Securityaspecten en veiligheidssystemen Rob Hulsebos, Enode
EVEN VOORSTELLEN ... • Rob Hulsebos, 1961 • HTS Informatika, 1986 • Werkzaam in embedded sw / realtime / machinebouw regio Eindhoven (Philips, ASML, Assembléon, Delem) • Co-expertisegebied: industriële netwerken • Freelance auteur over alles rondom industriële netwerken en cybersecurity • Freelance docent (Mikrocentrum) – Industriële netwerken, v.a. 1999 – Profibus, v.a. 2000 – Industrieel + Wireless Ethernet, v.a. 2001
• Consultancy, www.enodenetworks.com
BEVEILIGING (?)
BEVEILIGING ?
Vorige week... o ja, toen was het hier zo koud...
EVEN ONTZENUWEN... • “Hacken” klinkt vaak erg hightech, maar is het veelal niet • Wat is het vaak wel ? • Misbruik maken van: – Apparaten zonder wachtwoord – Apparaten met voorspelbare wachtwoorden – Apparaten met bekende wachtwoorden
• Werp de eerste drempel op! (en plak geen briefjes op/onder monitors of toetsenborden)
EO programma “Ingang Oost”: UMC, 12/04/12
HET ZIJN NIET ALTIJD HACKERS • • • •
Hackers van buitenaf (38% van incidenten) “Sabotage” door boze (ex-)employees 31% “Stommiteiten”, door eigen personeel 31% Concurrenten!
ZIJN ALLE VIRUSSEN SLECHT ? • Meeste virussen zijn irrelevant want – – – –
Ze willen creditcard data weten Het boekt je bankrekening leeg Je PC wordt ingezet om emails te sturen (spam) Het zoekt documenten in je bedrijfsnetwerk op en stuurt die dan naar
– ...
• Alhoewel ongewenst, irrelevant voor safety
• Maar niet alle virussen zijn zo...
STUXNET
EEN WAKEUP CALL • Virussen komen ook voor op industriële PC’s • Doch waren hier niet speciaal voor ontwikkeld (secundaire effecten kunnen wel lastig zijn) • Stuxnet eerste industriële virus – Speciaal gemaakt voor Siemens S7-315 / S7-417 PLC’s + development tools hiervoor (Step7, WinCC) – Speciaal gemaakt voor één bepaalde toepassing – Speciaal bedoeld om 1 fabriek in de wereld te saboteren
WAT HET DEED • Stuxnet is in de eerste plaats een “gewoon” virus, dat zich installeert op PC’s en zich daarna nog verder verspreidt • Zoekt dan Siemens PLC programma database “Step7” – Komt binnen via hard-coded , uitgelekt wachtwoord – Zoekt dan naar 1 specifiek PLC –programma (en doet anders niets) – Modificeert dit PLC-programma, voegt eigen code toe – In Nederland meer dan 150 gevonden infecties
• PLC-programma wordt op PLC geladen (en “cloakt” zichzelf) – Wisselt op bepaalde momenten toerentallen van 1200 motoren – Welke fabriek heeft zo’n configuratie ?
WAT HET DEED (2) Uraniumverrijkingsfabriek in Iran (net zoals bij Urenco in Almelo)
Ultracentrifuges (ca.1200)
Toerental ca. 70 KRPM Omtreksnelheid > 1000 km/h Acceleratie > 1 MG
Toerentalsturing via 6 Siemens PLC’s 36 Profibussen 1200 frequentieomvormers motoren
NU IS DE GEEST UIT DE FLES ! • In 2011 net zoveel hacks op industriële systemen als in 2001...2010 bij elkaar • Veel aandacht vanuit (notabene) IT-industrie – – – –
Alle grote leveranciers onder de loep “Eerstejaars programmeerbugs” (1 mio systemen) “Fouten die we al 10 jaar niet meer gezien hadden” 600 lekken in 2 weken zoeken
• Industriële IT loopt járen achter op zakelijke IT (bewustwording, procedures, kwaliteit van software)
WAAROM WORDT HET ERGER ? • Meer aandacht vanuit ‘hackerscene’ (hier valt nog eer, glorie en roem te halen)
• Meer koppelingen systemen aan bedrijfs-LAN (meer inbraakpaden)
• Meer gebruik van Ethernet en TCP/IP (standaard protocollen)
• Industriële IT nog aardig onbewust van issue
• Kortom, het is / wordt makkelijker dan ooit!
NU WIJ
MOETEN WIJ WEL IETS DOEN ? • Een virus die je PC’s harde schijf wist ... (wel lastig dat je productie compleet stilvalt) ... maar is het een veiligheidsprobleem ? • Doch als... – Iemand van buitenaf controle overneemt ... – Iemand programmatuur wijzigt ... ... is het dán een veiligheidsprobleem ?
(zie onder) (Stuxnet)
RISICO ANALYSE • Wat is de kans op “een hack” ? – Security-experts zeggen: you will be hacked
• Wat gebeurt er dan ? – Wat is er voor ‘leuks’ te doen met al die apparatuur ?
• Wat zijn de consequenties ? – ...
KUNNEN WIJ HET DAN WEL ? • Als de cybersecurity industrie het niet lukt ... ... waarom iemand anders dan wel ?
• Een frisse blik op de materie helpt (misschien)
INTERVENTIES Wat zouden we kunnen doen ? (1)
Voorkomen dat een hacker of virus een industrieel systeem binnendringt;
(2)
Als (1) niet lukt, dan blokkeren van de werking van het virus of de acties van een hacker;
(3)
Als (2) niet lukt, het monitoren van de toestand van een systeem en dan blokkeren van alle vreemde of onverwachte acties van de besturing.
HOE KOMEN ZE BINNEN ? Infected Remote Support
Internet
USB Devices Office LAN
Mis-Configured Firewalls
Infected Laptops
Unauthorized Connections
Modems Plant Network
USB Devices Control LAN External PLC Networks
RS-232 Links
LOCATIE SAFETY PLC ? Infected Remote Support
Internet
USB Devices
Mis-Configured Firewalls
Infected Laptops
Unauthorized Connections
Modems
USB Devices
External PLC Networks
RS-232 Links
LOCATIE SAFETY PLC ? • Een safety-PLC zit niet op de juiste locatie om alle externe / interne aanvallen af te weren – – – –
Niet tussen internet en bedrijfs-LAN (interventie #1) Niet tussen bedrijfs-LAN en fabrieks-LAN Niet voor PC’s, MES-systemen, SCADA-terminals Niet op de PC zelf En kan hier dus ook nergens iets doen (interventie #2)
• Maar wel.... – Op / in / bij / aan machines! – En kan dus hier van dienst zijn (interventie # 3)
VEILIGHEID-PLC’S VOORDELEN • Hoe werkt een hacker ? – Is op zoek naar fouten in software (“achterdeurtjes”)
• Zwaktes in software van veiligheid-PLC’s ? • Ik stel dat die er minder zijn dan in ‘gewone’ PLC’s, vanwege de volgende redenen: – Aandacht tijdens design en design-validatie (andere cultuur van software-ontwikkeling) – Testen van implementatie – Meervoudige CPU’s, wederzijdse bewaking – Zelfcontrole in hw en/of sw – Beveiligde / onmogelijke download van software – Fysieke interventies (schakelaar, knop, ...) nodig
IS HET DAN ALTIJD CYBER-OK ? • Ook veiligheidssystemen zijn niet ontwikkeld met als doel cybersafe te zijn – Fouten in design / implementatie etc. kunnen (zullen!) dus ook aanwezig zijn
• PLC applicatie moet ook meer doen dan gebruikelijk – I/O monitoring op onlogische combinaties / setpoints (niet enkel detectie van gevaarlijke situaties) – Monitoring van programmawijziging(en) – Monitoring / filtering van netwerkverkeer – Als een soort van ‘schaduw’ van de reguliere applicatie
• Niet dat dit nu allemaal al kan... (?)
CONTINUE PROCES • Een cyberveilig systeem vandaag.... is het morgen niet – Software “veroudert” – Hoe ? • Niet uit zichzelf, maar door continue “onderzoek” • Onbekende zwaktes worden gevonden, en dan mogelijk misbruikt • Updates van software kunnen een achteruitgang zijn!
• “Haasje-over”; continue aandacht nodig
AFSLUITEND... • Cybersecurity is nu niet formeel afgedwongen (hooguit indirect) – – – –
Niet (rechtstreeks) door de wetgever Niet tijdens ontwikkeling van producten Niet door de koper Niet door de eindgebruiker
• Dit moet (zal) veranderen: – Overheid is steeds meer aanwezig (beginnend bij beveiliging van nationale infrastructuur) – Grote bedrijven (bv. Shell) stellen steeds zwaardere eisen aan toeleveranciers: auditing van productontwikkeling, kennisniveau van personeel
AFDWINGEN
WAT IS NU TE DOEN ? • Bewustwording – Gebruikers – Leveranciers
• Hoe cybersafe lever je je eigen producten op ? • Inleren / bijblijven
AFSLUITEND... • Er is nog véél te doen ... • Dan, in 2025 ... naast de bestaande betekenis... misschien ...
Cybersafe Engineered ?????
Hartelijk dank voor uw komst!