Securityaspecten en veiligheidssystemen Rob Hulsebos, Enode

Securityaspecten en veiligheidssystemen Rob Hulsebos, Enode

EVEN VOORSTELLEN ... • Rob Hulsebos, 1961 • HTS Informatika, 1986 • Werkzaam in embedded sw / realtime / machinebouw regio Eindhoven (Philips, ASML, Assembléon, Delem) • Co-expertisegebied: industriële netwerken • Freelance auteur over alles rondom industriële netwerken en cybersecurity • Freelance docent (Mikrocentrum) – Industriële netwerken, v.a. 1999 – Profibus, v.a. 2000 – Industrieel + Wireless Ethernet, v.a. 2001

• Consultancy, www.enodenetworks.com

BEVEILIGING (?)

BEVEILIGING ?

Vorige week... o ja, toen was het hier zo koud...

EVEN ONTZENUWEN... • “Hacken” klinkt vaak erg hightech, maar is het veelal niet • Wat is het vaak wel ? • Misbruik maken van: – Apparaten zonder wachtwoord – Apparaten met voorspelbare wachtwoorden – Apparaten met bekende wachtwoorden

• Werp de eerste drempel op! (en plak geen briefjes op/onder monitors of toetsenborden)

EO programma “Ingang Oost”: UMC, 12/04/12

HET ZIJN NIET ALTIJD HACKERS • • • •

Hackers van buitenaf (38% van incidenten) “Sabotage” door boze (ex-)employees 31% “Stommiteiten”, door eigen personeel 31% Concurrenten!

ZIJN ALLE VIRUSSEN SLECHT ? • Meeste virussen zijn irrelevant want – – – –

Ze willen creditcard data weten Het boekt je bankrekening leeg Je PC wordt ingezet om emails te sturen (spam) Het zoekt documenten in je bedrijfsnetwerk op en stuurt die dan naar – ...

• Alhoewel ongewenst, irrelevant voor safety

• Maar niet alle virussen zijn zo...

STUXNET

EEN WAKEUP CALL • Virussen komen ook voor op industriële PC’s • Doch waren hier niet speciaal voor ontwikkeld (secundaire effecten kunnen wel lastig zijn) • Stuxnet eerste industriële virus – Speciaal gemaakt voor Siemens S7-315 / S7-417 PLC’s + development tools hiervoor (Step7, WinCC) – Speciaal gemaakt voor één bepaalde toepassing – Speciaal bedoeld om 1 fabriek in de wereld te saboteren

WAT HET DEED • Stuxnet is in de eerste plaats een “gewoon” virus, dat zich installeert op PC’s en zich daarna nog verder verspreidt • Zoekt dan Siemens PLC programma database “Step7” – Komt binnen via hard-coded , uitgelekt wachtwoord – Zoekt dan naar 1 specifiek PLC –programma (en doet anders niets) – Modificeert dit PLC-programma, voegt eigen code toe – In Nederland meer dan 150 gevonden infecties

• PLC-programma wordt op PLC geladen (en “cloakt” zichzelf) – Wisselt op bepaalde momenten toerentallen van 1200 motoren – Welke fabriek heeft zo’n configuratie ?

WAT HET DEED (2) Uraniumverrijkingsfabriek in Iran (net zoals bij Urenco in Almelo)

Ultracentrifuges (ca.1200)

Toerental ca. 70 KRPM Omtreksnelheid > 1000 km/h Acceleratie > 1 MG

Toerentalsturing via 6 Siemens PLC’s  36 Profibussen  1200 frequentieomvormers  motoren

NU IS DE GEEST UIT DE FLES ! • In 2011 net zoveel hacks op industriële systemen als in 2001...2010 bij elkaar • Veel aandacht vanuit (notabene) IT-industrie – – – –

Alle grote leveranciers onder de loep “Eerstejaars programmeerbugs” (1 mio systemen) “Fouten die we al 10 jaar niet meer gezien hadden” 600 lekken in 2 weken zoeken

• Industriële IT loopt járen achter op zakelijke IT (bewustwording, procedures, kwaliteit van software)

WAAROM WORDT HET ERGER ? • Meer aandacht vanuit ‘hackerscene’ (hier valt nog eer, glorie en roem te halen)

• Meer koppelingen systemen aan bedrijfs-LAN (meer inbraakpaden)

• Meer gebruik van Ethernet en TCP/IP (standaard protocollen)

• Industriële IT nog aardig onbewust van issue

• Kortom, het is / wordt makkelijker dan ooit!

NU WIJ

MOETEN WIJ WEL IETS DOEN ? • Een virus die je PC’s harde schijf wist ... (wel lastig dat je productie compleet stilvalt) ... maar is het een veiligheidsprobleem ? • Doch als... – Iemand van buitenaf controle overneemt ... – Iemand programmatuur wijzigt ... ... is het dán een veiligheidsprobleem ?

(zie onder) (Stuxnet)

RISICO ANALYSE • Wat is de kans op “een hack” ? – Security-experts zeggen: you will be hacked

• Wat gebeurt er dan ? – Wat is er voor ‘leuks’ te doen met al die apparatuur ?

• Wat zijn de consequenties ? – ...

KUNNEN WIJ HET DAN WEL ? • Als de cybersecurity industrie het niet lukt ... ... waarom iemand anders dan wel ?

• Een frisse blik op de materie helpt (misschien)

INTERVENTIES Wat zouden we kunnen doen ? (1)

Voorkomen dat een hacker of virus een industrieel systeem binnendringt;

(2)

Als (1) niet lukt, dan blokkeren van de werking van het virus of de acties van een hacker;

(3)

Als (2) niet lukt, het monitoren van de toestand van een systeem en dan blokkeren van alle vreemde of onverwachte acties van de besturing.

HOE KOMEN ZE BINNEN ? Infected Remote Support

Internet



USB Devices Office LAN



Mis-Configured Firewalls





Infected Laptops

Unauthorized Connections



Modems Plant Network

USB Devices Control LAN External PLC Networks



RS-232 Links



LOCATIE SAFETY PLC ? Infected Remote Support

Internet



USB Devices



Mis-Configured Firewalls





Infected Laptops

Unauthorized Connections



Modems

USB Devices

External PLC Networks



RS-232 Links



LOCATIE SAFETY PLC ? • Een safety-PLC zit niet op de juiste locatie om alle externe / interne aanvallen af te weren – – – –

Niet tussen internet en bedrijfs-LAN (interventie #1) Niet tussen bedrijfs-LAN en fabrieks-LAN Niet voor PC’s, MES-systemen, SCADA-terminals Niet op de PC zelf En kan hier dus ook nergens iets doen (interventie #2)

• Maar wel.... – Op / in / bij / aan machines! – En kan dus hier van dienst zijn (interventie # 3)

VEILIGHEID-PLC’S VOORDELEN • Hoe werkt een hacker ? – Is op zoek naar fouten in software (“achterdeurtjes”)

• Zwaktes in software van veiligheid-PLC’s ? • Ik stel dat die er minder zijn dan in ‘gewone’ PLC’s, vanwege de volgende redenen: – Aandacht tijdens design en design-validatie (andere cultuur van software-ontwikkeling) – Testen van implementatie – Meervoudige CPU’s, wederzijdse bewaking – Zelfcontrole in hw en/of sw – Beveiligde / onmogelijke download van software – Fysieke interventies (schakelaar, knop, ...) nodig

IS HET DAN ALTIJD CYBER-OK ? • Ook veiligheidssystemen zijn niet ontwikkeld met als doel cybersafe te zijn – Fouten in design / implementatie etc. kunnen (zullen!) dus ook aanwezig zijn

• PLC applicatie moet ook meer doen dan gebruikelijk – I/O monitoring op onlogische combinaties / setpoints (niet enkel detectie van gevaarlijke situaties) – Monitoring van programmawijziging(en) – Monitoring / filtering van netwerkverkeer – Als een soort van ‘schaduw’ van de reguliere applicatie

• Niet dat dit nu allemaal al kan... (?)

CONTINUE PROCES • Een cyberveilig systeem vandaag.... is het morgen niet – Software “veroudert” – Hoe ? • Niet uit zichzelf, maar door continue “onderzoek” • Onbekende zwaktes worden gevonden, en dan mogelijk misbruikt • Updates van software kunnen een achteruitgang zijn!

• “Haasje-over”; continue aandacht nodig

AFSLUITEND... • Cybersecurity is nu niet formeel afgedwongen (hooguit indirect) – – – –

Niet (rechtstreeks) door de wetgever Niet tijdens ontwikkeling van producten Niet door de koper Niet door de eindgebruiker

• Dit moet (zal) veranderen: – Overheid is steeds meer aanwezig (beginnend bij beveiliging van nationale infrastructuur) – Grote bedrijven (bv. Shell) stellen steeds zwaardere eisen aan toeleveranciers: auditing van productontwikkeling, kennisniveau van personeel

AFDWINGEN

WAT IS NU TE DOEN ? • Bewustwording – Gebruikers – Leveranciers

• Hoe cybersafe lever je je eigen producten op ? • Inleren / bijblijven

AFSLUITEND... • Er is nog véél te doen ... • Dan, in 2025 ... naast de bestaande betekenis... misschien ...

Cybersafe Engineered ?????

Hartelijk dank voor uw komst!