Ubudne gjester i kontrollsystemet –konsekvenser for produksjon og driftssikkerhet

Martin Gilje Jaatun@seniorfrosk

En kort gjennomgang av industriell hacking gjennom historien

2

2010 (2007?)

Stuxnet

2014

Dragonfly

Blackenergy 3 Industroyer

2015 2016 2017 (2014?) 2020

TritonTriton/Trisis

Natanz FEP

Havex

@seniorfrosk

Det var lille julaften 2015:

Vi går fra dette…

3

Photo by Spoilt_Exile https://www.flickr.com/photos/spoilt_exile/35687151762/ CC BY-SA 2.0

En motiverende fortelling

Kiev

@seniorfrosk

…til dette

4

@seniorfrosk

2015: Ukraina – hva skjedde?

•BLACKENERGY 3 skadevare ble brukt for å få tilgang til

kontornettverket til Ukrainske nettselskaper

• Lurte seg inn via VPN-aksess til Distribution Management System

(DMS)

• Brukte DMS for å koble nettsasjoner fra nettet

•RTUer gjort til "dørstoppere " av ondartede oppdateringer

• "KillDisk"-funksjonalitet slettet Windows MMIer5

http://www.bbc.com/news/world-europe-26387353

https://dragos.com/blog/crashoverride/CrashOverride-01.pdf

@seniorfrosk

Konsekvens

•Uten tilgang til SCADA-infrastrukturen var evnen til

automatisk styring tapt for opp til et år enkelte steder

•225 000+ kunder uten strøm i 6 timer og mer• Ikke nødvendigvis moro i desember…

•Gjenopprettelse kun mulig med manuelle tiltak

6

@seniorfrosk

2016: Ukraina – så er det "påan igjen"

•Påvirket transmisjons-nettstasjonen Pivnichna i Kiev

•Strømbrudd i 1 time i deler av Kiev fra rett før

midnatt 17 desember

• "Liknende året før"…

•…men ny skadevare?

•Proof-of-concept?7

@seniorfrosk

Og skadevaren tar ingen ende…

8

@seniorfroskhttps://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/

• IEC 60870-5-101• IEC 60870-5-104• IEC 61850• OPC Data Access (OPC DA)

Spokenhere!

9

http

://i41

.tinyp

ic.com

/ip0

aa0.p

ng

@seniorfrosk

10

Google Maps for Fun and Profit

• Siemens Simatic MMI tilgjengelig fra internet

• Passord på tre tegn …

11

South Houston, Texash

ttp

://e

n.w

ikip

edia

.org

/wik

i/Fi

le:S

73

00

.JP

G

(…) the default password for

Siemens SIMATIC is “100”. There are

three different services that are

exposed when Siemens SIMATIC is

installed; Web, VNC, and Telnet.

The default creds for the Web

interface is “Administrator:100”

and the VNC service only requires

the user enter the password of

“100” – B.K. Rios

@seniorfrosk

@seniorfrosk

Hvor vanskelig er det å finne en Simatic PLS?

12

• Skyte spurv med

kanoner?

• Indikasjoner på at

løsepengevirus er i ferd

med å bli mer målrettet

Løsepengevirus

13 "Day 326 - West Midlands Police - Letter of the Law - 'B' for burglary" by West Midlands Police is licensed under CC BY-SA 2.0

@seniorfrosk

Den beste medisinen mot løsepengevirus

•Ta sikkerhetskopi!

•Verifiser

sikkerhetskopi!

• Ikke betal løsepenger!

Mikko Hyppönen, F-Secure

14"Mikko Hypponen" by Mikko Hypponen is licensed under CC BY 2.0

@seniorfrosk

NoMoreRansom

15

•Hvor vanskelig kan det egentlig være å lage et virus?

• Tydeligvis vanskelig nok – flere varianter har vist seg å være

"sekunda vare", og kan dekrypteres med gratis verktøy fra

NoMoreRansom-prosjetet

• Prosjektet ble startet i 2016 av Europol, nederlansk politi,

Kaspersky and McAfee• Nå støttet av flere politistyrker og leverandører av anti-skadevare verden rundt

https://www.nomoreransom.org/en/index.html

@seniorfrosk

Digitalisering gjør oss i stand til å gjøre mer med mindre

•… men gjør oss også mer sårbare for cyberangrep

•DU må bekymre deg for cybersikkerhet i din

infrastruktur

• Cybersikkerhet må bli en del av risikovurderinger

• Sikkerhet skal bygges inn, ikke ettermonteres

• "Luft-skillet" er sannsynligvis en luftspeiling…

16

Litt lys i slutten av tunellen

17

Ph

oto

by

Elis

abet

h F

oss

um

fro

m P

exel

s

18

[!] [!]

[!]

[!]

[!]

[!]

[!] [!]

[!]

[!]

[!]

: Prinsippet er fullt ut relevant for OT

[!]: Prinsippet er helt/delvis relevant for OT, men krever ytterligere tillempninger av enkelt-tiltak

: Prinsippet er ikke relevant for OT

@seniorfrosk

NIST CyberSecurity Framework

• Mye dekkes av grunnprinsippene… men:

• NIST CSF sier "gjør dette", NSM sier "ha en plan for dette"

• NIST "antar" at det finnes planer

• NSM sier fint lite om opplæring og sikkerhetsbevissthet

• NSM dekker bevisst ikke fysisk sikkerhet (har egen veileder)

• Også egen veileder på tjenesteutsetting

• Forskjell mellom "event" og "incident" – begge blir fort "hendelse" på

norsk

19

@seniorfrosk

I hvor stor grad dekker NSMs Grunnprinsipper NIST CSF?

20

• Grønt: Dekkes fullt ut

• Gult: Dekkes delvis

• Nytt tiltak foreslått (11)

• Ingen nye tiltak

• Rødt: Ikke dekket

• Nytt tiltak foreslått (21)

• Ingen nye tiltak

• Totalt 27 nye tiltak (med overlapp)

Technology for a better society

Spø

rsm

ål?

@seniorfrosk

https://infosec.sintef.no