Les voor de toekomst

Les voor de toekomst

19-6-2015

LES VOOR DE TOEKOMST l'histoire se répète? | Eric Luiijf

EVEN VOORSTELLEN Koninklijke Marine; daarna TNO TNO Defensie en Veiligheid – Making Cyber work for you ! 4k*12 bit PDP-8 mainframe & 110 bd ARPAnet IPv5 … Cyber warfare information operations cyber operations (1995+) KWINT (2000-2001) & bescherming vitale infrastructuur (2003) NATO security regelgeving netwerkinterconnecties EU CIP-projecten (2003+) SCADA/ICS security (2005+); smartgrid security kernteam NCSS2, … Les voor de toekomst

Eric Luiijf

1


19-6-2015

HOE VEILIG IS (IT IN) NEDERLAND ? Schoten voor de boeg hoezo IT? hoezo Nederland? (on)veiligheid ? meetbare veiligheid versus perceptie van (on)veiligheid


HOE VEILIG IS (ICT IN) NEDERLAND ?

Historie

Onze toekomst?

Onze weerbaarheid?

Uitweg?


Eric Luiijf

2


19-6-2015

HOE VEILIG IS (ICT IN) NEDERLAND ? Stelling

l'histoire se répète - helaas ook in ICT / cyber security gebrek aan historisch besef - wij vergeten good practices geïdentificeerde cyber security lessen niet toegepast in volgende ICT-golf


ICT: EEN JONGE GESCHIEDENIS Wanneer kopte De Telegraaf

“Chantage om gegevens uit computer” ?


Eric Luiijf

3


19-6-2015

38,5 JAAR CYBERCRIME 12 jan 1977

HOE (ON)VEILIG IS‘IT? 22 jan 1977


DE EERSTE CYBER* – WANNEER OOK AL WEER? 1970-1973: 1e bankrekeningen geplunderd (1.5 M$) – 1994 1e keer meer dan 10M$ 1971: 1e computervirus op ARPANET 1988: 1e worm door Robert Morris jr. 1995: 1e phishing aanval 1998: 1e DDoS m.b.v. Floodnet van het EDT 1e SCADA aanval in het nieuws (kolencentrale) 2005: 1e hack van airconditioning systeem (computercentrum bank) 2006: 1e keer sprake van nieuw type bedrijf: Cybercrime central (Odessa) 2008: 1e ? cybotage: oliepijpleiding opgeblazen 2010: 1e ? Geval van staatscybotage (Stuxnet) 2013: 1e keer publiek: welk gerespecteerd land doet niet aan e-spionage? 1e keer “cyberspace meets space” – virus in het ISS Les voor de toekomst

Eric Luiijf

4


19-6-2015

NIEUWE TECHNOLOGIE: VERGETEN WE DE ‘OUDE’ GOOD PRACTICES ? verdediging tegen ‘Advanced Persistent Threat’ anno 1935


http://www.museumwaalsdorp.nl

NIEUWE TECHNOLOGIE: VERGETEN WE DE ‘OUDE’ GOOD PRACTICES ? Rigoureuze controle op valide waarden alle input-velden Waarom hebben we tegenwoordig blindelings vertrouwen in alle input?


Eric Luiijf

5


19-6-2015

VEEL LESSEN GEÏDENTIFICEERD – NIET GELEERD > 150 buffer overflows verwijderd uit operating system in 1978 ~ 40 jaar later zijn buffer overflows nog steeds good practice … (CVE-2015-*) O ja … “Because of its size, the Operating System is also quite unreliable. We have about 1000 errors each release and this number seems to be reasonable constant” OS/360; 220.000 lines of code NATO Software Engineering rapport (1968)

Android > 1.2 M coderegels – hoeveel fouten? Les voor de toekomst

GEÏDENTIFICEERD – NOOIT GELEERD ~ 100% secure

U gaat naar Start cyber security = 0 !

weak applications weak applications e.g., SQL

weak s/w

disk scavenging

memory scavenging

weak s/w

disk scavenging

Stuxnet

no passwords no passwords

no passwords

1234

0000

iWatch Tesla domotics

0% security


Eric Luiijf

6


19-6-2015

ICT VERSTOPT ZICH IN FUNCTIES – WIE FAALT ER? VEERE, VEERE – waar en waarom ging het fout? Onveilige ICT komt steeds meer in de handen van onbewust onbekwamen op papier verantwoordelijk geen bewustwording, geen opleiding, geen kennis Onveilige ICT komt steeds uit de handen van onbewust onbekwamen Les voor de toekomst

http://20jaareenvandaag.eenvandaag.nl/hoogtepunten/39770/sluizen_gemalen_en_bruggen_slecht_beveiligd

IRAM project (Uni Berlin) SHODAN SIEMENS S7 ICS

Gehackte ICS: - Vitale infra - Tropisch bad - Crematorium - Stallen - Windmolenenergiepark - … Les voor de toekomst

Eric Luiijf

7


19-6-2015

GEHELE KETEN ACTEERT ONBEWUST ONVEILIG NIEMAND eist een veilig systeem NIEMAND voelt enige beveiligingsverantwoordelijkheid U krijgt of levert DUS een onbeveiligde functie ?

De blackhatter krijgt DUS een leuk speeltje 15

GEÏDENTIFICEERD – NOOIT GELEERD Sinds de jaren 60 dweilen met de kraan open … fabriekswachtwoorden, zwakke protocolimplementaties, zwakke wachtwoorden, ongeteste s/w, buffer overflows, … ECU A400M en 787 ‘248-dagen bug‘ flight-by- new device detected – low-cost-carriervoordelen onveilige ICS: schepen, olieplatformen en vitale infra en er komt zo nog meer …


Eric Luiijf

8


19-6-2015

HEDEN EN TOEKOMST

18

“PC ANNO 2004” (VOORUITBLIK IN 1954) Ease of use: - Teletype - Fortran

Eric Luiijf

9


19-6-2015

1. DIGITALE TV'S n* 100 miljoen Tv's – beperkt aantal leveranciers krachtige processoren en internet-connected TV verwordt tot open multi-media gaming & service platform (bijv. Wyplay) voor hackers (en anderen) #1 FUNCTIONALITEIT #?? cyber security? Wie vraagt dat? #?? privacybescherming? Samsung luistert met u mee … Uitdaging: patchen van n* 100 miljoen Tv's 19

2. DOMOTICA & GEBOUWBEHEER Huis op afstand besturen, dan ook het bedrijf met smart apps voor verwarming, verlichting en de sloten #1 FUNCTIONALITEIT #?? cyber security? Wie vraagt dat? #?? privacybescherming Status gehackte airco’s, NEST thermostaten, smart verlichting, …

20

Eric Luiijf

10


19-6-2015

3. GEZONDHEIDSZORG Functionaliteit medische apparatuur is ICT-gebaseerd Persoonlijke medische apparatuur We gaan naar continue patiëntmonitoring en onderling verbonden medische apparatuur (snelle terugkoppeling) #1 FUNCTIONALITEIT #?? cyber security #?? privacybescherming Gehackte insulinepompen, pacemakers, … Kazaa in hartbewaking verkoeverruimte, … 21

4. FINANCIËLE SECTOR Betaalgemak voorop: geïnjecteerde chip; NFC; EVH als betaalmedium #1 FUNCTIONALITEIT #?? cyber security #?? privacybescherming #?? fysieke veiligheid persoon

22

Eric Luiijf

11


19-6-2015

23

HACKER’S VIEW: 4-WIEL CYBER DEVICE

24

DE SNELWEGHACKER SLOEG WEER TOE …

ecall per 2018 ! car-2-car road-2car ANWB dongle

Eric Luiijf

dial-a-car

bluetooth/WiFi

smart phone radio/DVD RMV navigatie locatie ABS radar airbags snelheidsmeter spiegels multi-media USB/MP3 stick antidiestal parkeersysteem datum/tijd rain monteur lampen stoelgebruik airco motormanagement locks cruse/limiter achtersensor gas & remm (ABS..) light sensor actieve vering laserafstand bandspanning snelheids(draadloos) temperatuur meting tractie

12


19-6-2015

5. AUTO’S Van onafhankelijke niet-gekoppelde open interfaces naar geïntegreerd platform autonoom rijden; op afstand wijzigbare performance auto uitgebreide iPAD met vervoersfunctie #1 fysieke veiligheid inzittenden #2 FUNCTIONALITEIT #?? cyber security #?? privacybescherming Op afstand laten toeteren, stilzetten, deuren openen/afsluiten, niet laten laden … 25

6. SLIMME METERS Miljoenen meters van beperkt aantal leveranciers #1 is FUNCTIONALITEIT #2 privacyaspecten op afstand uitschakelen nutsvoorziening (mag niet van 1e Kamer) Uitdaging field upgrades nodig – levensduur van 25+ jaar grote uitvalgebieden indien switch-off functie Criminelen in VS bieden ‘patches’ aan: halve tikken

26

Eric Luiijf

13


19-6-2015

7. SMART APPLIANCES Slimme (af)wasmachines, koelkasten, ovens, stofzuigers, verlichting, verwarming, CO & brandmelding, … Beperkt aantal niet-ICT (!) leveranciers #1 is FUNCTIONALITEIT #?? cyber security Uitdagingen field upgrading hoe? (levensduur 15-20 jaar) manipulatie van het smart (power) grid … 27

MEERKOSTEN SMART APPLIANCE … EN U WILT OOK NOG CYBER SECURITY?


Eric Luiijf

14


19-6-2015

8. ROBOTICA Assistentie voor patiënten, gehandicapten en ouderen … | #1 is VEILIGHEID #2 is FUNCTIONALITEIT #? cyber security Wie is (onbewust onveilig) verantwoordelijk? verpleegkundige of de T.D.? wie configureert robots en draadloos? wie is aansprakelijk?

29

9. INTERNET OF THINGS (IOT) Cool gadgets met te kekke functies!!!! Imponeer uw vrienden !! #1 is FUN #2 is FUNCTIONALITEIT #? cyber security is NO FUN !

30

Eric Luiijf

15


19-6-2015

DAY Verwachte onveilige in lab in het wild point-of-sales √ √ Dexter malware pacemakers √ insulinepompen √ medische apparatuur (e.g. beademing) √ √ virus; Kazaa slim ondergoed; slimme pillen … openbaar vervoer Oyster, OV-chip, .. √ √ in-car netwerken, sensoren & actuatoren √ CANBus Triple √ Tesla, 2.2 M BMW’s, mini’s, RR vlootmanagement trucks & auto’s √ √ Google auto coöperatief rijden ADS-B vliegtuigen (2020) spoofing mogelijk verkeerslichtcamera 2.0 attractief CANbus - Wifi, LAN, 3G 31

DAY

REALITY CHECK

Verwachte onveilige mobile telecom HLR (via SS7) digital Tvs als zombies (open platform …) smart meters smart grids smart appliances (Z-Wave, …) smart appliances (witgoed, …) zonnepanelen windenergie

in lab √ √ √ √ √ √ √

in het wild √ binnenkort in dit museum √ ? √ √

Software Defined Radio = Zwitsers zakmes (zie: HackRF Jawbreaker $300 100 MHz-6 GHz) 32

Eric Luiijf

16


19-6-2015

DAY

Verwachte onveilige in lab printers/kopieermachines √ beveiligings- & alarmeringssystemen (KNX..) HITB 2013 airconditioning/HVAC systemen gebouwbeheersystemen domotica (via apps) ? clouds √ …

in het wild √ √ √ √ √ (Shodan)

INTERNET-OF-THINGS …. en meer Hoe onveilig is (IT in) Nederland? 33

ONZE WEERBAARHEID?

Eric Luiijf

17


19-6-2015

U! doet uw best en voert een risicoanalyse (statisch!) uit … en treft maatregelen om het risico beheersbaar te maken Samenvattend 1. u start met een inherent onveilig systeem 2. pakt dit in met lagen beveiligingsmaatregelen 3. … die nieuw zwakheden introduceren 4. … en meer lagen {2.} eisen … en …


PUNTOPLOSSINGEN EN “BELOFTEN”? governance

wetgeving

VoG

SOCextended3.0A EM veiligheid

keycards IDS

IPS cryptografie

hardening Les voor de toekomst

Eric Luiijf

spread spectrum

18


19-6-2015

WELKE VERZAMELING MAATREGELEN IS BETER? Cyber Security: een kunstvorm of een staaltje van engineering?


ROBUUST?


Eric Luiijf

19


19-6-2015

LUCHTVAARTVEILIGHEID++ IN DEZELFDE PERIODE


EN OVERHEDEN KIJKEN NAAR … Klassieke telecom, ISP’s en soms Diginotar’s .. Wie is de nieuwe Facebook nu nog in de garage van pa? Wit- en bruingoed de nieuwe ICT-leveranciers? (Gorenje, June, ..) Software APK voor auto’s ? …


Eric Luiijf

20


19-6-2015

EEN UITWEG?

ZOUDEN WE HET NIET EENS EEN KEER GOED GAAN DOEN? Doorbreek de onveiligheidscyclus !


Eric Luiijf

21


19-6-2015

lessons identified & root cause analyse

Analyse eerder falen

OP WEG NAAR CYBER SECURITY 2.0 CYBER SECURITY SCIENCE

CYBER SECURITY ENGINEERING

CYBER SECURITY EDUCATIE

Zoek continu verbetering … maar eerst de kraan dicht!

43

OP WEG NAAR CYBER SECURITY 2.0 Verenigde Staten DoD beleid onderkent noodzaak Cyber Security Science NSA initiatieven Cyber Security Science Verenigd Koninkrijk CGHQ stimuleert Science of Cyber Security Research Academic Centre of Excellence for Cyber Security Research samenwerken en concentreren CS researchkernen (o.a. Cambridge)


Eric Luiijf

22


19-6-2015

45

100% ICT-VEILIG BESTAAT NIET, MAAR … Blijven dweilen of leren van verleden? Onbewust onveilig en puntoplossingen?

Naar CS 2.0: - Science of CS - Engineer - Onderwijs

HOE VEILIG IS (IT IN) NEDERLAND ? – REPRISE Perceptie: “veilig” (nog steeds)

Realiteit: “onveiliger met de dag”

Nederland? EU-deel Koninkrijk der Nederlanden?, NL-sprekend, … cyberspace! ICT blijft onveilig, tenzij wij het fundamenteel anders gaan aanpakken opleiden en bewustwording greep op gehele security life cycle en organisatie en op weg gaan naar cyber security 2.0 Les voor de toekomst

Eric Luiijf

23


19-6-2015

BEDANKT VOOR UW AANDACHT VRAGEN?

ACHTERGRONDLITERATUUR The Healthcare Internet of Things Maritime cybersecurity firm: 37% of Microsoft servers on ships vulnerable to hacking Stop talking in front of Samsung TV’s FAA needs to address weaknesses in Air Traffic Control Systems 80% winkels zou via standaardwachtwoord gehackt worden Vulnerabilities of Hosperia Lifecare PCA3 and PCA5 infusion pump systems IoT Security Threat Map KNX poort 3671; multicast 224.0.23.12 www.museumwaalsdorp.nl

Building a national program for cybersecurity science, NSA, The Next Wave Vol 19 No.4 pp 8-36, 2012 Schneider, F. B., “Blueprint for a Science of Cybersecurity,” The Next Wave, Vol. 19, No.2 Kott, A., "Towards Fundamental Science of Cyber Security." in Network Science and Cybersecurity. Springer NY, 2013. 1-13 Luiijf, H.A.M., McCallam, D. (2014), Setting the Scene: the Need for Cyber Security 2.0, NATO/STO-IST


Eric Luiijf

24

Les voor de toekomst

Recommend Documents