Smart Grids og IT-Sikkerhed
Ren´e Rydhof Hansen & Kim Guldstrand Larsen
Institut for Datalogi, Aalborg Universitet
IDA, 26...
IT Sikkerhed?
Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 2 / 16
IT Sikkerhed?
Auditability, accountability, confidentiality, non-interference, delimited
release, non-repudiability, authen...
IT Sikkerhed?
Auditability, accountability, confidentiality, non-interference, delimited
release, non-repudiability, authen...
IT Sikkerhed
Confidentiality (hemmeligholdelse)
Integrity (integritet)
Availability (tilgængelighed)
Ren´e Rydhof Hansen (r...
IT Sikkerhed
Confidentiality (hemmeligholdelse)
Hemmeligheder skal holdes... hemmelige
Eksempel: CPR, kortnumre, personføls...
IT-Sikkerhedsudfordringer i Smart Grids
Scenarie 1: Snyd eller uheld?
Individuel forbruger manipulerer (bevidst eller ved ...
Sidespring: “Orm” og “Virus”?
Definition
En orm er et selvstændigt program der distribueres ved selvreplikering.
Eksempel
D...
IT-Sikkerhedsudfordringer i Smart Grids
Mange interessenter
Forskellige/modsatrettede interesser
NISTIR 7628 identificerer ...
IT-Sikkerhedsudfordringer i Smart Grids
Kritisk kommunikationsinfrastruktur
Kommunikation central i Smart Grid infrastrukt...
Ikke kun Smart Grids
S˚arbar Infrastruktur og Industri
Vand- og varme-forsyning
Industriel produktion
Potentielt: transpor...
Stuxnet: et vink med en vognstang
Scenarie 4: Realistisk?
Nationalstat bruger specialiseret “orm” til at infiltrere kontrol...
Sidespor: Zero-day? Payload?
Definition
En zero-day s˚arbarhed er en sikkerhedsbrist der angiveligt er i brug inden
den offe...
Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
Via USB nøgle el.lign.
Administ...
Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
2 Scan og opdater
Bruges maskin...
Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
2 Scan og opdater
3 Angreb p˚a ...
Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
2 Scan og opdater
3 Angreb p˚a ...
Stuxnet: et vink med en vognstang
Overordnet virkem˚ade
1 Infektion og spredning (Windows)
2 Scan og opdater
3 Angreb p˚a ...
Hvorfor er (IT-)sikkerhed s˚a svært?
Høj grad af asymmetri
Angribere behøver kun een succes
Potentielt mange angribere
Bil...
Hvorfor er (IT-)sikkerhed s˚a svært?
Vanetænkning (“Den Digitale Maginot-linie”)
“Det er bare teenagere med for megen tid”...
Løsninger (AAU)?
Formelle metoder under design og udvikling
Model checking
Kan bruges løbende under design og udvikling
Ka...
Løsninger?
Den største trussel mod IT-sikkerhed?
Mennesker...
(TREsPASS: EU projekt, modellering af menneskelig opførsel o...
Ross Anderson: “Security Engineering”
Meget omfattende (800+ sider), men let læst
Frit tilgængelig: http://www.cl.cam.ac.u...
Upcoming SlideShare
Loading in …5
×

Smart Grids og IT-sikkerhed af René Rydhof Hansen, Aalborg Universitet

538 views

Published on

Oplægget blev holdt ved eftermiddagsmødet "Fungerer Smart Grid i den virkelige verden?", der blev afholdt af InfinIT og IDA den 26. september 2013.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
538
On SlideShare
0
From Embeds
0
Number of Embeds
224
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Smart Grids og IT-sikkerhed af René Rydhof Hansen, Aalborg Universitet

  1. 1. Smart Grids og IT-Sikkerhed Ren´e Rydhof Hansen & Kim Guldstrand Larsen Institut for Datalogi, Aalborg Universitet IDA, 26 SEP 2013 Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 1 / 16
  2. 2. IT Sikkerhed? Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 2 / 16
  3. 3. IT Sikkerhed? Auditability, accountability, confidentiality, non-interference, delimited release, non-repudiability, authentication, assurance, trusted computing base, non-malleability, intrusion detection, intrusion prevention, tamper-proof, tamper evident, robust declassification, anonymity, privacy, fail-stop, fail-safe, access control, Biba, trust management, non-disclosure, intransitive non-interference, Bell-LaPadula, tranquility, insider, decentralised label model, secure information flow, cryptographic mix nets, onion router, eternity service, selective dependency, erasure policies, principle of least privilege, sandboxing, penetration test, trusted path, separation of duty, integrity, cryptography, hash function, key exchange protocol, Diffie-Hellman, steganography, tempest, side channel attack, man in the middle, biometrics, red/black networks, firewall, polymorphic virus, worm, denial of service, buffer overflow, privilege escalation, one-time pad, stream cipher, reference monitor, Feistel network, differential power analysis, Dolev/Yao attacker, time of check to time of use, Common Criteria, rainbow series, VPN, availability, stack inspection, . . . Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 2 / 16
  4. 4. IT Sikkerhed? Auditability, accountability, confidentiality, non-interference, delimited release, non-repudiability, authentication, assurance, trusted computing base, non-malleability, intrusion detection, intrusion prevention, tamper-proof, tamper evident, robust declassification, anonymity, privacy, fail-stop, fail-safe, access control, Biba, trust management, non-disclosure, intransitive non-interference, Bell-LaPadula, tranquility, insider, decentralised label model, secure information flow, cryptographic mix nets, onion router, eternity service, selective dependency, erasure policies, principle of least privilege, sandboxing, penetration test, trusted path, separation of duty, integrity, cryptography, hash function, key exchange protocol, Diffie-Hellman, steganography, tempest, side channel attack, man in the middle, biometrics, red/black networks, firewall, polymorphic virus, worm, denial of service, buffer overflow, privilege escalation, one-time pad, stream cipher, reference monitor, Feistel network, differential power analysis, Dolev/Yao attacker, time of check to time of use, Common Criteria, rainbow series, VPN, availability, stack inspection, . . . Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 2 / 16
  5. 5. IT Sikkerhed Confidentiality (hemmeligholdelse) Integrity (integritet) Availability (tilgængelighed) Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 3 / 16
  6. 6. IT Sikkerhed Confidentiality (hemmeligholdelse) Hemmeligheder skal holdes... hemmelige Eksempel: CPR, kortnumre, personfølsomme oplysningerm ... Smart Grid eksempel: (privat-)forbrug Integrity (integritet) Data skal være autentiske og m˚a kun ændres p˚a en autoriseret m˚ade Eksempel: kontrolsoftware, “to underskrifter” Smart Grid eksempel: forbrug Availability (tilgængelighed) Autoriserede brugere skal kunne tilg˚a deres data Eksempel: Dankortterminaler, netbank, NemID, RejseKort, ... Smart Grid eksempel: Kontrol-software/-systemer Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 3 / 16
  7. 7. IT-Sikkerhedsudfordringer i Smart Grids Scenarie 1: Snyd eller uheld? Individuel forbruger manipulerer (bevidst eller ved et tilfælde) sin egen m˚aler, s˚a den underrapporterer det faktiske forbrug. Scenarie 2: Markedsundersøgelse eller angreb? Tredjepart indsamler detaljerede individuelle forbrugsmønstre for et større villakvarter. Data videresælges til konkurrerende producent/distributør. Scenarie 3: Terror eller happening? “Hacktivist” udnytter en sikkerhedsbrist i sin m˚aler (fundet via Google) og bruger den til at sprede en virus (fundet via Goggle) der slukker al lyset i hele landsbyen i en time. Scenarie 4: Realistisk? Nationalstat bruger specialiseret “orm” til at infiltrere kontrolsoftwaren for en stor vindmøllefarm... og ødelægger alle møllerne. Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 4 / 16
  8. 8. Sidespring: “Orm” og “Virus”? Definition En orm er et selvstændigt program der distribueres ved selvreplikering. Eksempel Den første kendte orm (November 1988): “Morris” ormen. “Smart Meter Worm” (Mike Davis, BlackHat 2009); overtog 16.000 smart meters i simuleret angreb via WiFi. Definition En virus er en stump kode (i et værtsprogram) der ved udførsel (af værtsprogrammet) replikerer sig selv og inficerer et nyt værtsprogram. Malware Ondsindet program, fx orm eller virus. (Spear-)phishing, drive-by, ... Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 5 / 16
  9. 9. IT-Sikkerhedsudfordringer i Smart Grids Mange interessenter Forskellige/modsatrettede interesser NISTIR 7628 identificerer syv domæner Producent Transmission Distribution Kunde/forbruger Marked(er) Drift Serviceudbyder “Interesseret tredjepart”: hackere, konkurrenter, kriminelle, ... Mange forskellige systemer der skal koordineres/integreres Angreb muligt p˚a mange niveauer Heterogene systemer Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 6 / 16
  10. 10. IT-Sikkerhedsudfordringer i Smart Grids Kritisk kommunikationsinfrastruktur Kommunikation central i Smart Grid infrastruktur Lukket (tr˚adløst) net vs. Internettet Mange adgangspunkter Smart meters hos forbrugere (= potentielle angribere) Vanskeligt at sikre automatisk opdatering (patching) Spionage & Sabotage Kortlægning af infrastruktur Lukning af hele eller dele af grid’et Cyberterror/Cyberwar IT-Sikkerhed er nyt pensum IT-Sikkerhed relativt nyt i indlejrede systemer og ICS “The Internet of Things” Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 7 / 16
  11. 11. Ikke kun Smart Grids S˚arbar Infrastruktur og Industri Vand- og varme-forsyning Industriel produktion Potentielt: transportinfrastruktur Elektrificerede jernbaner Digitaliserede signaler Autonome biler Fællestræk: SCADA SCADA (Supervisory Control And Data Acquisition) Industrial Control System (ICS) Typisk til anlæg og processer i stor skala: infrastruktur og industriel produktion Mange komponenter: interface, monitor/kontrol, PLC’ere, kommunikationsinfrastruktur, ... Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 8 / 16
  12. 12. Stuxnet: et vink med en vognstang Scenarie 4: Realistisk? Nationalstat bruger specialiseret “orm” til at infiltrere kontrolsoftwaren for en stor vindmøllefarm... og ødelægger alle møllerne. Juni 2010 En ukendt orm opdages af sikkerhedsfirmaet VirusBlokAda fra Hviderusland p˚a en kundes computer. En række usædvanlige træk sætter gang i et verdensomspændende opklaringsarbejde. Usædvanlige træk Delkomponenter underskrevet med to gyldige certifikater Usædvanlig stor (ca. 500KB) Fire zero day s˚arbarheder Meget specifikt m˚al Meget specifik skade Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 9 / 16
  13. 13. Sidespor: Zero-day? Payload? Definition En zero-day s˚arbarhed er en sikkerhedsbrist der angiveligt er i brug inden den offentliggøres. En resource med stor værdi for angribere. Definition Payload: den kode (i malware) der skal ramme det endelige m˚al. Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 10 / 16
  14. 14. Stuxnet: et vink med en vognstang Overordnet virkem˚ade 1 Infektion og spredning (Windows) Via USB nøgle el.lign. Administratorrettigheder via zero-day Gyldigt certifikat til undg˚aelse af antivirus/intrusion detection Installation af root-kit 2 Scan og opdater 3 Angreb p˚a PLC (WinCC/Step 7) 4 Aflevering af “payload” (p˚a PLC) Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
  15. 15. Stuxnet: et vink med en vognstang Overordnet virkem˚ade 1 Infektion og spredning (Windows) 2 Scan og opdater Bruges maskinen til PLC programmering? (Siemens Step7) Infektion af kørende Step7 process Infektion af alle Step7 projektfiler Ændring sørger for at Stuxnet modul køres Adgang til Internet? Eventuelle opdateringer og/eller nye instrukser downloades To kendte Command and Control servere (en i Danmark) Videre spredning (via LAN, USB, Step7, ...) 3 Angreb p˚a PLC (WinCC/Step 7) 4 Aflevering af “payload” (p˚a PLC) Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
  16. 16. Stuxnet: et vink med en vognstang Overordnet virkem˚ade 1 Infektion og spredning (Windows) 2 Scan og opdater 3 Angreb p˚a PLC (WinCC/Step 7) Stuxnet overv˚ager kommunikation mellem kontrolsoftware og PLC Indsætter egne kodeblokke Skjuler ændringer og atypisk/unormal opførsel 4 Aflevering af “payload” (p˚a PLC) Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
  17. 17. Stuxnet: et vink med en vognstang Overordnet virkem˚ade 1 Infektion og spredning (Windows) 2 Scan og opdater 3 Angreb p˚a PLC (WinCC/Step 7) 4 Aflevering af “payload” (p˚a PLC) Undersøger om PLC’en kontrollerer en centrifuge Undersøger frekvensen (mellem 807–1210 Hz) Ændrer frekvensen til 1402Hz, til 2Hz, til 1064Hz og gentager Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
  18. 18. Stuxnet: et vink med en vognstang Overordnet virkem˚ade 1 Infektion og spredning (Windows) 2 Scan og opdater 3 Angreb p˚a PLC (WinCC/Step 7) 4 Aflevering af “payload” (p˚a PLC) M˚alet? Angriber? Formentlig rettet mod centrifuger brugt til at fremstille beriget uran p˚a anlæg i Natanz, Iran. Formentlig en (eller flere) nationalstat(er), grundet anvendte resourcer og kompleksitet Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 11 / 16
  19. 19. Hvorfor er (IT-)sikkerhed s˚a svært? Høj grad af asymmetri Angribere behøver kun een succes Potentielt mange angribere Billige angreb; dyrt forsvar I software: sm˚a fejl, (uforholdsmæssigt) store konsekvenser Svært at undg˚a fejl i software (generelt) Een fejl pr. 1000 (2000? 5000?) linier kode Mac OSX (2006): 86.000.000 linier kode Windows Server 2003: 50.000.000 linier kode Linux (kerne version 3.6): 16.000.000 linier kode Linux Debian Distribution 204.000.000 linier kode(!) Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 12 / 16
  20. 20. Hvorfor er (IT-)sikkerhed s˚a svært? Vanetænkning (“Den Digitale Maginot-linie”) “Det er bare teenagere med for megen tid” “Der er ingen hackere der er interesserede i os” “Vi kan altid tilføje sikkerhed senere” “Vi bruger (vores egen) krypto” “Vi har tre firewalls og to anti-virus programmer” “Vi bruger specialiseret hardware som ingen kender” Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 13 / 16
  21. 21. Løsninger (AAU)? Formelle metoder under design og udvikling Model checking Kan bruges løbende under design og udvikling Kan garantere mod mange former for angreb Har længe været anvendt til sikkerhed og sikkerhed Ulempe: ikke fuldt automatisk, modellen skal genereres Statisk programanalyse Fuldautomatisk analyse af programkoden Mest nyttigt i udviklingsfasen Har længe været anvedt til sikkerhed og sikkerhed Ulemper: ikke nemt at bruge i designfasen, falske positiver Netværkssikkerhed Intrusion-detection p˚a SCADA netværk (Ramin Sadre/AAU) Trafikken p˚a SCADA netværket overv˚ages og analyseres “Klassisk” netværkssikkerhed p˚a SCADA netværk Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 14 / 16
  22. 22. Løsninger? Den største trussel mod IT-sikkerhed? Mennesker... (TREsPASS: EU projekt, modellering af menneskelig opførsel og sikkerhed) Overordnet ledelse/organisation Tag truslen seriøst Lav (løbende) trussels- og risiko-vurderinger Invester i sikkerhed (fx uddannelse, konsulenthjælp, ...) Gør sikkerhed (og ansvar) synligt Tænk sikkerhed ind fra starten (for alle interessenter) Hav et beredskab parat til n˚ar det g˚ar galt Citat “Sikkerhed er en proces, ikke et produkt” (Bruce Schneier) Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 15 / 16
  23. 23. Ross Anderson: “Security Engineering” Meget omfattende (800+ sider), men let læst Frit tilgængelig: http://www.cl.cam.ac.uk/~rja14/book.html Ren´e Rydhof Hansen (rrh@cs.aau.dk) Smart Grids og IT-Sikkerhed 26 SEP 2013 16 / 16

×