Hot mot (och risker med) SCADA-system* - Svensk Energi
Hot mot (och risker med) SCADA-system* - Svensk Energi Hot mot (och risker med) SCADA-system* - Svensk Energi
Hot mot (och risker med) SCADA-system* Henrik Christiansson Totalförsvarets forskningsinstitut (FOI)/ Krisberedskapsmyndigheten (KBM) Presentation • Bakgrund • Vad vet vi har hänt? Hur vet vi det? • Vad skulle kunna bidra till att allvarliga SCADA-incidenter inträffar i framtiden? Hur tar man reda på det och vem gör det? • Vad betyder detta för oss i Sverige? *SCADA och system i en vid bemärkelse 06-04-26 Henrik Christiansson 1
- Page 2 and 3: Presentation av Henrik • Examensj
- Page 4 and 5: Varför SCADA-säkerhet? Kontor SCA
- Page 6 and 7: Dokument som handlar om SCADA-säke
- Page 8 and 9: Generiska hot mot SCADA-system* •
- Page 10 and 11: Förövare i dessa fall • Angrepp
- Page 12 and 13: Källor om SCADA-säkerhetsincident
- Page 14 and 15: Analysen av de studerade 120 SCADA-
- Page 16 and 17: Analysen av de studerade 120 SCADA-
- Page 18 and 19: Sammanfattning av studien • De st
- Page 20 and 21: J. Städje, Klart Krylbo för Banve
- Page 22 and 23: Stora svårigheter att värdera hot
- Page 24 and 25: Security National SCADA Red teaming
- Page 26 and 27: Beskrivning av INL “These are the
- Page 28 and 29: Security Presentation av Hank Kench
- Page 30 and 31: Vad granskar INL och hur bedömer m
- Page 32 and 33: Tester gjorda vid BCIT Eric Byres,
- Page 34 and 35: http://www.inl.gov/nationalsecurity
- Page 36 and 37: Differentierade goda råd från NER
- Page 38 and 39: Sammanfattningsvis, hur arbetar INL
- Page 40 and 41: De nationella säkerhetslaboratorie
- Page 42 and 43: NSL hotbedömning mot SCADA-system
- Page 44 and 45: NSL hotbedömning mot SCADA-system
- Page 46 and 47: NSL hotbedömning mot SCADA-system
- Page 48 and 49: Vad betyder detta för oss? • Hur
- Page 50 and 51: Totalförsvarets forskningsinstitut
<strong>Hot</strong> <strong>mot</strong> (<strong>och</strong> <strong>risker</strong> <strong>med</strong>) <strong>SCADA</strong>-<strong>system*</strong><br />
Henrik Christiansson<br />
Totalförsvarets forskningsinstitut (FOI)/<br />
Krisberedskapsmyndigheten (KBM)<br />
Presentation<br />
• Bakgrund<br />
• Vad vet vi har hänt?<br />
Hur vet vi det?<br />
• Vad skulle kunna bidra till att allvarliga<br />
<strong>SCADA</strong>-incidenter inträffar i framtiden?<br />
Hur tar man reda på det <strong>och</strong> vem gör det?<br />
• Vad betyder detta för oss i Sverige?<br />
*<strong>SCADA</strong> <strong>och</strong> system i en vid bemärkelse<br />
06-04-26 Henrik Christiansson 1
Presentation av Henrik<br />
• Examensjobb 1991 på Joint European Torus, EU:s<br />
fusionsplasmaanläggning utanför Oxford.<br />
• Tekn. Dr. i teoretisk fysik 1997 vid KTH<br />
• Forskare vid Avd. för Försvarsanalys vid<br />
Totalförsvarets forskningsinstitut sedan 1997. Fokus<br />
på arbetet har legat på IT-säkerhet inom kritiska<br />
infrastrukturer <strong>med</strong> avseende på kvalificerade hot*<br />
(på en teknisk systemnivå)<br />
• Bevaka <strong>och</strong> värdera pågående forskning inom<br />
<strong>SCADA</strong>-säkerhetsområdet <strong>och</strong> etablera kontakt <strong>med</strong><br />
de som är ”världsledande” inom området**<br />
* Statens ansvarsområde<br />
**För Krisberedskapsmyndighetens<br />
räkning<br />
06-04-26 Henrik Christiansson 2
Händelser*<br />
• About 3:28 p.m. on June 10, 1999, a pipeline ruptured and<br />
released about 237,000 gallons of gasoline into a creek<br />
• About 1 1/2 hours after the rupture, the gasoline ignited<br />
and burned approximately 1 1/2 miles along the creek.<br />
• Two 10-yearold boys and an 18-year-old young man died<br />
as a result of the accident. Eight additional injuries were<br />
documented.<br />
• A single-family residence and the city water<br />
treatment plant were severely damaged. The estimated cost<br />
for the total property damages were at least $45 million.<br />
Orsaker*<br />
• Damage done to the pipe during the 1994<br />
modification project<br />
• …<br />
• The Company’s practice of performing database<br />
development work on the supervisory control and<br />
data acquisition (<strong>SCADA</strong>) system while the system<br />
was being used to operate the pipeline, which led<br />
to the system’s becoming non-responsive at a<br />
critical time during pipeline operations.<br />
*National Transportation Safety Board, Pipeline Accident Report,<br />
Pipeline Rupture and Subsequent Fire<br />
in Bellingham, Washington, June 10, 1999, (October 2002)<br />
06-04-26 Henrik Christiansson 3
Varför <strong>SCADA</strong>-säkerhet?<br />
Kontor<br />
<strong>SCADA</strong><br />
Elsystem<br />
Olja/Gassystem<br />
• Standardteknologier<br />
<strong>med</strong> kända sårbarheter<br />
• Ihopkoppling <strong>med</strong><br />
andra system<br />
• Osäkra accesspunkter<br />
• Teknisk information<br />
om <strong>SCADA</strong> tillgänglig<br />
• Högre beroende av<br />
automation<br />
06-04-26 Henrik Christiansson 4
Dokument som handlar om <strong>SCADA</strong>-säkerhet*<br />
*Ad-hoc insamling<br />
av 128 dokument<br />
Från kommande<br />
FOI-KTH-KBM<br />
studie<br />
???<br />
Totalt<br />
Hög kvalité<br />
HEMLIGT<br />
Hög kvalité<br />
Mer eller<br />
mindre öppet<br />
Observerat<br />
06-04-26 Henrik Christiansson 5
Dokument som handlar om <strong>SCADA</strong>-säkerhet*<br />
-<br />
Varifrån kommer de?<br />
Kommersiell<br />
24%<br />
Industri<br />
13%<br />
Akademisk<br />
17%<br />
Nationell<br />
46%<br />
*Ad-hoc insamling<br />
Från kommande FOI-KTH-KBM studie<br />
Australien<br />
7%<br />
Asien<br />
1%<br />
Sverige<br />
06-04-26 Henrik Christiansson 6<br />
EU<br />
9%<br />
2%<br />
Nordamerika<br />
81%
Vad vet vi har hänt när det gäller <strong>SCADA</strong>incidenter?<br />
06-04-26 Henrik Christiansson 7
Generiska hot <strong>mot</strong> <strong>SCADA</strong>-<strong>system*</strong><br />
• Främmande stater<br />
Dessa kan ha avsikter av fientliga eller underrättelse karaktär<br />
• Terrorister<br />
Dessa kan ha som avsikt att lägga elektronisk attack till sin arsenal<br />
• Aktivister<br />
Dessa kan ha som avsikt att genomföra publicitetsskapande attacker<br />
• Hackers (crackers) <strong>och</strong> virusskapare<br />
Motiveras framförallt av utmaning <strong>och</strong> fascination av ”high-tech”<br />
• Insider<br />
Det vanligaste kända <strong>mot</strong>ivet för insiders är hämnd<br />
• ”Mer eller mindre begåvade ‘script kiddies’ ”<br />
Är oftast ”fientligt” inställda <strong>mot</strong> allt på Internet eller<br />
spänningssökande i allmänhet.<br />
* The electronic Attack (eA) Threat to<br />
Supervisory Control and Data Acquisition (<strong>SCADA</strong>)<br />
Control & Automation Systems,<br />
NISCC Briefing 02/04, Issued 15 July 2004<br />
06-04-26 Henrik Christiansson 8
Utförs verkligen attacker <strong>mot</strong> <strong>SCADA</strong>-system?*<br />
Mars 2000: En missnöjd tidigare konsult<br />
tog kontroll över kontrollsystemet för ett<br />
vattenreningssystem i Australien.<br />
Konsekvensen av attacken blev att<br />
miljoner liter obehandlat<br />
vatten översvämmade ett område.<br />
Januari 2003: Säkerhetsövervakningssystemet vid<br />
kärnkraftverket Davis-Besse i USA, som vid tillfället<br />
var avställd, infekterades <strong>med</strong> SLAMMER-masken.<br />
Systemet var ur funktion i nära fem timmar. Orsaken<br />
var dels en felimplementerad förbindelse in i<br />
kärnkraftverkets datornät <strong>och</strong> dels en dator utan<br />
virusskydd som betraktades som fristående <strong>och</strong><br />
där<strong>med</strong> inte i behov av sådant. Det fanns redundanta,<br />
analoga reservsystem som var opåverkade av masken<br />
men operatörerna vid verket fick en avsevärt ökad<br />
arbetsbelastning.<br />
Maj 2004: SASSER-masken infekterade ett signal- <strong>och</strong> kontrollsystem vid<br />
det australiensiska lokaltågsoperatören Railcorp. 300 000 pendlare i <strong>och</strong><br />
runt Sydney saknade transport<strong>med</strong>el för en dag.<br />
December 2000: En grupp ”hackers” angriper ett<br />
datornätverk i en kraftanläggning (power utility) i<br />
USA genom att utnyttja svagheter i ett använt<br />
protokoll. Sedan användes det ”övertagna”<br />
nätverksresurserna för att spela datorspel. Detta<br />
utnyttjande av dator- <strong>och</strong> nätverksresurser<br />
hindrade påtagligt möjligheten för anläggningen<br />
att bedriva affärer <strong>med</strong> sin elektricitet (electricity<br />
trading).<br />
Augusti 2003: En amerikansk tågoperatörs<br />
datornätverk för signalering infekteras av en<br />
mask vilket leder till att alla tåg står stilla i<br />
en halv dag<br />
*Martin Naedele, Dacfey Dzung, IT<br />
security in industrial<br />
plants – an introduction, Industrial<br />
information system security, ABB Review<br />
2/2005<br />
06-04-26 Henrik Christiansson 9
Förövare i dessa fall<br />
• Angreppet <strong>mot</strong> avloppssystemet genomfördes av en insider<br />
• Angreppet <strong>mot</strong> kraftanläggningen genomfördes av hackers<br />
• Kärnkraftsverkets <strong>och</strong> de två tågoperatörernas system<br />
infekterades av maskar som inte var speciellt avsedda för att<br />
slå <strong>mot</strong> dessa system. Maskarna var troligen konstruerade av<br />
“vanliga” virusskapare.<br />
Vad är känt om de andra typerna av angripare?<br />
• Främmande stater?<br />
• Terrorister? Inga kända fall!<br />
06-04-26 Henrik Christiansson 10
Stat som ”attackerar” <strong>SCADA</strong>-system – enda ex.!<br />
• Siberian Gas Pipeline Explosion (USSR, 1982)<br />
–BCIT ISID No. 32<br />
While the following cannot be fully confir<strong>med</strong>, it has been reported<br />
that during the Cold War the CIA inserted malicious code into control<br />
system software leaked to the Soviet Union. The software, which<br />
controlled pumps, turbines, and valves on a Soviet gas pipeline, was<br />
program<strong>med</strong> to malfunction after a set interval. The malfunction<br />
caused the control system to reset pump speeds and valve settings<br />
to produce pressures beyond the failure ratings of pipeline joints and<br />
welds, eventually causing an enormous explosion. Kom ihåg detta!!!<br />
● Detta har mer eller mindre verifierats av V. Cherkashin, G.<br />
Feifer, Spy Handler, Memoir of a KGB officer. The true story<br />
of the man that who recruited Robert Hanssen and Aldrich<br />
Ames, Basic Books, 2005.<br />
06-04-26 Henrik Christiansson 11
Källor om <strong>SCADA</strong>-säkerhetsincidenter (attacker)?<br />
• Inte helt lätt eftersom<br />
Det inte finns någon specifik entitet som tar e<strong>mot</strong> rapporter<br />
Det inte finns någon rapportstandard<br />
Flera sektorer kan potentiellt sett lämna underlag<br />
Informationen som berörs är känslig t o m rikets säkerhet kan beröras<br />
• Nyligen kom en rapport från Idaho National Laboratory, som hanterar US-<br />
CERT Control Systems Security Center, <strong>med</strong> titeln Cyber Incidents<br />
Involving Control Systems (October 2005)<br />
• Syftet var bland annat att<br />
Etablera ”business cases” för <strong>SCADA</strong>-säkerhet<br />
Metodutveckling för rapportering <strong>och</strong> analys av <strong>SCADA</strong>-säkerhetsincidenter<br />
• Detta resulterade i att 120 incidenter valdes ut för att de ansågs viktiga ur<br />
perspektivet att de gav underlag om ”cyberterroristhotet” <strong>mot</strong> <strong>SCADA</strong>system<br />
06-04-26 Henrik Christiansson 12
Källor som studerades <strong>och</strong> sedan användes:<br />
• US-CERT Coordination Center (CERT®/CC)<br />
• Industrial Security Incident Database (ISID; British Columbia Institute of<br />
Technology [BCIT] proprietary)<br />
• Energy Incident Database (proprietary)<br />
• National Memorial Institute for the Prevention of Terrorism (MIPT)<br />
• Process Control Cyber Security Forum<br />
• National Counterintelligence Center<br />
• Embedded systems failures<br />
• Supervisory Control and Data Acquisition (<strong>SCADA</strong>) discussion list<br />
• SysAdmin, Audit, Network (SANS) Institute<br />
• 2003 CSI/FBI Computer Crime and Security Survey<br />
• Kema Inc.:s Informal Process Control System Cyber Impact Database<br />
• Lawrence Livermore National Laboratory (LLNL)<br />
• Idaho National Laboratory (INL) Cyber Incident Database.<br />
06-04-26 Henrik Christiansson 13
Analysen av de studerade 120 <strong>SCADA</strong>-cyberattackerna<br />
[användarfel]<br />
Typ av incident<br />
[Riktad attack]<br />
[Penetrationstester]<br />
[Virus eller mask]<br />
”Angriparen”<br />
06-04-26 Henrik Christiansson 14
Analysen av de studerade 120 <strong>SCADA</strong>-cyberattackerna<br />
”Angriparens” bakgrund<br />
[1%]<br />
[4% ???]<br />
06-04-26 Henrik Christiansson 15
Analysen av de studerade 120 <strong>SCADA</strong>-cyberattackerna<br />
”Angriparens” <strong>mot</strong>iv<br />
[1%]<br />
06-04-26 Henrik Christiansson 16
BCIT ISID – Analys av attacker för 2002 - 2004<br />
Attacker från utsidan Konsekvenser<br />
Internet Direct<br />
25%<br />
Other<br />
24%<br />
Wireless System<br />
10%<br />
Corprate WAN<br />
17%<br />
Via Business<br />
Network<br />
12%<br />
Dial-Up Modem<br />
12%<br />
Loss of Staff Time<br />
14%<br />
Loss of Equipment<br />
Control<br />
12%<br />
Loss of View<br />
25%<br />
Equipment Damage<br />
or Loss<br />
7%<br />
All Other<br />
Categories<br />
14%<br />
Loss of Production<br />
28%<br />
06-04-26 Henrik Christiansson 17
Sammanfattning av studien<br />
• De studerade incidenterna indikerar att<br />
Risken för nationell infrastruktur är reell men mycket låg för tillfället dock <strong>med</strong><br />
reservation för det otillräckliga historiska underlaget<br />
Trenden är ökande <strong>och</strong> industriexperter anser att antalet incidenter är<br />
10-faldigt det som kan ses i ”öppna” källor<br />
De ekonomiska förlusterna från incidenterna är låga <strong>och</strong> överstiger sällan<br />
1 miljon dollar (dock görs sällan monetära uppskattningar )<br />
• Diskrepansen i antal mellan attacker <strong>mot</strong> ”IT” respektive ”<strong>SCADA</strong>” anses<br />
bero på att terrorister <strong>och</strong> illasinnade stater inte har uppfattat <strong>SCADA</strong>system<br />
som attraktiva mål (än!?!). Detta kan bero på att<br />
Värdet av data i IT-världen är ofta lättbegripligt (bankkonton etc) <strong>med</strong>an värdet<br />
av data i <strong>SCADA</strong>-världen är svårbegripligt om man inte förstår processerna<br />
För att fullt ut nyttja riktade attacker <strong>mot</strong> <strong>SCADA</strong> krävs det detaljerad teknisk<br />
kunskap om processerna för att åstadkomma avsevärd skada. Högrisk<br />
processer skyddas fortfarande av redundanta icke-elektroniska skyddssystem<br />
Lättare att angripa kritisk infrastruktur <strong>med</strong> fysiska <strong>med</strong>el<br />
06-04-26 Henrik Christiansson 18
Sammanfattning av studien (forts)<br />
• Det finns en framtida potential för att <strong>risker</strong>na är avsevärt högre för<br />
<strong>SCADA</strong>-incidenter <strong>med</strong> allvarliga konsekvenser<br />
Det blir lättare för ”terrorister” när attackverktygen blir bättre samtidigt som<br />
tillgängligheten till <strong>SCADA</strong>-systemen <strong>och</strong> kunskapen om dem blir bättre (om<br />
trenden fortsätter). Fysiska attacker blir kanske svårtillgängligare.<br />
Terroristen kan slå <strong>mot</strong> flera olika infrastrukturer på en gång. Det kan krävas<br />
lång planering men genomförandet behöver inte kräva speciellt mycket!<br />
Relativt sett låg kostnad för material för att genomföra cyberattacker <strong>mot</strong><br />
<strong>SCADA</strong>-system<br />
Upptäcktsrisken för attackeraren är mycket liten. Att spåra attacker <strong>mot</strong><br />
<strong>SCADA</strong>-system är ännu svårare än attacker <strong>mot</strong> vanliga IT-system eftersom<br />
- <strong>SCADA</strong>-systemen inte har funktionalitet för spårning (än!)<br />
- Systemen används skarpt <strong>och</strong> kan inte tas ur drift (om de har återfått funktionalitet)<br />
Kan samordnas <strong>med</strong> fysiska attacker vilket kan skapa mycket stor utväxling<br />
för hela attacken<br />
• DOCK KRÄVS DET ATT ”TERRORISTERNA” KOMPETENSUTVECKLAR<br />
SIG INOM FLERA FÖR DEM OKÄNDA (?) OMRÅDEN!!!<br />
06-04-26 Henrik Christiansson 19
J. Städje, Klart Krylbo för Banverkets spår,<br />
Nätverk&Kommunikation 8, 2001.<br />
J. Städje, Atomernas dans<br />
styrs <strong>med</strong> fiberoptik, Nätverk&Kommunikation 14, 2001.<br />
06-04-26 Henrik Christiansson 20
Vad skulle kunna bidra till att allvarliga<br />
<strong>SCADA</strong>-incidenter inträffar i framtiden?<br />
06-04-26 Henrik Christiansson 21
Stora svårigheter att värdera hotet från<br />
kvalificerade angripare<br />
• Få kända, helt säkra, incidenter av denna karaktär<br />
• Ett trovärdigt antagande är att dessa angripare har relativt<br />
stora resurser<br />
• Innan angrepp kommer dessa angripare att ägna mycket tid åt<br />
underrättelseinhämtning, tester <strong>och</strong> utveckling<br />
• Både angriparen <strong>och</strong> försvararen måste förstå komplexa<br />
system, som har såväl informationstekniska som fysiska<br />
aspekter, för att uppnå sina mål<br />
• Vilka har mycket kvalificerad kompetens inom området?<br />
• De amerikanska nationella säkerhetslaboratorierna!<br />
06-04-26 Henrik Christiansson 22
Security<br />
Presentation av Hank Kenchington, DoE,<br />
Securing Control Systems in the Energy Sector,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 23
Security<br />
National <strong>SCADA</strong> Red teaming National <strong>SCADA</strong> CERT<br />
Presentation av Hank Kenchington, DoE,<br />
Securing Control Systems in the Energy Sector,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 24
• På den cirka 2500 kvadratkilometer stora ytan<br />
finns<br />
kärnreaktorer,<br />
transmissions- <strong>och</strong> distributionsnät för el,<br />
vägar <strong>och</strong> järnvägssystem,<br />
vattensystem,<br />
olika typer av elektroniska kommunikationssystem<br />
styr- <strong>och</strong> reglersystem för ovanstående enheter.<br />
• INL <strong>SCADA</strong> Test<br />
Bed förmågor<br />
Idaho National Laboratory Critical Infrastructure Test Range<br />
Sårbarhetsanalyser<br />
Avancerad<br />
träning<br />
Verktygsutveckling<br />
Experiment<br />
<strong>med</strong> andra<br />
<strong>SCADA</strong> test<br />
anläggningar<br />
• INL Power Grid<br />
Ca 100 km 138<br />
kV transmissions<br />
loop<br />
13.8 kV<br />
distributionsnät<br />
“<strong>SCADA</strong>controlled,<br />
dual<br />
fed grid loop”<br />
7 substationer,<br />
som kan isolers<br />
var <strong>och</strong> en<br />
“3000 plus<br />
monitoring and<br />
control points in<br />
the system.”<br />
06-04-26 Henrik Christiansson 25
Beskrivning av INL<br />
“These are the elements – housed in our comprehensive test range,<br />
designed to be full-scale in nature, representative of real world infrastructures<br />
and capable of being isolated – that uniquely position the federal government,<br />
national laboratories, and industry to be successful in identifying and managing<br />
risk to our nation’s critical infrastructure. To the best of our knowledge, there is<br />
no similar facility in the world. And, the cache of over 100 experienced scientists,<br />
engineers, and technicians working in INL’s <strong>SCADA</strong>/Cyber Security groups<br />
are aware of the great responsibility that comes with managing these resources<br />
and the significance of our mission to assist in securing the control systems of<br />
our nation’s critical infrastructure.”<br />
House Committee on Homeland Security, Infrastructure Protection and Cyber Security Hearing on<br />
“<strong>SCADA</strong> and the Terrorist Threat: Protecting theNational’s Critical Control Systems”<br />
October 18, 2005, Testimony of Dr. K. P. Ananth, Associate Laboratory Director,<br />
National & Homeland Security, Idaho National Laboratory<br />
06-04-26 Henrik Christiansson 26
National <strong>SCADA</strong> red team vid SNL*<br />
Resultat<br />
*Från olika SNL dokument<br />
Metodik<br />
Red Team 9903<br />
20%<br />
30%<br />
Adversary Time Expenditure (%)<br />
06-04-26 Henrik Christiansson 27<br />
5%<br />
5%<br />
40%<br />
Intelligence/Logistics<br />
Live/System Discovery<br />
Detailed Preparations<br />
Testing & Practice<br />
Attack Execution
Security<br />
Presentation av Hank Kenchington, DoE,<br />
Securing Control Systems in the Energy Sector,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 28
4<br />
1’<br />
2’ 3<br />
1<br />
06-04-26 Henrik Christiansson 29<br />
2<br />
Rita Wells, INL<br />
Technology Panel 1: Testing<br />
the Security of Industrial<br />
Control Systems: Reducing<br />
the Risk for the Asset Owners,<br />
SANS <strong>SCADA</strong> Security Summit,<br />
mars 2006, Orlando
Vad granskar INL <strong>och</strong> hur bedömer man?<br />
06-04-26 Henrik Christiansson 30
Control Center Systems<br />
Substation Automation<br />
Systems<br />
Protective relays<br />
Security<br />
Paul Skare, Siemens, <strong>SCADA</strong> Security Innovations, SANS <strong>SCADA</strong><br />
Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 31
Tester gjorda vid BCIT<br />
Eric Byres, BCIT, Security Testing of Industrial Control Systems<br />
(Finding the Holes Before the Hackers Do), SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 32
Tester gjorda vid CERN<br />
Stefan Lüders, CERN,<br />
A Teststand On Control<br />
System Security at CERN<br />
ICALEPCS 2005 ─ October<br />
14th, 2005<br />
• Programmable Logic<br />
Controllers (PLCs),<br />
field devices, power supplies<br />
• 20 devices from 6 different<br />
manufacturers (35 tests<br />
in total)<br />
• All devices fully configured<br />
but running idle<br />
Vulnerability<br />
Tester<br />
Target Device(s)<br />
Switch 1Gbps<br />
Hub 100Mbps<br />
Configurator Traffic<br />
Analyzer<br />
06-04-26 Henrik Christiansson 33
http://www.inl.gov/nationalsecurity/d/inl_ss1_4h_nerc_training.pdf (7.6 MB)<br />
06-04-26 Henrik Christiansson 34
06-04-26 Henrik Christiansson<br />
35
Differentierade goda råd från NERC<br />
06-04-26 Henrik Christiansson 36
National Institute of Standards and Technology (NIST)<br />
En grov uppskattning av kostnaden för<br />
testanläggningen: 50 000-100 000 €<br />
06-04-26 Henrik Christiansson 37
Sammanfattningsvis, hur arbetar INL <strong>och</strong> SNL?<br />
• Arbetar i laboratoriemiljö<br />
PLC:er<br />
Demonstratorer<br />
Stora system<br />
• Arbetar i skarpa miljöer<br />
• Arbetar tillsammans <strong>med</strong> leverantörer <strong>och</strong> användare av<br />
<strong>SCADA</strong>-system när det gäller att analysera <strong>SCADA</strong>systemen<br />
ur ett säkerhetsperspektiv. Detta fungerar<br />
eftersom de nationella laboratorierna anses som neutrala<br />
<strong>och</strong> (antar jag) har mycket gott rykte<br />
• Analyserar hotet <strong>och</strong> sprider kunskap om det<br />
Bevakar hackerkonferenser<br />
Tar fram ”vapen”<br />
06-04-26 Henrik Christiansson 38
<strong>SCADA</strong>-säkerhetsdokument <strong>med</strong> bra ny information<br />
• INEEL National Security Division, ABB <strong>SCADA</strong>/EMS System<br />
INEEL Baseline Summary Test Report, November 2004,<br />
INEEL/EXT-04-02423<br />
• US-CERT Control Systems Security Center, Cyber Incidents<br />
Involving Control Systems, October 12, 2005, INL/EXT-05-00671<br />
• US-CERT Control Systems Security Center, Attack Methodology<br />
Analysis: Emerging Trends in Computer-Based Attack<br />
Methodologies and Their Applicability to Control System Networks,<br />
June 2005, INL/EXT-05-00477<br />
• Sandia National Laboratories’ Center for <strong>SCADA</strong> Security, Network<br />
Security Infrastructure Testing, October 12, 2005<br />
• Sandia National Laboratories’ Center for <strong>SCADA</strong> Security,<br />
Penetration Testing of Industrial Control Systems, March 7, 2005<br />
• Även DoE:s 21 steps to secure your <strong>SCADA</strong>-system <strong>och</strong> några<br />
kommande NISCC dokument är bra<br />
06-04-26 Henrik Christiansson 39
De nationella säkerhetslaboratoriernas (NSL)<br />
hotbedömning <strong>mot</strong> <strong>SCADA</strong>-system 2006<br />
• Vad kan man “se” av hotet?<br />
Presentationer vid hackerkonferenser<br />
- Blackhat USA 2005 – Shmoo Group presentation on 802.11 wireless networking<br />
within a nuclear power plant<br />
- ToorCon 2005 – <strong>SCADA</strong> Exposed<br />
- Blackhat Federal 2006 – <strong>SCADA</strong> Security andTerrorism: We’re Not Crying Wolf!<br />
• Det “normala” hackersamhället är allt mer <strong>med</strong>vetet om att <strong>SCADA</strong>system<br />
kan vara värdefulla mål<br />
• De presentationer som har gjorts hittills har varit av grundläggande<br />
karaktär <strong>och</strong> inte imponerat på INL. Dock imponerade de kommentarer<br />
som gjordes av åhörarna vid t ex ToorCon 2005<br />
• Historiskt ligger hackerkonferenser 12-18 månader efter det som<br />
”profesionella hackers” kan <strong>och</strong> gör<br />
Mike Assante, Rob Hoffman, Jason Larsen, INL , What is the Real Threat to <strong>SCADA</strong> Systems? SANS<br />
Webcast Presentation, February 22, 2006 samt Jason Larsen, INL, Understanding the Threat, SANS<br />
<strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 40
De nationella säkerhetslaboratoriernas<br />
hotbedömning <strong>mot</strong> <strong>SCADA</strong>-system 2006<br />
• Hur kommer man in i <strong>SCADA</strong>-systemen?<br />
Dial-Up modems<br />
ICCP Links<br />
Mirrored database links<br />
Bad firewall rules<br />
Vendor VPNs<br />
Corporate VPNs<br />
Weather and external data<br />
•…..<br />
Jason Larsen, INL, Understanding the Threat,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 41
NSL hotbedömning <strong>mot</strong> <strong>SCADA</strong>-system 2006<br />
The recreational hacker (script kiddie)<br />
• Typically have a library of published overflows<br />
• Know how to use them well<br />
• If a worm can get there so can a kiddie<br />
A worm is a dumb piece of code<br />
A kiddie isn’t much smarter but seems to have a better track record than a<br />
worm<br />
● Your IDS will go nuts while he’s attacking you<br />
● If a kiddie can get into your <strong>SCADA</strong> network, he has a tough time<br />
controlling it<br />
The best he can do is export the screen and click around<br />
Jason Larsen, INL, Understanding the Threat,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 42
NSL hotbedömning <strong>mot</strong> <strong>SCADA</strong>-system 2006<br />
The professional attacker<br />
• Professional hackers have a goal when doing anything - they also have a<br />
plan. They’re in it for long-term access, not a quick fix<br />
• Professionals have a copy of every commercial IDS<br />
They refine their exploits until they aren’t detected<br />
• They only hack in through your front door as a last resort<br />
Dial-up Modems, VPNs, Wirless Access Points<br />
• Log files will be doctored to make it appear as if it’s a normal failure. If<br />
you see an attacker talking to a vendor-specific port, he’s a professional<br />
• Seem to prefer supply-chain management to hacking in<br />
Modify the vendor’s software<br />
Modify patches in-route<br />
• Analyze <strong>SCADA</strong> systems for the least-changing components and attack<br />
those first<br />
Jason Larsen, INL, Understanding the Threat,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 43
NSL hotbedömning <strong>mot</strong> <strong>SCADA</strong>-system 2006<br />
Exploits of today and tomorrow<br />
• Man-in-the-Middle<br />
• Database Hijacking<br />
• Anti-Virus<br />
Clam AntiVirus Archive Scanning Memory Corruption Vulnerability<br />
Clam AntiVirus E-mail Address Logging Format String Vulnerability<br />
Symantec Norton AntiVirus ActiveX Control Re<strong>mot</strong>e Code Execution<br />
Vulnerability<br />
• Vector Analysis<br />
• Vendor Code Modification<br />
• New Architectures<br />
Jason Larsen, INL, Understanding the Threat,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 44
NSL hotbedömning <strong>mot</strong> <strong>SCADA</strong>-system 2006<br />
What's happening now?<br />
• Hackers are learning hardware<br />
Usb keys and firewire devices directly using DMA channels to directly modify<br />
kernel memory<br />
Hacking into cell phones and PDAs is becoming commonplace<br />
More hackers know embedded OSs<br />
• Corporate users are leaving the network<br />
Toorcon was run on a single EVDO wireless card<br />
If I have high-speed wireless broadband wherever I go, why will I connect to<br />
the corporate LAN?<br />
Increased security is a pain<br />
Google is already exporting corporate documents via Google Desktop<br />
Jason Larsen, INL, Understanding the Threat,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 45
NSL hotbedömning <strong>mot</strong> <strong>SCADA</strong>-system 2006<br />
What does this mean?<br />
• Your field equipment will start sharing hardware and software with PDAs<br />
Hackers will have off-the-shelf exploits for your field equipment<br />
I expect two years from now we'll be discussing how to protect the <strong>SCADA</strong><br />
network from the field equipment<br />
• The business LAN will stop being an effective first line of defense<br />
• After much kicking and screaming, corporate VPNs will turn into mobile<br />
laptop VPNs<br />
• Vendors will push wireless HMIs and low-cost wireless runs over lowcost,<br />
“reliable” broadband<br />
Jason Larsen, INL, Understanding the Threat,<br />
SANS <strong>SCADA</strong> Security Summit, mars 2006, Orlando<br />
06-04-26 Henrik Christiansson 46
Slutsatser<br />
• Vad vet vi har hänt?<br />
Det finns relativt lite <strong>och</strong> ”dålig” information om <strong>SCADA</strong><br />
incidenter vilket skapar problem <strong>med</strong> att etablera business cases<br />
Det går dock att ta fram syntetiska business cases som t ex NSL<br />
gör<br />
• Vad skulle kunna bidra till att allvarliga <strong>SCADA</strong>incidenter<br />
inträffar i framtiden?<br />
Viktigt att kartlägga alla möjliga sårbarheter (IT <strong>och</strong> <strong>SCADA</strong>)<br />
- Vilka sysslar <strong>med</strong> kvalificerade <strong>SCADA</strong>-sårbarheter?<br />
◦ Nationella laboratorier i USA<br />
◦ Ryska FAPSI (<strong>mot</strong>svarigheten till svenska FRA <strong>och</strong> amerikanska NSA)<br />
har ca 50 000 anställda…<br />
Viktigt att kartlägga alla möjliga utvecklingstendenser inom IT<strong>och</strong><br />
<strong>SCADA</strong>-området <strong>och</strong> analysera dessa ur ett<br />
säkerhetsperspektiv<br />
06-04-26 Henrik Christiansson 47
Vad betyder detta för oss?<br />
• Hur allvarligt betraktar ”vi” hotet <strong>och</strong> vilken typ av information<br />
behövs om hotet?<br />
• Vilken typ av information behövs i säkerhetsarbetet:<br />
Ta reda på sårbarheter i <strong>SCADA</strong> (EMS), PLC?<br />
Etablera riktlinjer för säkra arkitekturer?<br />
Etablera goda råd för att hantera säkerhet i samband <strong>med</strong><br />
användandet av <strong>SCADA</strong>-system?<br />
● Skall man låta leverantörerna sköta säkerheten <strong>och</strong> då<br />
kanske man i bästa fall (?) får förlita sig delvis till den<br />
säkerhet som NSL tillhandahåller?<br />
● Vad skall staten göra? Hur skall man hantera uppdelningen<br />
mellan högnivå hot (terrorism <strong>och</strong> stater) <strong>och</strong> lågnivå hot<br />
(script kiddies)?<br />
06-04-26 Henrik Christiansson 48
Slut !<br />
Har du frågor kontakta gärna Henrik på<br />
henrik.christiansson@foi.se<br />
06-04-26 Henrik Christiansson 49
Totalförsvarets forskningsinstitut, FOI<br />
• En oberoende myndighet under försvarsdepartementet<br />
• 1320 anställda, av vilka 960 är forskare<br />
<strong>SCADA</strong><br />
säkerhet<br />
06-04-26 Henrik Christiansson 50
Några FOI aktiviteter kopplade till <strong>SCADA</strong> säkerhet<br />
• Genomföra studier relaterade till <strong>SCADA</strong>-säkerhet; exempel<br />
IT-relaterade sårbarheter i vattenförsörjningssystem<br />
- Översikt <strong>och</strong> ”enkla” tekniska värderingar<br />
- Försöka att karakterisera en kvalificerad angripare <strong>och</strong> dennes resurser<br />
- Försöka att beskriva konsekvenser av olika angrepp<br />
• Följa <strong>och</strong> värdera internationella aktiviteter <strong>och</strong> forskning inom<br />
<strong>SCADA</strong>-säkerhetsområdet :<br />
Process Control Security Requirements Forum (PCSRF)<br />
Forskning vid nationella laboratorier i USA <strong>och</strong> universitet<br />
• Deltagande i EU:s säkerhetsforskningsprojekt:<br />
Pågående Vital Infrastructure Threats and Assurance (VITA)<br />
Ansökan Feasibility Study on a Secure Test centre for Reliable ICTcontrolled<br />
Critical Infrastructures (FS-STRICT)<br />
06-04-26 Henrik Christiansson 51
Man räknar <strong>med</strong> att en fusionsreaktor kan vara operativ någon gång 2040-<br />
2045<br />
Person<br />
Brinnande plasma 200-300 miljoner ºC<br />
06-04-26 Henrik Christiansson 52
”Min”<br />
spektrometer<br />
50 000 ggr mer data på 17 år!<br />
06-04-26 Henrik Christiansson 53
Egna erfarenhet som ex-jobbare EU-forskningsanläggning<br />
• Jag var fysiker men jobbade <strong>med</strong> <strong>SCADA</strong> (många kompetenser blandas.<br />
Får IT-säkerhet plats? )<br />
• ”Lågstatus” att programmera <strong>mot</strong>orn vilket gjorde att jag fick göra det….!<br />
• Jag tänkte aldrig på var signalerna kom från (triggers) eller de signaler<br />
som producerades vad de skulle användas till. (Vaddå hot?).<br />
• Delsystemen var så komplexa att man har fullt upp <strong>med</strong> sin egen del<br />
(integration mellan fysiska processer <strong>och</strong> IT, vem tar ansvar för helheten<br />
<strong>och</strong> särskilt <strong>med</strong> avseende på säkerhet? )<br />
• Intressant att jämföra <strong>med</strong> EU:s kärnfysikforskningsanläggning CERN<br />
som är en av de mesta aktiva aktörerna inom <strong>SCADA</strong>-säkerhetsområdet i<br />
Europa….<br />
06-04-26 Henrik Christiansson 54
Vad gör ett <strong>SCADA</strong>-system <strong>och</strong> vad kan där<strong>med</strong><br />
vara målet för ett angrepp?<br />
• Samlar in mätdata från fältet<br />
• Sänder ut styrdata till fältet<br />
• Processar insamlad mätdata <strong>och</strong> larmar vid otillåtna tillstånd<br />
• Presenterar data för operatörerna<br />
• Validerar att operatörerna har tillstånd <strong>och</strong> utför sina aktiviteter<br />
• Sparar data för systemhistorik<br />
• Exporterar data till <strong>och</strong> importerar data från andra parter<br />
• Skapar möjligheter för att leverantörer skall kunna underhålla<br />
systemet <strong>och</strong> upprätthålla systemens funktionalitet<br />
• Konverterar mellan standard kommunikationsprotokoll <strong>och</strong><br />
fältsystemsprotokoll<br />
• Grafiskt representerar systemet ur olika perspektiv för<br />
operatörerna<br />
06-04-26 Henrik Christiansson 55