De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Paul Niemantsverdriet

GepubliceerdPieter Molenaar Laatst gewijzigd meer dan 9 jaar geleden

Verwante presentaties

Presentatie over: "Paul Niemantsverdriet"— Transcript van de presentatie:

1 Paul Niemantsverdriet
Risico’s voor procesautomatisering OV-chipkaart hack Stuxnet Ronald Paans Paul Niemantsverdriet 31 augustus 2011 Phone File: PaansR Risico OV hack en Stuxnet 2011, versie 0.05

2 Risicoanalyse (NIST 800-30)
1: Proces en tooling Scope Hoogste rubricering Step 1. System Characterization Relevante dreigingen Netwerk Step 2. Threat Identification Applicatie 2: Scope en rubricering 3: Identificatie van dreigingen 4: Identificatie van kwetsbaarheden 5: Analyse van effectiviteit van bestaande maatregelen Step 3. Vulnerability Identification Besturingsysteem Informatie Programmatuur Step 4. Control Analysis Step 5. Likelihood Determination Relevante kwetsbaarheden, bij getroffen maatregelen Step 6. Impact Analysis (Loss of CIAA) 6: Risicoanalyse 7: Aanvullende maatregelen Step 7. Risk Determination Voorstel voor aanvullende maatregelen Step 8. Control Recommendations Relevante kwetsbaarheden, bij aanvullende maatregelen Step 9. Results Documentation 8: Herzien van risicoanalyse

3 Visie op risk management
Vele methoden beschikbaar voor risicomanagement, eigenlijk met dezelfde basis: scoping en decompositie, dreigingen, historische kansen op het manifest worden, gevoel voor wat in de toekomst dreigt, bruto schadekans, stelsel van mitigerende maatregelen, netto schadekans “Kijk naar het verleden, en je weet wat je in de toekomst kan verwachten” Praktische issues Soms een trend te herkennen, een bepaalde dreiging wordt minder of meer (nu: meer geavanceerde hacktechnieken, meer dreiging voor procesautomatisering) Veel fouten in de praktijk (voorbeeld: Fukushima, een te klein tijdvenster voor historische gegevens over dreigingen) Veel historische gegevens zijn niet beschikbaar (niet vastgelegd, zoals branden in rekencentra) Kosten-baten analyse is moeilijk op te stellen voor mitigerende maatregelen

4 Hydro software “Content” Model Definition Study (DS) Functional
Representation Real world “Content” or “Problem” “Content” Model Requirements Definition Study (DS) Water Authority Observations Conclusions Actions to take Other Systems Functional Requirements (FR) User interface RWS Etc. User interface Solver (Engine) Data collections Technical Design (TD) Based upon © Rijsenbrij Digitecture B.V.

5 Voorbeeld: OV-chipkaart
Keuze voor Mifare Classic RFID chip Op moment van keuze waren alle experts eensgezind dat deze moeilijk was te kraken. Men verwachtte dat zoiets weleens in de “verre toekomst” zou kunnen gebeuren Ontwikkeling via Trans Link Systems, als samenwerkingsverband tussen vervoerders Veel aandacht voor encryptie, beveiliging, monitoring, risicoanalyses, gebruik van risk logs etc. Soms centrale regie vanuit de overheid, daarna decentrale aansturing, centrale aandacht, decentrale uitwerking

6 Centrale opslag vervoerder Inchecken Uitchecken
Voorbeeld: reis maken NS, HTM, RET etc. Centrale opslag vervoerder Inchecken Uitchecken Reisgegevens van burgers Verrekening van afgelegde reizen per vervoerder TLS

7

8 Architecture e-Ticketing system
LEVEL 4 TLS Centrale Back Office Systeem Nationale Spoorwegen Centrale data verwerking systeem Gemeentelijk Transport Centrale data verwerking systeem 3 Station A Computer Station B Computer Depot A Computer Depot B Computer 2 Poortje Pos Poortje Pos Bus Pos Poortje Pos 1 OV-chipkaarten Pos = Point of Sale equipment

9 Taakverdeling TLS en OV-bedrijven
Trans Link Systems OV-bedrijven Co-brander Kaart positioneren en aanbieden Scheme provider Opstellen en bewaken van standaarden en spelregels Aansluiten van OV-bedrijven (certificering, etc.) Product eigenaar Producten positioneren en aanbieden Back office beheerder Verwerken transacties + administratieve zaken Dienstverlener Vervoeren Relatie met gekende klanten onderhouden Kaartuitgever Verantwoordelijkheid voor uitgifte van kaarten Produceren van kaarten Beheren tegoeden op de kaart Beheren callcenter en website Verkoper Opladen e-purse (m.u.v. automatisch opladen) Verkopen producten

10 Architectuur Clearing Operator
Clearing Operator (Verwerken & Valideren) OV-bedrijven (Settlement Rapportage + Uitzonderingen Rapportage) OV-bedrijven (Transactie Data) Central Clearing House System (CCHS) Uitgifte / Verkoop (Kaart/Product/ePurse) Opladen (ePurse) Gebruik (Product/ePurse) Restitutie (Kaart/Product/ePurse) Settlement Opdracht Banken

11 Gebruik op basis van OV-chipkaart
Gebruiks- transacties Verdelings- informatie OV-chipkaart Kaart- gegevens Gebruiks- apparatuur Beheer- systeem Gebruiks- transacties CBO- systeem Gebeurtenis Standen- registers Standen- registers Saldo Gebruiks- gegevens Lokaal Systeem

12 De krakers Henryk Plötz Karsten Nohl Prof Bart Jacobs en zijn team
De eerste aanvallen Afschaven van de chip om de logica te herkennen Challenge-response analyseren om de sleutel te achterhalen

13 De tooling om te kraken KERNPROBLEEM Hoge zichtbaarheid Gepresenteerd als een technisch veilige methode Veel politieke aandacht (Den Haag is dol op high-tech, zoals OV-chipkaart, rekeningrijden etc.) Hackers zien dit als een uitdaging, ook omdat een hack direct veel publiciteit oplevert ( = status) OPLOSSING Stelsel van detectieve en repressieve maatregelen flink uitgebreid Meer aandacht voor snel signaleren en opsporing Het publiek duidelijk maken dat technisch frauderen nog steeds frauderen is en niet rendeert

14 Virusdreiging: Stuxnet
COMPUTERVIRUS Verspreiding via , websites, USB sticks etc. Enkele bekende basisprincipes. Dagelijks worden duizenden varianten gesignaleerd, aangepast door hobbyisten en criminelen Veel voorkomend gebruik: botnet. Via duizenden zombie-PC’s kunnen gericht websites worden platgelegd. Dit is Denial of Service (DoS) Criminele organisaties, vooral in Oost Europa, zien dit als business Een van de meest geavanceerde virussen is Stuxnet, gericht op Siemens procesautomatisering

15 PLC - Procesautomatisering
Veelal kleine computers, genaamd PLC Staan dicht bij de productie Vroeger: standalone Weinig noodzaak voor informatie- beveiliging, noch voor firewalls Tegenwoordig: gekoppeld via LAN LAN vaak weer gekoppeld aan groter netwerk met verbindingen naar buiten (WAN of Internet) Nu: PLC’s worden ook bedreigd door virussen Stuxnet: besmetting via USB stick (het virus mijdt het WAN en Internet om detectie te voorkomen)

16 Procesautomatisering …
Internet WAN Externe bedreigingen

17 Iraanse uranium gascentrifuge
Stuxnet Gericht op kerncentrale in Bushehr en nucleaire faciliteiten in Natanz (kijkt naar configuratie) Nestelt in Siemens PLC S7 Versnelt en vertraagt centrifuges en verhoogt zo slijtage Resultaat: veel centrifuges met schade

18 Einde EPILOOG Voor risicomanagement is een volledig inzicht nodig van de actuele dreigingen Bij procesautomatisering is nog maar weinig aandacht voor elektronische dreigingen vanuit omringende computers en netwerken Nu dreigingen van doorzetters (hackers en overheden?) manifest worden, moeten risicoanalyses voor procesautomatisering opnieuw worden geëvalueerd en waar nodig worden aangepast

Download ppt "Paul Niemantsverdriet"

Verwante presentaties

- Administratie - Analyse - Actie -

- Administratie - Analyse - Actie -
De zin en onzin van escrow

De zin en onzin van escrow
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.

SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Marketing & Sales Systems 2000 CKC Van CRM naar eCRM

Marketing & Sales Systems 2000 CKC Van CRM naar eCRM
1 Instituut voor Informatica en Informatiekunde Magneetstrip- en chipkaarten Engelbert Hubbers Erik Poll Digital Security Informatica en Informatiekunde.

1 Instituut voor Informatica en Informatiekunde Magneetstrip- en chipkaarten Engelbert Hubbers Erik Poll Digital Security Informatica en Informatiekunde.
Livy BV Randstad 22-181 1316 BM Almere Introductie Livy Professional De online oplossing voor professionele woning transacties.

Livy BV Randstad BM Almere Introductie Livy Professional De online oplossing voor professionele woning transacties.
Onderwerpen Oude situatie Eerste aanpak en problemen

Onderwerpen Oude situatie Eerste aanpak en problemen
10. Verkoopvoorspelling en Budgettering

10. Verkoopvoorspelling en Budgettering
INTERNET EN UW DAGELIJKSE BEDRIJFSVOERING Wim de Rave De BedrijfsAdviseur.

INTERNET EN UW DAGELIJKSE BEDRIJFSVOERING Wim de Rave De BedrijfsAdviseur.
Veiligheidsincidenten de afgelopen maand? 21 mei 2012 2.

Veiligheidsincidenten de afgelopen maand? 21 mei
Aansluiting van het Hoger Onderwijs bij MedischOnderwijs.nl 2 november 2007 Aansluiting van het Hoger Onderwijs bij MedischOnderwijs.nl P.M.Bloemendaal.

Aansluiting van het Hoger Onderwijs bij MedischOnderwijs.nl 2 november 2007 Aansluiting van het Hoger Onderwijs bij MedischOnderwijs.nl P.M.Bloemendaal.
Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.

Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.
H4: Begrijpen van de markt

H4: Begrijpen van de markt
OV-chipkaart stand van zaken

OV-chipkaart stand van zaken
Een korte blik op het E-depot

Een korte blik op het E-depot
BI blok 1.4 EBI 2005-2006 SLM College 4: Service Design (vervolg) Voorbeeld tentamenvragen.

BI blok 1.4 EBI SLM College 4: Service Design (vervolg) Voorbeeld tentamenvragen.
Gegevensbeheer Karin Diederiks KOAC•NPC.

Gegevensbeheer Karin Diederiks KOAC•NPC.
Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.

Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.
01 van 06 Portal4U Loe Hameleers Twan Saleming Klanten: Wat kost dat artikel? Wanneer wordt geleverd? Die werkt hier niet meer.. Die factuur ken ik niet.

01 van 06 Portal4U Loe Hameleers Twan Saleming Klanten: Wat kost dat artikel? Wanneer wordt geleverd? Die werkt hier niet meer.. Die factuur ken ik niet.
© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.

© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.

Verwante presentaties

Ads door Google