Paul Niemantsverdriet

Slides:



Advertisements
Verwante presentaties
- Administratie - Analyse - Actie -
Advertisements

De zin en onzin van escrow
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Marketing & Sales Systems 2000 CKC Van CRM naar eCRM
1 Instituut voor Informatica en Informatiekunde Magneetstrip- en chipkaarten Engelbert Hubbers Erik Poll Digital Security Informatica en Informatiekunde.
Livy BV Randstad BM Almere Introductie Livy Professional De online oplossing voor professionele woning transacties.
Onderwerpen Oude situatie Eerste aanpak en problemen
10. Verkoopvoorspelling en Budgettering
INTERNET EN UW DAGELIJKSE BEDRIJFSVOERING Wim de Rave De BedrijfsAdviseur.
Veiligheidsincidenten de afgelopen maand? 21 mei
Aansluiting van het Hoger Onderwijs bij MedischOnderwijs.nl 2 november 2007 Aansluiting van het Hoger Onderwijs bij MedischOnderwijs.nl P.M.Bloemendaal.
Internet beveiliging checklist. Overzicht Wensen Internetgebruik Risico’s Internetgebruik Oorzaken van onveilige situaties Beveiligingsbeleid Checklist.
H4: Begrijpen van de markt
OV-chipkaart stand van zaken
Een korte blik op het E-depot
BI blok 1.4 EBI SLM College 4: Service Design (vervolg) Voorbeeld tentamenvragen.
Gegevensbeheer Karin Diederiks KOAC•NPC.
Henk Stultiens voorzitter OBSV Governance groep.  IT-Governance oftwel IT-besturing richt zich op de besluitvorming rond Informatie Technologie i.c.
01 van 06 Portal4U Loe Hameleers Twan Saleming Klanten: Wat kost dat artikel? Wanneer wordt geleverd? Die werkt hier niet meer.. Die factuur ken ik niet.
© 2006 Consilience B.V.1. 2 E-Dienstverlening in de praktijk Noordwijk, 5 september 2006 K.P.Majoor Adviseur Consilience B.V.
Haal wel rendement uit IT investeringen Ton Tijdink.
Gemeentelijke implementatie GFO Zaken
Nieuwe data voor (nieuwe) OV modellen
Zorg-op-Afstand: co-creatie centraal in aanpak Congres GGZ Centraal 2 oktober 2012 Tom Bos.
Adobe formulieren : stand van zaken.
MONE WEB Gebruikershandleiding.
Hoogwaardig internet voor hoger onderwijs en onderzoek Utrecht, 29 maart 2006 nieuwe technische ontwikkelingen m.b.t. eduroam eduroam voorwaarts! Paul.
XBRL / SBR Train de Trainer sessie Deel 2 A (van 3) 28 november 2012 SBR-Team Vanaf 1 januari 2013 is SBR de standaard voor financiële rapportages.
H8: Distributie.
H7: Productmanagement.
1 Nationaal Forum Certificeren Partnership: Operatoren-D&A 19 juni 2006Raymond Marchal Gewestelijk directeur DACO 1.
Intranet Lieven Gils. Inhoud Wat is intranet? Voor wie is intranet? Het invoeren van intranet. Wat zijn de systeemvereisten? Wat is de kostprijs? Voordelen?Nadelen?
1 Orientatie InformatieSystemen K.M.van Hee hgl. architectuur van informatiesystemen dir. Deloitte & Touche Bakkenist TU/e 2001.
25 januari 2008Naam van de Spreker Wat is het....en wat levert het u op.
De kracht van HBSoftware
De kracht van HBSoftware B.V Als uw markt verandert, verwachten uw klanten dat u daar snel op reageert. Wij kunnen u daarbij helpen. Vanuit onze branchefocus.
UPGRADE PROGRAMMA WINDOWS 7 OFFICE 2010 OFFICE 365.
27 januari 2011.
Besturings- systeem A Computer A Besturings- systeem B Computer B Netwerk Handmatige taak I Applicatie 2Applicatie 1 Handmatige taak II Applicatie 3 Gebruiker.
LIPS versie 2.1 Een logische evolutie Carl Possemiers & Tim Vander Borght Gebruikersdag VERA Leuven, 24 Oktober 2005.
HOM COM 23/09/2013 LEDENVERGADERING. BIG Big Companies – Google – Apple – Microsoft – Amazon.
Vragenlijst ketencoördinatoren
E-Team 2003 E-Government Dordrecht Mark Voogd, programma-manager e-government Corné Dekker, informatie-architect e-government Information Retrieval Day.
1 Bedrijven zouden geen gegevensbanken mogen aanleggen.
Op weg naar een generiek model voor een regionale volksgezondheidsrapportage Marja J.H. van Bon-Martens CEPHIR seminar Regionale Volksgezondheid Toekomst.
SURFnet Relatiedagen, Noordwijkerhout, 30 mei 2006 Altijd en overal online iPass Klaas Wierenga
ROSA versie 3 De bovensectorale referentie architectuur voor en van het onderwijs.
Waarom applicatie rationalisatie een slimme keus is
Ymor Ketenbewaking bij debitel
Digitale duurzaamheid: (ook) een kwestie van organiseren Inge Angevaare, coördinator Nationale Coalitie Digitale Duurzaamheid DEN conferentie - 10 december.
PADS4 maakt het eenvoudig om informatie te verspreiden naar een specifiek publiek op de juiste plaats en het juiste moment PADS4 is een professionele oplossing.
19 juni 2008 PRESERVERING Van beleid naar praktijk.
september 2009 Aanbevelingen van Compliance professionals
Blauwdruk MULTI CHANNEL Architectuur
Cegeka & TenForce Ronde tafel 17/06/2014 Doelstellingenmanagement VO.
W W W. N E D P O R T A L. N L Network-wide event log monitoring.
Ontwerpen & ontwikkelen
Start Inhoud introductie BiSL Informatiesysteem, gegeven Informatiebeleid Positionering: Beheer informatiesystemen BiSL als informatiearchitectuur.
Footer leeghouden ivm logo #ad0006 R: 173 G: 0 B: 6 #005dad R: 0 G: 93 B: 173 #3f3f3f R: 63 G: 63 B: 63 #00ad51 R: 0 G: 173 B: 81 #ffad00 R: 255 G: 173.
Pieter Burghouwt Marinus Maris Sjaak van Peski Cyber Security Simulator Nederlandse Waterschappen.
Bra1 STUDENTMOBILITEIT informatieanalyse Andre Brands – december 2014.
1 RFID en Veiligheid Platform voor Informatiebeveiliging 18 maart 2008 mr. dr. Bart W. Schermer.
Le Credit Sportif: Meer plezier van je kantine!
Inhoudsopgave Fasering Product Clearing & Settlement
Status Product Settlement
Kluwer The end of Publishing
HOE OPTIMALISEER JE DE (B2B) CUSTOMER JOURNEY?
De architectuur van een internettoepassing bestaat meestal uit een keten van een webclient, een server en bedrijfsinformatiesystemen die gekoppeld zijn.
Opslag documenten in Office 365
The many faces of Application Programmes Interfaces
Transcript van de presentatie:

Paul Niemantsverdriet Risico’s voor procesautomatisering OV-chipkaart hack Stuxnet Ronald Paans Paul Niemantsverdriet 31 augustus 2011 ronald.paans@noordbeek.com www.noordbeek.com Phone +31 71 3416911 File: PaansR Risico OV hack en Stuxnet 2011, versie 0.05

Risicoanalyse (NIST 800-30) 1: Proces en tooling Scope Hoogste rubricering Step 1. System Characterization Relevante dreigingen Netwerk Step 2. Threat Identification Applicatie 2: Scope en rubricering 3: Identificatie van dreigingen 4: Identificatie van kwetsbaarheden 5: Analyse van effectiviteit van bestaande maatregelen Step 3. Vulnerability Identification Besturingsysteem Informatie Programmatuur Step 4. Control Analysis Step 5. Likelihood Determination Relevante kwetsbaarheden, bij getroffen maatregelen Step 6. Impact Analysis (Loss of CIAA) 6: Risicoanalyse 7: Aanvullende maatregelen Step 7. Risk Determination Voorstel voor aanvullende maatregelen Step 8. Control Recommendations Relevante kwetsbaarheden, bij aanvullende maatregelen Step 9. Results Documentation 8: Herzien van risicoanalyse

Visie op risk management Vele methoden beschikbaar voor risicomanagement, eigenlijk met dezelfde basis: scoping en decompositie, dreigingen, historische kansen op het manifest worden, gevoel voor wat in de toekomst dreigt, bruto schadekans, stelsel van mitigerende maatregelen, netto schadekans “Kijk naar het verleden, en je weet wat je in de toekomst kan verwachten” Praktische issues Soms een trend te herkennen, een bepaalde dreiging wordt minder of meer (nu: meer geavanceerde hacktechnieken, meer dreiging voor procesautomatisering) Veel fouten in de praktijk (voorbeeld: Fukushima, een te klein tijdvenster voor historische gegevens over dreigingen) Veel historische gegevens zijn niet beschikbaar (niet vastgelegd, zoals branden in rekencentra) Kosten-baten analyse is moeilijk op te stellen voor mitigerende maatregelen

Hydro software “Content” Model Definition Study (DS) Functional Representation Real world “Content” or “Problem” “Content” Model Requirements Definition Study (DS) Water Authority Observations Conclusions Actions to take Other Systems Functional Requirements (FR) User interface RWS Etc. User interface Solver (Engine) Data collections Technical Design (TD) Based upon © Rijsenbrij Digitecture B.V.

Voorbeeld: OV-chipkaart Keuze voor Mifare Classic RFID chip Op moment van keuze waren alle experts eensgezind dat deze moeilijk was te kraken. Men verwachtte dat zoiets weleens in de “verre toekomst” zou kunnen gebeuren Ontwikkeling via Trans Link Systems, als samenwerkingsverband tussen vervoerders Veel aandacht voor encryptie, beveiliging, monitoring, risicoanalyses, gebruik van risk logs etc. Soms centrale regie vanuit de overheid, daarna decentrale aansturing, centrale aandacht, decentrale uitwerking

Centrale opslag vervoerder Inchecken Uitchecken Voorbeeld: reis maken NS, HTM, RET etc. Centrale opslag vervoerder Inchecken Uitchecken Reisgegevens van burgers Verrekening van afgelegde reizen per vervoerder TLS

Architecture e-Ticketing system LEVEL 4 TLS Centrale Back Office Systeem Nationale Spoorwegen Centrale data verwerking systeem Gemeentelijk Transport Centrale data verwerking systeem 3 Station A Computer Station B Computer Depot A Computer Depot B Computer 2 Poortje Pos Poortje Pos Bus Pos Poortje Pos 1 OV-chipkaarten Pos = Point of Sale equipment

Taakverdeling TLS en OV-bedrijven Trans Link Systems OV-bedrijven Co-brander Kaart positioneren en aanbieden Scheme provider Opstellen en bewaken van standaarden en spelregels Aansluiten van OV-bedrijven (certificering, etc.) Product eigenaar Producten positioneren en aanbieden Back office beheerder Verwerken transacties + administratieve zaken Dienstverlener Vervoeren Relatie met gekende klanten onderhouden Kaartuitgever Verantwoordelijkheid voor uitgifte van kaarten Produceren van kaarten Beheren tegoeden op de kaart Beheren callcenter en website Verkoper Opladen e-purse (m.u.v. automatisch opladen) Verkopen producten

Architectuur Clearing Operator Clearing Operator (Verwerken & Valideren) OV-bedrijven (Settlement Rapportage + Uitzonderingen Rapportage) OV-bedrijven (Transactie Data) Central Clearing House System (CCHS) Uitgifte / Verkoop (Kaart/Product/ePurse) Opladen (ePurse) Gebruik (Product/ePurse) Restitutie (Kaart/Product/ePurse) Settlement Opdracht Banken

Gebruik op basis van OV-chipkaart Gebruiks- transacties Verdelings- informatie OV-chipkaart Kaart- gegevens Gebruiks- apparatuur Beheer- systeem Gebruiks- transacties CBO- systeem Gebeurtenis Standen- registers Standen- registers Saldo Gebruiks- gegevens Lokaal Systeem

De krakers Henryk Plötz Karsten Nohl Prof Bart Jacobs en zijn team De eerste aanvallen Afschaven van de chip om de logica te herkennen Challenge-response analyseren om de sleutel te achterhalen

De tooling om te kraken KERNPROBLEEM Hoge zichtbaarheid Gepresenteerd als een technisch veilige methode Veel politieke aandacht (Den Haag is dol op high-tech, zoals OV-chipkaart, rekeningrijden etc.) Hackers zien dit als een uitdaging, ook omdat een hack direct veel publiciteit oplevert ( = status) OPLOSSING Stelsel van detectieve en repressieve maatregelen flink uitgebreid Meer aandacht voor snel signaleren en opsporing Het publiek duidelijk maken dat technisch frauderen nog steeds frauderen is en niet rendeert

Virusdreiging: Stuxnet COMPUTERVIRUS Verspreiding via email, websites, USB sticks etc. Enkele bekende basisprincipes. Dagelijks worden duizenden varianten gesignaleerd, aangepast door hobbyisten en criminelen Veel voorkomend gebruik: botnet. Via duizenden zombie-PC’s kunnen gericht websites worden platgelegd. Dit is Denial of Service (DoS) Criminele organisaties, vooral in Oost Europa, zien dit als business Een van de meest geavanceerde virussen is Stuxnet, gericht op Siemens procesautomatisering

PLC - Procesautomatisering Veelal kleine computers, genaamd PLC Staan dicht bij de productie Vroeger: standalone Weinig noodzaak voor informatie- beveiliging, noch voor firewalls Tegenwoordig: gekoppeld via LAN LAN vaak weer gekoppeld aan groter netwerk met verbindingen naar buiten (WAN of Internet) Nu: PLC’s worden ook bedreigd door virussen Stuxnet: besmetting via USB stick (het virus mijdt het WAN en Internet om detectie te voorkomen)

Procesautomatisering … Internet WAN Externe bedreigingen

Iraanse uranium gascentrifuge Stuxnet Gericht op kerncentrale in Bushehr en nucleaire faciliteiten in Natanz (kijkt naar configuratie) Nestelt in Siemens PLC S7 Versnelt en vertraagt centrifuges en verhoogt zo slijtage Resultaat: veel centrifuges met schade

Einde EPILOOG Voor risicomanagement is een volledig inzicht nodig van de actuele dreigingen Bij procesautomatisering is nog maar weinig aandacht voor elektronische dreigingen vanuit omringende computers en netwerken Nu dreigingen van doorzetters (hackers en overheden?) manifest worden, moeten risicoanalyses voor procesautomatisering opnieuw worden geëvalueerd en waar nodig worden aangepast