6. IT Sikkerhed
Confidentiality (hemmeligholdelse)
Hemmeligheder skal holdes... hemmelige
Eksempel: CPR, kortnumre, personfølsomme oplysningerm ...
Smart Grid eksempel: (privat-)forbrug
Integrity (integritet)
Data skal være autentiske og m˚a kun ændres p˚a en autoriseret m˚ade
Eksempel: kontrolsoftware, “to underskrifter”
Smart Grid eksempel: forbrug
Availability (tilgængelighed)
Autoriserede brugere skal kunne tilg˚a deres data
Eksempel: Dankortterminaler, netbank, NemID, RejseKort, ...
Smart Grid eksempel: Kontrol-software/-systemer
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 3 / 16
7. IT-Sikkerhedsudfordringer i Smart Grids
Scenarie 1: Snyd eller uheld?
Individuel forbruger manipulerer (bevidst eller ved et tilfælde) sin egen
m˚aler, s˚a den underrapporterer det faktiske forbrug.
Scenarie 2: Markedsundersøgelse eller angreb?
Tredjepart indsamler detaljerede individuelle forbrugsmønstre for et større
villakvarter. Data videresælges til konkurrerende producent/distributør.
Scenarie 3: Terror eller happening?
“Hacktivist” udnytter en sikkerhedsbrist i sin m˚aler (fundet via Google) og
bruger den til at sprede en virus (fundet via Goggle) der slukker al lyset i
hele landsbyen i en time.
Scenarie 4: Realistisk?
Nationalstat bruger specialiseret “orm” til at infiltrere kontrolsoftwaren for
en stor vindmøllefarm... og ødelægger alle møllerne.
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 4 / 16
8. Sidespring: “Orm” og “Virus”?
Definition
En orm er et selvstændigt program der distribueres ved selvreplikering.
Eksempel
Den første kendte orm (November 1988): “Morris” ormen.
“Smart Meter Worm” (Mike Davis, BlackHat 2009); overtog 16.000
smart meters i simuleret angreb via WiFi.
Definition
En virus er en stump kode (i et værtsprogram) der ved udførsel (af
værtsprogrammet) replikerer sig selv og inficerer et nyt værtsprogram.
Malware
Ondsindet program, fx orm eller virus.
(Spear-)phishing, drive-by, ...
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 5 / 16
9. IT-Sikkerhedsudfordringer i Smart Grids
Mange interessenter
Forskellige/modsatrettede interesser
NISTIR 7628 identificerer syv domæner
Producent
Transmission
Distribution
Kunde/forbruger
Marked(er)
Drift
Serviceudbyder
“Interesseret tredjepart”: hackere, konkurrenter, kriminelle, ...
Mange forskellige systemer der skal koordineres/integreres
Angreb muligt p˚a mange niveauer
Heterogene systemer
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 6 / 16
10. IT-Sikkerhedsudfordringer i Smart Grids
Kritisk kommunikationsinfrastruktur
Kommunikation central i Smart Grid infrastruktur
Lukket (tr˚adløst) net vs. Internettet
Mange adgangspunkter
Smart meters hos forbrugere (= potentielle angribere)
Vanskeligt at sikre automatisk opdatering (patching)
Spionage & Sabotage
Kortlægning af infrastruktur
Lukning af hele eller dele af grid’et
Cyberterror/Cyberwar
IT-Sikkerhed er nyt pensum
IT-Sikkerhed relativt nyt i indlejrede systemer og ICS
“The Internet of Things”
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 7 / 16
11. Ikke kun Smart Grids
S˚arbar Infrastruktur og Industri
Vand- og varme-forsyning
Industriel produktion
Potentielt: transportinfrastruktur
Elektrificerede jernbaner
Digitaliserede signaler
Autonome biler
Fællestræk: SCADA
SCADA (Supervisory Control And Data Acquisition)
Industrial Control System (ICS)
Typisk til anlæg og processer i stor skala: infrastruktur og industriel
produktion
Mange komponenter: interface, monitor/kontrol, PLC’ere,
kommunikationsinfrastruktur, ...
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 8 / 16
12. Stuxnet: et vink med en vognstang
Scenarie 4: Realistisk?
Nationalstat bruger specialiseret “orm” til at infiltrere kontrolsoftwaren for
en stor vindmøllefarm... og ødelægger alle møllerne.
Juni 2010
En ukendt orm opdages af sikkerhedsfirmaet VirusBlokAda fra
Hviderusland p˚a en kundes computer. En række usædvanlige træk sætter
gang i et verdensomspændende opklaringsarbejde.
Usædvanlige træk
Delkomponenter underskrevet med to gyldige certifikater
Usædvanlig stor (ca. 500KB)
Fire zero day s˚arbarheder
Meget specifikt m˚al
Meget specifik skade
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 9 / 16
13. Sidespor: Zero-day? Payload?
Definition
En zero-day s˚arbarhed er en sikkerhedsbrist der angiveligt er i brug inden
den offentliggøres. En resource med stor værdi for angribere.
Definition
Payload: den kode (i malware) der skal ramme det endelige m˚al.
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 10 / 16
14. Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
Via USB nøgle el.lign.
Administratorrettigheder via zero-day
Gyldigt certifikat til undg˚aelse af antivirus/intrusion detection
Installation af root-kit
2 Scan og opdater
3 Angreb p˚a PLC (WinCC/Step 7)
4 Aflevering af “payload” (p˚a PLC)
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
15. Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
2 Scan og opdater
Bruges maskinen til PLC programmering? (Siemens Step7)
Infektion af kørende Step7 process
Infektion af alle Step7 projektfiler
Ændring sørger for at Stuxnet modul køres
Adgang til Internet?
Eventuelle opdateringer og/eller nye instrukser downloades
To kendte Command and Control servere (en i Danmark)
Videre spredning (via LAN, USB, Step7, ...)
3 Angreb p˚a PLC (WinCC/Step 7)
4 Aflevering af “payload” (p˚a PLC)
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
16. Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
2 Scan og opdater
3 Angreb p˚a PLC (WinCC/Step 7)
Stuxnet overv˚ager kommunikation mellem kontrolsoftware og PLC
Indsætter egne kodeblokke
Skjuler ændringer og atypisk/unormal opførsel
4 Aflevering af “payload” (p˚a PLC)
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
17. Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
2 Scan og opdater
3 Angreb p˚a PLC (WinCC/Step 7)
4 Aflevering af “payload” (p˚a PLC)
Undersøger om PLC’en kontrollerer en centrifuge
Undersøger frekvensen (mellem 807–1210 Hz)
Ændrer frekvensen til 1402Hz, til 2Hz, til 1064Hz og gentager
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
18. Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
2 Scan og opdater
3 Angreb p˚a PLC (WinCC/Step 7)
4 Aflevering af “payload” (p˚a PLC)
M˚alet? Angriber?
Formentlig rettet mod centrifuger brugt til at fremstille beriget uran
p˚a anlæg i Natanz, Iran.
Formentlig en (eller flere) nationalstat(er), grundet anvendte
resourcer og kompleksitet
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
19. Hvorfor er (IT-)sikkerhed s˚a svært?
Høj grad af asymmetri
Angribere behøver kun een succes
Potentielt mange angribere
Billige angreb; dyrt forsvar
I software: sm˚a fejl, (uforholdsmæssigt) store konsekvenser
Svært at undg˚a fejl i software (generelt)
Een fejl pr. 1000 (2000? 5000?) linier kode
Mac OSX (2006): 86.000.000 linier kode
Windows Server 2003: 50.000.000 linier kode
Linux (kerne version 3.6): 16.000.000 linier kode
Linux Debian Distribution 204.000.000 linier kode(!)
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 12 / 16
20. Hvorfor er (IT-)sikkerhed s˚a svært?
Vanetænkning (“Den Digitale Maginot-linie”)
“Det er bare teenagere med for megen tid”
“Der er ingen hackere der er interesserede i os”
“Vi kan altid tilføje sikkerhed senere”
“Vi bruger (vores egen) krypto”
“Vi har tre firewalls og to anti-virus programmer”
“Vi bruger specialiseret hardware som ingen kender”
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 13 / 16
21. Løsninger (AAU)?
Formelle metoder under design og udvikling
Model checking
Kan bruges løbende under design og udvikling
Kan garantere mod mange former for angreb
Har længe været anvendt til sikkerhed og sikkerhed
Ulempe: ikke fuldt automatisk, modellen skal genereres
Statisk programanalyse
Fuldautomatisk analyse af programkoden
Mest nyttigt i udviklingsfasen
Har længe været anvedt til sikkerhed og sikkerhed
Ulemper: ikke nemt at bruge i designfasen, falske positiver
Netværkssikkerhed
Intrusion-detection p˚a SCADA netværk (Ramin Sadre/AAU)
Trafikken p˚a SCADA netværket overv˚ages og analyseres
“Klassisk” netværkssikkerhed p˚a SCADA netværk
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 14 / 16
22. Løsninger?
Den største trussel mod IT-sikkerhed?
Mennesker...
(TREsPASS: EU projekt, modellering af menneskelig opførsel og sikkerhed)
Overordnet ledelse/organisation
Tag truslen seriøst
Lav (løbende) trussels- og risiko-vurderinger
Invester i sikkerhed (fx uddannelse, konsulenthjælp, ...)
Gør sikkerhed (og ansvar) synligt
Tænk sikkerhed ind fra starten (for alle interessenter)
Hav et beredskab parat til n˚ar det g˚ar galt
Citat
“Sikkerhed er en proces, ikke et produkt” (Bruce Schneier)
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 15 / 16
23. Ross Anderson: “Security Engineering”
Meget omfattende (800+ sider), men let læst
Frit tilgængelig: http://www.cl.cam.ac.uk/~rja14/book.html
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 16 / 16