Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Ubudne gjester i kontrollsystemet –konsekvenser for produksjon og driftssikkerhet
Martin Gilje Jaatun@seniorfrosk
En kort gjennomgang av industriell hacking gjennom historien
2
2010 (2007?)
Stuxnet
2014
Dragonfly
Blackenergy 3 Industroyer
2015 2016 2017 (2014?) 2020
TritonTriton/Trisis
Natanz FEP
Havex
@seniorfrosk
Det var lille julaften 2015:
Vi går fra dette…
3
Photo by Spoilt_Exile https://www.flickr.com/photos/spoilt_exile/35687151762/ CC BY-SA 2.0
En motiverende fortelling
Kiev
@seniorfrosk
2015: Ukraina – hva skjedde?
•BLACKENERGY 3 skadevare ble brukt for å få tilgang til
kontornettverket til Ukrainske nettselskaper
• Lurte seg inn via VPN-aksess til Distribution Management System
(DMS)
• Brukte DMS for å koble nettsasjoner fra nettet
•RTUer gjort til "dørstoppere " av ondartede oppdateringer
• "KillDisk"-funksjonalitet slettet Windows MMIer5
http://www.bbc.com/news/world-europe-26387353
https://dragos.com/blog/crashoverride/CrashOverride-01.pdf
@seniorfrosk
Konsekvens
•Uten tilgang til SCADA-infrastrukturen var evnen til
automatisk styring tapt for opp til et år enkelte steder
•225 000+ kunder uten strøm i 6 timer og mer• Ikke nødvendigvis moro i desember…
•Gjenopprettelse kun mulig med manuelle tiltak
6
@seniorfrosk
2016: Ukraina – så er det "påan igjen"
•Påvirket transmisjons-nettstasjonen Pivnichna i Kiev
•Strømbrudd i 1 time i deler av Kiev fra rett før
midnatt 17 desember
• "Liknende året før"…
•…men ny skadevare?
•Proof-of-concept?7
@seniorfrosk
Og skadevaren tar ingen ende…
8
@seniorfroskhttps://www.welivesecurity.com/2017/06/12/industroyer-biggest-threat-industrial-control-systems-since-stuxnet/
• IEC 60870-5-101• IEC 60870-5-104• IEC 61850• OPC Data Access (OPC DA)
Spokenhere!
• Siemens Simatic MMI tilgjengelig fra internet
• Passord på tre tegn …
11
South Houston, Texash
ttp
://e
n.w
ikip
edia
.org
/wik
i/Fi
le:S
73
00
.JP
G
(…) the default password for
Siemens SIMATIC is “100”. There are
three different services that are
exposed when Siemens SIMATIC is
installed; Web, VNC, and Telnet.
The default creds for the Web
interface is “Administrator:100”
and the VNC service only requires
the user enter the password of
“100” – B.K. Rios
@seniorfrosk
• Skyte spurv med
kanoner?
• Indikasjoner på at
løsepengevirus er i ferd
med å bli mer målrettet
Løsepengevirus
13 "Day 326 - West Midlands Police - Letter of the Law - 'B' for burglary" by West Midlands Police is licensed under CC BY-SA 2.0
@seniorfrosk
Den beste medisinen mot løsepengevirus
•Ta sikkerhetskopi!
•Verifiser
sikkerhetskopi!
• Ikke betal løsepenger!
Mikko Hyppönen, F-Secure
14"Mikko Hypponen" by Mikko Hypponen is licensed under CC BY 2.0
@seniorfrosk
NoMoreRansom
15
•Hvor vanskelig kan det egentlig være å lage et virus?
• Tydeligvis vanskelig nok – flere varianter har vist seg å være
"sekunda vare", og kan dekrypteres med gratis verktøy fra
NoMoreRansom-prosjetet
• Prosjektet ble startet i 2016 av Europol, nederlansk politi,
Kaspersky and McAfee• Nå støttet av flere politistyrker og leverandører av anti-skadevare verden rundt
https://www.nomoreransom.org/en/index.html
@seniorfrosk
Digitalisering gjør oss i stand til å gjøre mer med mindre
•… men gjør oss også mer sårbare for cyberangrep
•DU må bekymre deg for cybersikkerhet i din
infrastruktur
• Cybersikkerhet må bli en del av risikovurderinger
• Sikkerhet skal bygges inn, ikke ettermonteres
• "Luft-skillet" er sannsynligvis en luftspeiling…
16
Litt lys i slutten av tunellen
17
Ph
oto
by
Elis
abet
h F
oss
um
fro
m P
exel
s
18
[!] [!]
[!]
[!]
[!]
[!]
[!] [!]
[!]
[!]
[!]
: Prinsippet er fullt ut relevant for OT
[!]: Prinsippet er helt/delvis relevant for OT, men krever ytterligere tillempninger av enkelt-tiltak
: Prinsippet er ikke relevant for OT
@seniorfrosk
NIST CyberSecurity Framework
• Mye dekkes av grunnprinsippene… men:
• NIST CSF sier "gjør dette", NSM sier "ha en plan for dette"
• NIST "antar" at det finnes planer
• NSM sier fint lite om opplæring og sikkerhetsbevissthet
• NSM dekker bevisst ikke fysisk sikkerhet (har egen veileder)
• Også egen veileder på tjenesteutsetting
• Forskjell mellom "event" og "incident" – begge blir fort "hendelse" på
norsk
19
@seniorfrosk
I hvor stor grad dekker NSMs Grunnprinsipper NIST CSF?
20
• Grønt: Dekkes fullt ut
• Gult: Dekkes delvis
• Nytt tiltak foreslått (11)
• Ingen nye tiltak
• Rødt: Ikke dekket
• Nytt tiltak foreslått (21)
• Ingen nye tiltak
• Totalt 27 nye tiltak (med overlapp)
Technology for a better society
Spø
rsm
ål?
@seniorfrosk
https://infosec.sintef.no