Paul Niemantsverdriet Risico’s voor procesautomatisering OV-chipkaart hack Stuxnet Ronald Paans Paul Niemantsverdriet 31 augustus 2011 ronald.paans@noordbeek.com www.noordbeek.com Phone +31 71 3416911 File: PaansR Risico OV hack en Stuxnet 2011, versie 0.05

Risicoanalyse (NIST 800-30) 1: Proces en tooling Scope Hoogste rubricering Step 1. System Characterization Relevante dreigingen Netwerk Step 2. Threat Identification Applicatie 2: Scope en rubricering 3: Identificatie van dreigingen 4: Identificatie van kwetsbaarheden 5: Analyse van effectiviteit van bestaande maatregelen Step 3. Vulnerability Identification Besturingsysteem Informatie Programmatuur Step 4. Control Analysis Step 5. Likelihood Determination Relevante kwetsbaarheden, bij getroffen maatregelen Step 6. Impact Analysis (Loss of CIAA) 6: Risicoanalyse 7: Aanvullende maatregelen Step 7. Risk Determination Voorstel voor aanvullende maatregelen Step 8. Control Recommendations Relevante kwetsbaarheden, bij aanvullende maatregelen Step 9. Results Documentation 8: Herzien van risicoanalyse

Visie op risk management Vele methoden beschikbaar voor risicomanagement, eigenlijk met dezelfde basis: scoping en decompositie, dreigingen, historische kansen op het manifest worden, gevoel voor wat in de toekomst dreigt, bruto schadekans, stelsel van mitigerende maatregelen, netto schadekans “Kijk naar het verleden, en je weet wat je in de toekomst kan verwachten” Praktische issues Soms een trend te herkennen, een bepaalde dreiging wordt minder of meer (nu: meer geavanceerde hacktechnieken, meer dreiging voor procesautomatisering) Veel fouten in de praktijk (voorbeeld: Fukushima, een te klein tijdvenster voor historische gegevens over dreigingen) Veel historische gegevens zijn niet beschikbaar (niet vastgelegd, zoals branden in rekencentra) Kosten-baten analyse is moeilijk op te stellen voor mitigerende maatregelen

Hydro software “Content” Model Definition Study (DS) Functional Representation Real world “Content” or “Problem” “Content” Model Requirements Definition Study (DS) Water Authority Observations Conclusions Actions to take Other Systems Functional Requirements (FR) User interface RWS Etc. User interface Solver (Engine) Data collections Technical Design (TD) Based upon © Rijsenbrij Digitecture B.V.

Voorbeeld: OV-chipkaart Keuze voor Mifare Classic RFID chip Op moment van keuze waren alle experts eensgezind dat deze moeilijk was te kraken. Men verwachtte dat zoiets weleens in de “verre toekomst” zou kunnen gebeuren Ontwikkeling via Trans Link Systems, als samenwerkingsverband tussen vervoerders Veel aandacht voor encryptie, beveiliging, monitoring, risicoanalyses, gebruik van risk logs etc. Soms centrale regie vanuit de overheid, daarna decentrale aansturing, centrale aandacht, decentrale uitwerking

Centrale opslag vervoerder Inchecken Uitchecken Voorbeeld: reis maken NS, HTM, RET etc. Centrale opslag vervoerder Inchecken Uitchecken Reisgegevens van burgers Verrekening van afgelegde reizen per vervoerder TLS

Architecture e-Ticketing system LEVEL 4 TLS Centrale Back Office Systeem Nationale Spoorwegen Centrale data verwerking systeem Gemeentelijk Transport Centrale data verwerking systeem 3 Station A Computer Station B Computer Depot A Computer Depot B Computer 2 Poortje Pos Poortje Pos Bus Pos Poortje Pos 1 OV-chipkaarten Pos = Point of Sale equipment

Taakverdeling TLS en OV-bedrijven Trans Link Systems OV-bedrijven Co-brander Kaart positioneren en aanbieden Scheme provider Opstellen en bewaken van standaarden en spelregels Aansluiten van OV-bedrijven (certificering, etc.) Product eigenaar Producten positioneren en aanbieden Back office beheerder Verwerken transacties + administratieve zaken Dienstverlener Vervoeren Relatie met gekende klanten onderhouden Kaartuitgever Verantwoordelijkheid voor uitgifte van kaarten Produceren van kaarten Beheren tegoeden op de kaart Beheren callcenter en website Verkoper Opladen e-purse (m.u.v. automatisch opladen) Verkopen producten

Architectuur Clearing Operator Clearing Operator (Verwerken & Valideren) OV-bedrijven (Settlement Rapportage + Uitzonderingen Rapportage) OV-bedrijven (Transactie Data) Central Clearing House System (CCHS) Uitgifte / Verkoop (Kaart/Product/ePurse) Opladen (ePurse) Gebruik (Product/ePurse) Restitutie (Kaart/Product/ePurse) Settlement Opdracht Banken

Gebruik op basis van OV-chipkaart Gebruiks- transacties Verdelings- informatie OV-chipkaart Kaart- gegevens Gebruiks- apparatuur Beheer- systeem Gebruiks- transacties CBO- systeem Gebeurtenis Standen- registers Standen- registers Saldo Gebruiks- gegevens Lokaal Systeem

De krakers Henryk Plötz Karsten Nohl Prof Bart Jacobs en zijn team De eerste aanvallen Afschaven van de chip om de logica te herkennen Challenge-response analyseren om de sleutel te achterhalen

De tooling om te kraken KERNPROBLEEM Hoge zichtbaarheid Gepresenteerd als een technisch veilige methode Veel politieke aandacht (Den Haag is dol op high-tech, zoals OV-chipkaart, rekeningrijden etc.) Hackers zien dit als een uitdaging, ook omdat een hack direct veel publiciteit oplevert ( = status) OPLOSSING Stelsel van detectieve en repressieve maatregelen flink uitgebreid Meer aandacht voor snel signaleren en opsporing Het publiek duidelijk maken dat technisch frauderen nog steeds frauderen is en niet rendeert

Virusdreiging: Stuxnet COMPUTERVIRUS Verspreiding via email, websites, USB sticks etc. Enkele bekende basisprincipes. Dagelijks worden duizenden varianten gesignaleerd, aangepast door hobbyisten en criminelen Veel voorkomend gebruik: botnet. Via duizenden zombie-PC’s kunnen gericht websites worden platgelegd. Dit is Denial of Service (DoS) Criminele organisaties, vooral in Oost Europa, zien dit als business Een van de meest geavanceerde virussen is Stuxnet, gericht op Siemens procesautomatisering

PLC - Procesautomatisering Veelal kleine computers, genaamd PLC Staan dicht bij de productie Vroeger: standalone Weinig noodzaak voor informatie- beveiliging, noch voor firewalls Tegenwoordig: gekoppeld via LAN LAN vaak weer gekoppeld aan groter netwerk met verbindingen naar buiten (WAN of Internet) Nu: PLC’s worden ook bedreigd door virussen Stuxnet: besmetting via USB stick (het virus mijdt het WAN en Internet om detectie te voorkomen)

Procesautomatisering … Internet WAN Externe bedreigingen

Iraanse uranium gascentrifuge Stuxnet Gericht op kerncentrale in Bushehr en nucleaire faciliteiten in Natanz (kijkt naar configuratie) Nestelt in Siemens PLC S7 Versnelt en vertraagt centrifuges en verhoogt zo slijtage Resultaat: veel centrifuges met schade

Einde EPILOOG Voor risicomanagement is een volledig inzicht nodig van de actuele dreigingen Bij procesautomatisering is nog maar weinig aandacht voor elektronische dreigingen vanuit omringende computers en netwerken Nu dreigingen van doorzetters (hackers en overheden?) manifest worden, moeten risicoanalyses voor procesautomatisering opnieuw worden geëvalueerd en waar nodig worden aangepast