View
314
Download
1
Embed Size (px)
DESCRIPTION
Oplægget blev holdt ved eftermiddagsmødet "Fungerer Smart Grid i den virkelige verden?", der blev afholdt af InfinIT og IDA den 26. september 2013.
Citation preview
Smart Grids og IT-Sikkerhed
Rene Rydhof Hansen & Kim Guldstrand Larsen
Institut for Datalogi, Aalborg Universitet
IDA, 26 SEP 2013
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 1 / 16
IT Sikkerhed?
Auditability, accountability, confidentiality, non-interference, delimitedrelease, non-repudiability, authentication, assurance, trusted computingbase, non-malleability, intrusion detection, intrusion prevention,tamper-proof, tamper evident, robust declassification, anonymity, privacy,fail-stop, fail-safe, access control, Biba, trust management, non-disclosure,intransitive non-interference, Bell-LaPadula, tranquility, insider,decentralised label model, secure information flow, cryptographic mix nets,onion router, eternity service, selective dependency, erasure policies,principle of least privilege, sandboxing, penetration test, trusted path,separation of duty, integrity, cryptography, hash function, key exchangeprotocol, Diffie-Hellman, steganography, tempest, side channel attack,man in the middle, biometrics, red/black networks, firewall, polymorphicvirus, worm, denial of service, buffer overflow, privilege escalation,one-time pad, stream cipher, reference monitor, Feistel network, differentialpower analysis, Dolev/Yao attacker, time of check to time of use,Common Criteria, rainbow series, VPN, availability, stack inspection, . . .
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 2 / 16
IT Sikkerhed?
Auditability, accountability, confidentiality, non-interference, delimitedrelease, non-repudiability, authentication, assurance, trusted computingbase, non-malleability, intrusion detection, intrusion prevention,tamper-proof, tamper evident, robust declassification, anonymity, privacy,fail-stop, fail-safe, access control, Biba, trust management, non-disclosure,intransitive non-interference, Bell-LaPadula, tranquility, insider,decentralised label model, secure information flow, cryptographic mix nets,onion router, eternity service, selective dependency, erasure policies,principle of least privilege, sandboxing, penetration test, trusted path,separation of duty, integrity, cryptography, hash function, key exchangeprotocol, Diffie-Hellman, steganography, tempest, side channel attack,man in the middle, biometrics, red/black networks, firewall, polymorphicvirus, worm, denial of service, buffer overflow, privilege escalation,one-time pad, stream cipher, reference monitor, Feistel network, differentialpower analysis, Dolev/Yao attacker, time of check to time of use,Common Criteria, rainbow series, VPN, availability, stack inspection, . . .
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 2 / 16
IT Sikkerhed?
Auditability, accountability, confidentiality, non-interference, delimitedrelease, non-repudiability, authentication, assurance, trusted computingbase, non-malleability, intrusion detection, intrusion prevention,tamper-proof, tamper evident, robust declassification, anonymity, privacy,fail-stop, fail-safe, access control, Biba, trust management, non-disclosure,intransitive non-interference, Bell-LaPadula, tranquility, insider,decentralised label model, secure information flow, cryptographic mix nets,onion router, eternity service, selective dependency, erasure policies,principle of least privilege, sandboxing, penetration test, trusted path,separation of duty, integrity, cryptography, hash function, key exchangeprotocol, Diffie-Hellman, steganography, tempest, side channel attack,man in the middle, biometrics, red/black networks, firewall, polymorphicvirus, worm, denial of service, buffer overflow, privilege escalation,one-time pad, stream cipher, reference monitor, Feistel network, differentialpower analysis, Dolev/Yao attacker, time of check to time of use,Common Criteria, rainbow series, VPN, availability, stack inspection, . . .
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 2 / 16
IT Sikkerhed
Confidentiality (hemmeligholdelse)
Hemmeligheder skal holdes... hemmeligeEksempel: CPR, kortnumre, personfølsomme oplysningerm ...Smart Grid eksempel: (privat-)forbrug
Integrity (integritet)
Data skal være autentiske og ma kun ændres pa en autoriseret madeEksempel: kontrolsoftware, “to underskrifter”Smart Grid eksempel: forbrug
Availability (tilgængelighed)
Autoriserede brugere skal kunne tilga deres dataEksempel: Dankortterminaler, netbank, NemID, RejseKort, ...Smart Grid eksempel: Kontrol-software/-systemer
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 3 / 16
IT Sikkerhed
Confidentiality (hemmeligholdelse)
Hemmeligheder skal holdes... hemmeligeEksempel: CPR, kortnumre, personfølsomme oplysningerm ...Smart Grid eksempel: (privat-)forbrug
Integrity (integritet)
Data skal være autentiske og ma kun ændres pa en autoriseret madeEksempel: kontrolsoftware, “to underskrifter”Smart Grid eksempel: forbrug
Availability (tilgængelighed)
Autoriserede brugere skal kunne tilga deres dataEksempel: Dankortterminaler, netbank, NemID, RejseKort, ...Smart Grid eksempel: Kontrol-software/-systemer
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 3 / 16
IT-Sikkerhedsudfordringer i Smart Grids
Scenarie 1: Snyd eller uheld?
Individuel forbruger manipulerer (bevidst eller ved et tilfælde) sin egenmaler, sa den underrapporterer det faktiske forbrug.
Scenarie 2: Markedsundersøgelse eller angreb?
Tredjepart indsamler detaljerede individuelle forbrugsmønstre for et størrevillakvarter. Data videresælges til konkurrerende producent/distributør.
Scenarie 3: Terror eller happening?
“Hacktivist” udnytter en sikkerhedsbrist i sin maler (fundet via Google) ogbruger den til at sprede en virus (fundet via Goggle) der slukker al lyset ihele landsbyen i en time.
Scenarie 4: Realistisk?
Nationalstat bruger specialiseret “orm” til at infiltrere kontrolsoftwaren foren stor vindmøllefarm... og ødelægger alle møllerne.
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 4 / 16
Sidespring: “Orm” og “Virus”?
Definition
En orm er et selvstændigt program der distribueres ved selvreplikering.
Eksempel
Den første kendte orm (November 1988): “Morris” ormen.
“Smart Meter Worm” (Mike Davis, BlackHat 2009); overtog 16.000smart meters i simuleret angreb via WiFi.
Definition
En virus er en stump kode (i et værtsprogram) der ved udførsel (afværtsprogrammet) replikerer sig selv og inficerer et nyt værtsprogram.
Malware
Ondsindet program, fx orm eller virus.
(Spear-)phishing, drive-by, ...
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 5 / 16
IT-Sikkerhedsudfordringer i Smart Grids
Mange interessenter
Forskellige/modsatrettede interesserNISTIR 7628 identificerer syv domæner
ProducentTransmissionDistributionKunde/forbrugerMarked(er)DriftServiceudbyder
“Interesseret tredjepart”: hackere, konkurrenter, kriminelle, ...Mange forskellige systemer der skal koordineres/integreresAngreb muligt pa mange niveauerHeterogene systemer
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 6 / 16
IT-Sikkerhedsudfordringer i Smart Grids
Kritisk kommunikationsinfrastruktur
Kommunikation central i Smart Grid infrastrukturLukket (tradløst) net vs. InternettetMange adgangspunkter
Smart meters hos forbrugere (= potentielle angribere)Vanskeligt at sikre automatisk opdatering (patching)
Spionage & Sabotage
Kortlægning af infrastrukturLukning af hele eller dele af grid’etCyberterror/Cyberwar
IT-Sikkerhed er nyt pensum
IT-Sikkerhed relativt nyt i indlejrede systemer og ICS“The Internet of Things”
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 7 / 16
Ikke kun Smart Grids
Sarbar Infrastruktur og Industri
Vand- og varme-forsyning
Industriel produktion
Potentielt: transportinfrastruktur
Elektrificerede jernbanerDigitaliserede signalerAutonome biler
Fællestræk: SCADA
SCADA (Supervisory Control And Data Acquisition)
Industrial Control System (ICS)
Typisk til anlæg og processer i stor skala: infrastruktur og industrielproduktion
Mange komponenter: interface, monitor/kontrol, PLC’ere,kommunikationsinfrastruktur, ...
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 8 / 16
Stuxnet: et vink med en vognstang
Scenarie 4: Realistisk?
Nationalstat bruger specialiseret “orm” til at infiltrere kontrolsoftwaren foren stor vindmøllefarm... og ødelægger alle møllerne.
Juni 2010
En ukendt orm opdages af sikkerhedsfirmaet VirusBlokAda fraHviderusland pa en kundes computer. En række usædvanlige træk sættergang i et verdensomspændende opklaringsarbejde.
Usædvanlige træk
Delkomponenter underskrevet med to gyldige certifikater
Usædvanlig stor (ca. 500KB)
Fire zero day sarbarheder
Meget specifikt mal
Meget specifik skade
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 9 / 16
Sidespor: Zero-day? Payload?
Definition
En zero-day sarbarhed er en sikkerhedsbrist der angiveligt er i brug indenden offentliggøres. En resource med stor værdi for angribere.
Definition
Payload: den kode (i malware) der skal ramme det endelige mal.
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 10 / 16
Stuxnet: et vink med en vognstang
Overordnet virkemade1 Infektion og spredning (Windows)
Via USB nøgle el.lign.Administratorrettigheder via zero-dayGyldigt certifikat til undgaelse af antivirus/intrusion detectionInstallation af root-kit
2 Scan og opdater
3 Angreb pa PLC (WinCC/Step 7)
4 Aflevering af “payload” (pa PLC)
Malet? Angriber?
Formentlig rettet mod centrifuger brugt til at fremstille beriget uranpa anlæg i Natanz, Iran.
Formentlig en (eller flere) nationalstat(er), grundet anvendteresourcer og kompleksitet
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
Stuxnet: et vink med en vognstang
Overordnet virkemade1 Infektion og spredning (Windows)2 Scan og opdater
Bruges maskinen til PLC programmering? (Siemens Step7)
Infektion af kørende Step7 processInfektion af alle Step7 projektfilerÆndring sørger for at Stuxnet modul køres
Adgang til Internet?
Eventuelle opdateringer og/eller nye instrukser downloadesTo kendte Command and Control servere (en i Danmark)
Videre spredning (via LAN, USB, Step7, ...)
3 Angreb pa PLC (WinCC/Step 7)
4 Aflevering af “payload” (pa PLC)
Malet? Angriber?
Formentlig rettet mod centrifuger brugt til at fremstille beriget uranpa anlæg i Natanz, Iran.
Formentlig en (eller flere) nationalstat(er), grundet anvendteresourcer og kompleksitet
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
Stuxnet: et vink med en vognstang
Overordnet virkemade1 Infektion og spredning (Windows)
2 Scan og opdater3 Angreb pa PLC (WinCC/Step 7)
Stuxnet overvager kommunikation mellem kontrolsoftware og PLCIndsætter egne kodeblokkeSkjuler ændringer og atypisk/unormal opførsel
4 Aflevering af “payload” (pa PLC)
Malet? Angriber?
Formentlig rettet mod centrifuger brugt til at fremstille beriget uranpa anlæg i Natanz, Iran.
Formentlig en (eller flere) nationalstat(er), grundet anvendteresourcer og kompleksitet
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
Stuxnet: et vink med en vognstang
Overordnet virkemade1 Infektion og spredning (Windows)
2 Scan og opdater
3 Angreb pa PLC (WinCC/Step 7)4 Aflevering af “payload” (pa PLC)
Undersøger om PLC’en kontrollerer en centrifugeUndersøger frekvensen (mellem 807–1210 Hz)Ændrer frekvensen til 1402Hz, til 2Hz, til 1064Hz og gentager
Malet? Angriber?
Formentlig rettet mod centrifuger brugt til at fremstille beriget uranpa anlæg i Natanz, Iran.
Formentlig en (eller flere) nationalstat(er), grundet anvendteresourcer og kompleksitet
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
Stuxnet: et vink med en vognstang
Overordnet virkemade1 Infektion og spredning (Windows)
2 Scan og opdater
3 Angreb pa PLC (WinCC/Step 7)
4 Aflevering af “payload” (pa PLC)
Malet? Angriber?
Formentlig rettet mod centrifuger brugt til at fremstille beriget uranpa anlæg i Natanz, Iran.
Formentlig en (eller flere) nationalstat(er), grundet anvendteresourcer og kompleksitet
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
Hvorfor er (IT-)sikkerhed sa svært?
Høj grad af asymmetri
Angribere behøver kun een succes
Potentielt mange angribere
Billige angreb; dyrt forsvar
I software: sma fejl, (uforholdsmæssigt) store konsekvenser
Svært at undga fejl i software (generelt)
Een fejl pr. 1000 (2000? 5000?) linier kode
Mac OSX (2006): 86.000.000 linier kode
Windows Server 2003: 50.000.000 linier kode
Linux (kerne version 3.6): 16.000.000 linier kode
Linux Debian Distribution 204.000.000 linier kode(!)
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 12 / 16
Hvorfor er (IT-)sikkerhed sa svært?
Vanetænkning (“Den Digitale Maginot-linie”)
“Det er bare teenagere med for megen tid”
“Der er ingen hackere der er interesserede i os”
“Vi kan altid tilføje sikkerhed senere”
“Vi bruger (vores egen) krypto”
“Vi har tre firewalls og to anti-virus programmer”
“Vi bruger specialiseret hardware som ingen kender”
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 13 / 16
Løsninger (AAU)?
Formelle metoder under design og udvikling
Model checking
Kan bruges løbende under design og udviklingKan garantere mod mange former for angrebHar længe været anvendt til sikkerhed og sikkerhedUlempe: ikke fuldt automatisk, modellen skal genereres
Statisk programanalyse
Fuldautomatisk analyse af programkodenMest nyttigt i udviklingsfasenHar længe været anvedt til sikkerhed og sikkerhedUlemper: ikke nemt at bruge i designfasen, falske positiver
Netværkssikkerhed
Intrusion-detection pa SCADA netværk (Ramin Sadre/AAU)
Trafikken pa SCADA netværket overvages og analyseres
“Klassisk” netværkssikkerhed pa SCADA netværk
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 14 / 16
Løsninger?
Den største trussel mod IT-sikkerhed?
Mennesker...(TREsPASS: EU projekt, modellering af menneskelig opførsel og sikkerhed)
Overordnet ledelse/organisation
Tag truslen seriøst
Lav (løbende) trussels- og risiko-vurderinger
Invester i sikkerhed (fx uddannelse, konsulenthjælp, ...)
Gør sikkerhed (og ansvar) synligt
Tænk sikkerhed ind fra starten (for alle interessenter)
Hav et beredskab parat til nar det gar galt
Citat
“Sikkerhed er en proces, ikke et produkt” (Bruce Schneier)
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 15 / 16
Ross Anderson: “Security Engineering”
Meget omfattende (800+ sider), men let læst
Frit tilgængelig: http://www.cl.cam.ac.uk/~rja14/book.html
Rene Rydhof Hansen ([email protected]) Smart Grids og IT-Sikkerhed 26 SEP 2013 16 / 16