Risico`s voor procesautomatisering OV-chipkaart hack Stuxnet
advertisement
Risico’s voor procesautomatisering • OV-chipkaart hack • Stuxnet Ronald Paans Paul Niemantsverdriet 31 augustus 2011 File: PaansR Risico OV hack en Stuxnet © 2011, versie 0.05 [email protected] www.noordbeek.com Phone +31 71 3416911 Risicoanalyse (NIST 800-30) 1: Proces en tooling Step 1. System Characterization Step 2. Threat Identification Netwerk Applicatie Step 3. Vulnerability Identification Besturingsysteem • Scope • Hoogste rubricering Relevante dreigingen 2: Scope en rubricering 3: Identificatie van dreigingen 4: Identificatie van kwetsbaarheden Step 4. Control Analysis • Informatie • Programmatuur 5: Analyse van effectiviteit van bestaande maatregelen Step 5. Likelihood Determination Step 6. Impact Analysis (Loss of CIAA) Step 7. Risk Determination Step 8. Control Recommendations Step 9. Results Documentation Relevante kwetsbaarheden, bij getroffen maatregelen 6: Risicoanalyse 7: Aanvullende maatregelen Voorstel voor aanvullende maatregelen Relevante kwetsbaarheden, bij aanvullende maatregelen 8: Herzien van risicoanalyse Risico’s voor procesautomatisering 2 Visie op risk management VISIE • Vele methoden beschikbaar voor risicomanagement, eigenlijk met dezelfde basis: scoping en decompositie, dreigingen, historische kansen op het manifest worden, gevoel voor wat in de toekomst dreigt, bruto schadekans, stelsel van mitigerende maatregelen, netto schadekans • “Kijk naar het verleden, en je weet wat je in de toekomst kan verwachten” • Praktische issues – Soms een trend te herkennen, een bepaalde dreiging wordt minder of meer (nu: meer geavanceerde hacktechnieken, meer dreiging voor procesautomatisering) – Veel fouten in de praktijk (voorbeeld: Fukushima, een te klein tijdvenster voor historische gegevens over dreigingen) – Veel historische gegevens zijn niet beschikbaar (niet vastgelegd, zoals branden in rekencentra) – Kosten-baten analyse is moeilijk op te stellen voor mitigerende maatregelen Risico’s voor procesautomatisering 3 Hydro software Representation Real world “Content” or “Problem” Requirements Water Authority RWS Etc. User interface Observations “Content” Model Definition Study (DS) • Conclusions • Actions to take User interface Solver (Engine) Risico’s voor©procesautomatisering Based upon Rijsenbrij Digitecture B.V. Other Systems Functional Requirements (FR) Data collections Technical Design (TD) 4 Voorbeeld: OV-chipkaart OV-CHIPKAART • Keuze voor Mifare Classic RFID chip • Op moment van keuze waren alle experts eensgezind dat deze moeilijk was te kraken. Men verwachtte dat zoiets weleens in de “verre toekomst” zou kunnen gebeuren • Ontwikkeling via Trans Link Systems, als samenwerkingsverband tussen vervoerders • Veel aandacht voor encryptie, beveiliging, monitoring, risicoanalyses, gebruik van risk logs etc. • Soms centrale regie vanuit de overheid, daarna decentrale aansturing, centrale aandacht, decentrale uitwerking Risico’s voor procesautomatisering 5 Voorbeeld: reis maken NS, HTM, RET etc. Inchecken Reisgegevens van burgers TLS Uitchecken Centrale opslag vervoerder Verrekening van afgelegde reizen per vervoerder Risico’s voor procesautomatisering 6 Risico’s voor procesautomatisering 7 Architecture e-Ticketing system LEVEL 4 3 2 TLS Centrale Back Office Systeem Nationale Spoorwegen Centrale data verwerking systeem Station A Computer 1 Poortje Pos Gemeentelijk Transport Centrale data verwerking systeem Station B Computer Poortje 0 Depot A Computer Pos Bus Pos Depot B Computer Poortje Pos OV-chipkaarten Risico’s voor procesautomatisering Pos = Point of Sale equipment 8 Taakverdeling TLS en OV-bedrijven Trans Link Systems OV-bedrijven Scheme provider • Opstellen en bewaken van standaarden en spelregels • Aansluiten van OV-bedrijven (certificering, etc.) Co-brander • Kaart positioneren en aanbieden Back office beheerder •Verwerken transacties + administratieve zaken Kaartuitgever •Verantwoordelijkheid voor uitgifte van kaarten •Produceren van kaarten •Beheren tegoeden op de kaart •Beheren callcenter en website Risico’s voor procesautomatisering Product eigenaar • Producten positioneren en aanbieden Dienstverlener • Vervoeren • Relatie met gekende klanten onderhouden Verkoper • Opladen e-purse (m.u.v. automatisch opladen) • Verkopen producten 9 Architectuur Clearing Operator OV-bedrijven (Transactie Data) Uitgifte / Verkoop (Kaart/Product/ePurse) Clearing Operator (Verwerken & Valideren) Central Clearing House System (CCHS) OV-bedrijven (Settlement Rapportage + Uitzonderingen Rapportage) Opladen (ePurse) Gebruik (Product/ePurse) Restitutie (Kaart/Product/ePurse) Risico’s voor procesautomatisering Settlement Opdracht Banken 10 Gebruik op basis van OV-chipkaart Gebruikstransacties OV-chipkaart Kaartgegevens Gebruiksapparatuur Gebeurtenis Saldo Verdelingsinformatie Beheersysteem Standenregisters Gebruikstransacties CBOsysteem Standenregisters Gebruiksgegevens Lokaal Systeem Risico’s voor procesautomatisering 11 De krakers Henryk Plötz Karsten Nohl Prof Bart Jacobs en zijn team De eerste aanvallen • Afschaven van de chip om de logica te herkennen • Challenge-response analyseren om de sleutel te achterhalen Risico’s voor procesautomatisering 12 De tooling om te kraken KERNPROBLEEM • Hoge zichtbaarheid • Gepresenteerd als een technisch veilige methode • Veel politieke aandacht (Den Haag is dol op high-tech, zoals OV-chipkaart, rekeningrijden etc.) • Hackers zien dit als een uitdaging, ook omdat een hack direct veel publiciteit oplevert ( = status) OPLOSSING • Stelsel van detectieve en repressieve maatregelen flink uitgebreid • Meer aandacht voor snel signaleren en opsporing • Het publiek duidelijk maken dat technisch frauderen nog steeds frauderen is en niet rendeert Risico’s voor procesautomatisering 13 Virusdreiging: Stuxnet COMPUTERVIRUS • Verspreiding via email, websites, USB sticks etc. • Enkele bekende basisprincipes. Dagelijks worden duizenden varianten gesignaleerd, aangepast door hobbyisten en criminelen • Veel voorkomend gebruik: botnet. Via duizenden zombie-PC’s kunnen gericht websites worden platgelegd. Dit is Denial of Service (DoS) • Criminele organisaties, vooral in Oost Europa, zien dit als business • Een van de meest geavanceerde virussen is Stuxnet, gericht op Siemens procesautomatisering Risico’s voor procesautomatisering 14 PLC - Procesautomatisering PROCESAUTOMATISERING • Veelal kleine computers, genaamd PLC • Staan dicht bij de productie • Vroeger: standalone • Weinig noodzaak voor informatiebeveiliging, noch voor firewalls • Tegenwoordig: gekoppeld via LAN • LAN vaak weer gekoppeld aan groter netwerk met verbindingen naar buiten (WAN of Internet) • Nu: PLC’s worden ook bedreigd door virussen • Stuxnet: besmetting via USB stick (het virus mijdt het WAN en Internet om detectie te voorkomen) Risico’s voor procesautomatisering 15 Procesautomatisering … Internet WAN Externe bedreigingen Risico’s voor procesautomatisering 16 Iraanse uranium gascentrifuge Stuxnet • Gericht op kerncentrale in Bushehr en nucleaire faciliteiten in Natanz (kijkt naar configuratie) • Nestelt in Siemens PLC S7 • Versnelt en vertraagt centrifuges en verhoogt zo slijtage • Resultaat: veel centrifuges met schade Risico’s voor procesautomatisering 17 Einde EPILOOG • Voor risicomanagement is een volledig inzicht nodig van de actuele dreigingen • Bij procesautomatisering is nog maar weinig aandacht voor elektronische dreigingen vanuit omringende computers en netwerken • Nu dreigingen van doorzetters (hackers en overheden?) manifest worden, moeten risicoanalyses voor procesautomatisering opnieuw worden geëvalueerd en waar nodig worden aangepast Risico’s voor procesautomatisering 18
