit indirect) Niet (rechtstreeks) door de wetgever (regel het zelf!) Niet tijdens ontwikkeling van producten Niet door de koper (het kost maar geld!) Niet door de eindgebruiker (productie eerst!) Dit moet (zal) veranderen: Overal zit software in tegenwoordig Overheid is steeds meer aanwezig (beginnend bij beveiliging van nationale infrastructuur) Grote bedrijven (bv. Shell) stellen al steeds zwaardere eisen aan toeleveranciers: auditing van productontwikkeling, kennisniveau van personeel 73 TWEE INDUSTRIËLE STANDAARDEN WIB (International Instrument User s Association, NL) Werkgroep met gebruikers procesindustrie Praktisch bruikbare standaard opgezet Gebaseerd op al bestaande standaarden Grote haast, snel aan de slag er mee! Vrij verkrijgbaar via www.wib.nl ISA-99 / IEC 62443 (International Society for Automation, VS) Standaard speciaal voor manufacturing & control systems security 74 37
PLAN VOLGENS IEC 62443 75 RISICO ANALYSE Wat is de kans op een hack? Wat gebeurt er dan? Wat is er voor leuks te doen met al die apparatuur? Wat zijn de consequenties? Wat kost het? (geld, reputatie, slachtoffers,...) 76 38
ANALYSE HOE KOMEN ZE BINNEN? Internet Infected Remote Support USB Devices Kantoor LAN Fabrieks LAN Mis-Configured Firewalls Infected Laptops Unauthorized Connections Modems USB Devices Fieldbus External PLC Networks 77 ZOEK DE ZON(ES) OP 78 39
BEPAAL CONDUITS 79 WAT TE DOEN... Gegeven het grote aantal foutbronnen, is één beschermingsmaatregel niet genoeg Defense in Depth is nodig Meerdere technische maatregelen Procedurele maatregelen Menselijke maatregelen (!) Defense 1 (faalt) Defense 2 80 40
CONTINUE PROCES Een cyberveilig systeem vandaag... is het morgen niet meer Software veroudert Hoe? Niet uit zichzelf, maar door continue onderzoek Onbekende zwaktes worden gevonden, en dan mogelijk misbruikt Updates van software kunnen een achteruitgang zijn! Haasje-over ; continue aandacht nodig Zowel van gebruikers als van leveranciers Dus maandelijks patchen bijvoorbeeld! 81 WIE MAAKT GOEDE SOFTWARE? Microsoft? Windows 108 security updates in 12 maanden XP in totaal 453 gedurende levensduur Apple dan? MacOS 118 security updates in 12 maanden 197 fixes in ios6 (iphone + ipad) Google (Chrome browser) toch wel? Totaal 303 security updates in 12 maanden Firefox (browser) Totaal 103 security updates in 12 maanden Tot 2013 cumulatief: 413 82 41
PATCHEN IS NODIG! Bijblijven met actuele software is een zéér effectieve maatregel om zoveel mogelijk malware buiten de deur te houden Doch: tijdrovende bezigheid 83 CONCLUSIES 84 42
HOLLYWOOD EN DE REALITEIT 85 EVEN ONTZENUWEN... Hacken klinkt vaak erg high-tech, maar is het veelal dus niet Wat is het vaak wel? Misbruik maken van: Gebruikers ( social eng. ) Oude software Foute configuraties... EO programma Ingang Oost UMC, 12/04/12 Werp in elk geval deze eenvoudige maar effectieve eerste drempel op! 86 43
HACKERS ZIJN NIET SLIM WIJ ZIJN DOM 87 HACKEN IS NIET DUUR PineApple hacktool ($99) Simuleert naam van thuisnetwerk Keurt elk wachtwoord goed (jouw device stuurt het zelf op!) Krijgt daarna alle WiFi-verkeer binnen en kan het ook nog decoderen 88 44
DENK OOK AAN DE RECOVERY Het staat vast: je wordt gehackt! of bent het al Hoe wordt de schade opgeruimd? Schone installatie van software (media bewaard?) Licenties (waar opgeslagen?) Applicatiesoftware (media bewaard?) Gebruikersdata (backup!) 89 WAT KOMT OP ONS AF? Het Internet der Dingen (IoT) Massale koppeling van kleine apparatuur aan internet, zoals: Thermostaat, slimme meter, auto, TV, insulinepomp, koelkast, mediaplayer, router, printer, tablets,... Nog meer slecht-beveiligde software bij diegenen thuis die van cybersecurity niets weten en het ook niet boeit 90 45
WAT KOMT OP ONS AF (2) 91 WAT IS NU TE DOEN? Bewustwording Als consument Als klant Als leverancier Inleren / bijblijven Niets doen is geen optie meer Niet kicken op techniek Mensen maken de fouten! 92 46
VRAGEN? (of later) r.hulsebos@onsnet.nu 93 47