Risico’s voor procesautomatisering• OV-chipkaart hack• Stuxnet

File: PaansR Risico OV hack en Stuxnet© 2011, versie 0.05

ronald.paans@noordbeek.comwww.noordbeek.comPhone +31 71 3416911

Ronald Paans Paul Niemantsverdriet

31 augustus 2011

2Risico’s voor procesautomatisering

Risicoanalyse (NIST 800-30)

Step 1. System Characterization

Step 2. Threat Identification

Step 5. Likelihood Determination

Step 3. Vulnerability Identification

Step 4. Control Analysis

Step 6. Impact Analysis (Loss of CIAA)

Step 9. Results Documentation

Step 8. Control Recommendations

Step 7. Risk Determination

Besturingsysteem

• Informatie• Programmatuur

Applicatie

Netwerk

• Scope• Hoogste rubricering

Relevante dreigingen

Relevante kwetsbaarheden,bij getroffen maatregelen

Relevante kwetsbaarheden,bij aanvullende maatregelen

Voorstel voor aanvullendemaatregelen

2: Scope en rubricering3: Identificatie van dreigingen4: Identificatie van kwetsbaarheden

5: Analyse van effectiviteit van bestaande maatregelen

6: Risicoanalyse7: Aanvullende maatregelen

8: Herzien van risicoanalyse

1: Proces en tooling

3Risico’s voor procesautomatisering

Visie op risk management

VISIE• Vele methoden beschikbaar voor risicomanagement, eigenlijk met

dezelfde basis: scoping en decompositie, dreigingen, historische kansen op het manifest worden, gevoel voor wat in de toekomst dreigt, bruto schadekans, stelsel van mitigerende maatregelen, netto schadekans

• “Kijk naar het verleden, en je weet wat je in de toekomst kan verwachten”

• Praktische issues– Soms een trend te herkennen, een bepaalde dreiging wordt minder

of meer (nu: meer geavanceerde hacktechnieken, meer dreiging voor procesautomatisering)

– Veel fouten in de praktijk (voorbeeld: Fukushima, een te klein tijdvenster voor historische gegevens over dreigingen)

– Veel historische gegevens zijn niet beschikbaar (niet vastgelegd, zoals branden in rekencentra)

– Kosten-baten analyse is moeilijk op te stellen voor mitigerende maatregelen

4Risico’s voor procesautomatisering

Hydro software

Real world“Content”

or“Problem”

Water Authority

User interface

Use

r in

terf

ace

RWSEtc.

• Conclusions• Actions to take

Observations

OtherSystems

Datacollections

Based upon © Rijsenbrij Digitecture B.V.

“Content” Model

Definition Study (DS)

FunctionalRequirements

(FR)

Technical Design (TD)

Requirements

Representation

Solver(Engine)

5Risico’s voor procesautomatisering

Voorbeeld: OV-chipkaart

OV-CHIPKAART

• Keuze voor Mifare Classic RFID chip

• Op moment van keuze waren alle experts eensgezind dat deze moeilijk was te kraken. Men verwachtte dat zoiets weleens in de “verre toekomst” zou kunnen gebeuren

• Ontwikkeling via Trans Link Systems, als samenwerkingsverband tussen vervoerders

• Veel aandacht voor encryptie, beveiliging, monitoring, risicoanalyses, gebruik van risk logs etc.

• Soms centrale regie vanuit de overheid, daarna decentrale aansturing, centrale aandacht, decentrale uitwerking

6Risico’s voor procesautomatisering

Voorbeeld: reis maken

Inchecken Centrale opslag

vervoerder

Uitchecken

TLS

NS, HTM, RET etc.

Reisgegevens vanburgers Verrekening van

afgelegde reizen per vervoerder

7Risico’s voor procesautomatisering

8Risico’s voor procesautomatisering

Architecture e-Ticketing system

TLS Centrale Back Office Systeem

Nationale SpoorwegenCentrale data verwerking

systeem

Gemeentelijk TransportCentrale data verwerking

systeem

Station AComputer

Station BComputer

Depot AComputer

Depot BComputer

BusPoortje Pos Pos Poortje Pos

OV-chipkaarten

Pos = Point of Sale equipment

PosPoortje

LEVEL4

3

2

1

0

9Risico’s voor procesautomatisering

Taakverdeling TLS en OV-bedrijven

Trans Link Systems OV-bedrijven

Scheme provider• Opstellen en bewaken van standaarden en spelregels

• Aansluiten van OV-bedrijven (certificering, etc.)

Kaartuitgever•Verantwoordelijkheid voor

uitgifte van kaarten•Produceren van kaarten

•Beheren tegoeden op de kaart•Beheren callcenter en website

Back office beheerder•Verwerken transacties +

administratieve zaken

Co-brander• Kaart positioneren en

aanbieden

Product eigenaar• Producten positioneren en

aanbieden

Dienstverlener• Vervoeren

• Relatie met gekende klanten onderhouden

Verkoper• Opladen e-purse

(m.u.v. automatisch opladen)• Verkopen producten

10Risico’s voor procesautomatisering

OV-bedrijven(Settlement Rapportage +

Uitzonderingen Rapportage)

Central Clearing House System

(CCHS)

OV-bedrijven(Transactie Data)

Architectuur Clearing Operator

Uitgifte / Verkoop(Kaart/Product/ePurse)

Opladen(ePurse)

Gebruik(Product/ePurse)

Restitutie(Kaart/Product/ePurse) Settlement

Opdracht Banken

Clearing Operator(Verwerken &

Valideren)

11Risico’s voor procesautomatisering

Gebruik op basis van OV-chipkaart

OV-chipkaartKaart-

gegevensGebruiks-

apparatuur

Gebruiks-transacties

Standen-registers

Beheer-systeem

Gebruiks-transacties

CBO-systeem

Verdelings-informatie

Standen-registers

Gebruiks-gegevens

LokaalSysteem

Gebeurtenis

Saldo

12Risico’s voor procesautomatisering

De krakers

Karsten Nohl

Henryk Plötz

Prof Bart Jacobs en zijn team

De eerste aanvallen• Afschaven van de chip om de logica te herkennen• Challenge-response analyseren om de sleutel te achterhalen

13Risico’s voor procesautomatisering

De tooling om te kraken

KERNPROBLEEM

• Hoge zichtbaarheid

• Gepresenteerd als een technisch veiligemethode

• Veel politieke aandacht (Den Haag isdol op high-tech, zoals OV-chipkaart,rekeningrijden etc.)

• Hackers zien dit als een uitdaging, ookomdat een hack direct veel publiciteitoplevert ( = status)

OPLOSSING

• Stelsel van detectieve en repressieve maatregelen flink uitgebreid

• Meer aandacht voor snel signaleren en opsporing

• Het publiek duidelijk maken dat technisch frauderen nog steeds frauderen is en niet rendeert

14Risico’s voor procesautomatisering

Virusdreiging: Stuxnet

COMPUTERVIRUS

• Verspreiding via email, websites, USB sticks etc.

• Enkele bekende basisprincipes. Dagelijks worden duizenden varianten gesignaleerd, aangepast door hobbyisten en criminelen

• Veel voorkomend gebruik: botnet. Via duizenden zombie-PC’s kunnen gericht websites worden platgelegd. Dit is Denial of Service (DoS)

• Criminele organisaties, vooral in Oost Europa, zien dit als business

• Een van de meest geavanceerde virussen is Stuxnet, gericht op Siemens procesautomatisering

15Risico’s voor procesautomatisering

PLC - Procesautomatisering

PROCESAUTOMATISERING

• Veelal kleine computers, genaamd PLC

• Staan dicht bij de productie

• Vroeger: standalone

• Weinig noodzaak voor informatie-beveiliging, noch voor firewalls

• Tegenwoordig: gekoppeld via LAN

• LAN vaak weer gekoppeld aangroter netwerk met verbindingen naarbuiten (WAN of Internet)

• Nu: PLC’s worden ook bedreigd door virussen

• Stuxnet: besmetting via USB stick (het virus mijdt het WAN en Internet om detectie te voorkomen)

16Risico’s voor procesautomatisering

Procesautomatisering …

WANInternet

Externebedreigingen

17Risico’s voor procesautomatisering

Iraanse uranium gascentrifuge

Stuxnet• Gericht op kerncentrale in

Bushehr en nucleaire faciliteiten in Natanz (kijkt naar configuratie)

• Nestelt in Siemens PLC S7• Versnelt en vertraagt centrifuges

en verhoogt zo slijtage• Resultaat: veel centrifuges met

schade

18Risico’s voor procesautomatisering

Einde

EPILOOG

• Voor risicomanagement is een volledig inzicht nodig van de actuele dreigingen

• Bij procesautomatisering is nog maar weinig aandacht voor elektronische dreigingen vanuit omringende computers en netwerken

• Nu dreigingen van doorzetters (hackers en overheden?) manifest worden, moeten risicoanalyses voor procesautomatisering opnieuw worden geëvalueerd en waar nodig worden aangepast