Black out in Der Stromwirtschaft Auswirkungen Digitaler Sicherheitslücken

Black Out in der Stromwirtschaft Auswirkungen digitaler Sicherheitslücken

Prof. Dr. Hartmut Pohl und Thomas Bötner

softScheck GmbH Köln Büro: Bonnerstr. 108. 53757 Sankt Augustin www. softScheck.com © softScheck . Irakischer Kernreaktor Tammuz-1: Israelischer Luftangriff 7. Juni 1981 . Syrischer Kernreaktor al-Kibar: Israelischer Luftangriff 6. Sept. 2007

. Jugoslawien 1999

. Estland 2007

. Syrien 2007

. Georgien 2008

. Ukraine 2013

. …

Application Security Penetration Testing Compliance Research Conformity

Threat Modeling Secure Development Training Forensics

Automation Retail Financial Services Energy & Water

Automotive Defense Entertainment Health & Gaming

Security Telecom Software Logictics

1. Cyberterrorismus, Staaten, Organisierte Kriminalität (OK), Einzelne

2. Realistische Angriffsziele, Cyberwar

3. IT-Angriffe? Asymmetrie, remote, Erkennung

4. Tatsächliche Operationen

5. Hardware Sicherheitslücken - Backdoors

6. Schutzmaßnahmen 26. 3. 2016 http://newsfisher.io/article/k6GHhY6JB8BbvFqsE © softScheck © softScheck 2010 © softScheck © softScheck © softScheck © softScheck © softScheck Natanz Uranium Enrichment Facility

Iranian President Mahmoud Ahmadinejad visits the Natanz uranium enrichment facilities, where a “closed” computer network was infected by malware introduced via a small flash© drivesoftScheck © softScheck Tools der Terroristen

. Erfahrungsaustausch zwischen Terroristen und Kriminellen . Verschlüsselungs- und Anonymisierungsdienste und -werkzeuge:

. Cloudfare zur Verschleierung von Webadressen . SIGAINT, Ruggedinbox und Mail2Tor als sichere Maildienste, . Instant-Messaging-Dienste Telegram Wickr, Surespot, Signal . Sicherer Dateiaustausch: top4top.net, Sendspace und SecureDrop . „Geheimnisse der Mudschahedin“ Mojahedeen Secrets (PGP) . Asrar al-Dardashah: Verschlüsselung von instant messages . Amn al-Mujahed: Verschlüsselung für E-Mail, SMS und Instant, IM . Tashfeer al-Jawwal: Verschlüsselungs-App für Mobiltelefone . Alemarah: Android-App für laufende Operationen . DDOS Tool: Denial-of-Service-Attacken per SYN-Flood-Technik.

Internet

Successful Attacks essential exploiting Vulnerabilities: No Vulnerability – no Attack!

Attack Paths Attack Surface Organisation Undetected, unpublished, Information System Permitted unpatched Vulnerabilities Port

Firewall, Intrusion Detection, …

Applications, Servers, … SQL, IIS, Mails, FTP, … CRM

Patched Vulnerabilities Anti-Virus …

Assets - Data Encryption, Keys

. Vupen . Zerodium . Mitnick Absolute Zero-Day . ReVuln . Exodus Intelligence . Raytheon . Northrop Grumman . …

. Seit 2006 – erste veröffentlichte Erkenntnisse 2012 . Body mit auswechselbarem Schadcode-Modul . Gültige digitale Signatur von Microsoft, gefälschtes Windows-Update . Aufwand: ~ 600 Mio. $ . Angriffsart: Ausnutzung von Sicherheitslücken . Angriffsdauer: Vorbereitung > 2 Jahre, Laufzeit unbegrenzt

. Stuxnet: Manipulation von Zentrifugen zur Uran-Anreicherung (Natanz, Buschehr), weltweite Verbreitung

. Code Red 2001 Installation einer Backdoor … . Flame 2007 Spionage, Fernsteuerung von Rechnernetzen . Roter Oktober 2007 Botschaften, Regierungen, Forschungsinstitute . Duqu 2009 SCADA Spionage der Steuerdaten von ICS . Mahdi 2011 Finanzdienstleister, Botschaften, Versorger . Gauss 2012 Banken, Geldflüsse . Shamoon 2012 Lesen, Löschen im Energiesektor . miniFlame 2012 Spionage, Fernsteuerung von Rechnernetzen . Narilam 2012 Auslesen und Manipulation von Datenbanken . Havex 2014 SCADA, ICS ausspionieren, manipulieren: Staudämme, Stromnetze, Kraftwerke . Regin 2014 Telekommunikationsnetze (Verbindungsdaten) . Duqu / Duqu 2.0: Information Gathering Energieunternehmen

https://www.3sat.de/page/?source=/nano/technik/169524/index.html © softScheck © softScheck

Software Security Tests

. Kommerzielle Software Web Applications, ERM, CRM, SCM, ERP, E-Business, CIM, Apps für mobile Devices

. Sicherheitssoftware Firewalls, Router, Gateways, Verschlüsselung, Intrusion Detection

. Industrial Control Systems (PLC/SPS)

. Embedded Systems Smart Grid / Smart Meter Gateway Security, Energiemanagement und Smart Home

Security Requirements Application Security Audit

Risk Analysis Application Security Controls

Explorative Testing Architecture Analysis Static Source Manual Auditing Dynamic Analysis SQUARE ASC 01 ASC 06 S Threat Model Code Analysis Penetration Fuzzing Testing Attack Paths, Surface Conformity Testing

Targeted Level of Trust

Requirements Product Design Implementation Verification Release

External-powered Battery-powered Meter Meter

. Electricity . Gas . Water . Heat

Trusted Time SMGW Admin Service Metered Value Metered Value

. . Time Synchronization . . Firmware Download . . Measured Values - Tariffs . Network Status . Wake-up Call

Smart Meter Gateway LMN

Security Customer Information Module

HAN Authorized External Entity

. Verteilnetzbetreiber (VNB) . Messstellenbetreiber (MSB) CLS Data . Messdienstleister (MDL) . Lieferant (LF)

WAN

Prosumer Controllable Local Service Technician Visual Display System (CLS)

aliquyam erat Duis autem vel At vero eos Lorem ipsum duo dolores et dolor sit amet takimata sanctus

autem vel consete clita kasd gubergren tur takimata sanctus sadipsci ng elitr, invidunt ut labore sed diam duo dolor et duoes et euismod

wisi enim ad sanctus

sea takimata sed diam nonumy sanctus molestie consequat, vel sadipscing elitr soluta nobis eleifend facer possim assum ipsum doipsum dolorlor sadipscing elitr At accusam

dolor sit amet At accusam

consete Ut wisi enim ad tur justo duo dolores sadipsci ullamcorper ng elitr vero eos sed diam nonummy ignissim qui blandit Stet clita kasd ullamcorper minim veniam

vero eros Stet clita kasd gubergren vero eros

consetetur sadipscing elitr accusam aliquyam diam

praeset luptatu accusam aliquyam zzril m zzril nulla facilisis at vero nulla facilisis at vero nostrud exerci

invidunt

takimata sanctus Consetet iriure ur nonummy consequ at, vel illum takimata sanctus dolore

Atme nonummy Lorem ipsum dolor consequ at, vel illum dolore dolores et ea adipiscing vero eos kasd guber et accusam sed diam nonumy Gren no sadipscing elitr Consectetuer adipiscing diam voluptua nostrud exerci

sadipscing voluptua invidunt ut © softScheck Principle Fuzzing Process

1 Target Fuzzer 0000 0000 … 1111 1111 2

Expert Advice: Report Identification, Rating Patch, Fix

Test System Target System

Identification Code Coverage Input Interfaces

Target Proprietary Developed Processor Fuzzer ARM, AMD, IBM, Intel, Nvidia, PLC, Power PC, 1 Target Qualcomm, Sun, Snapdragon, … Fuzzer 0000 0000 … 1111 1111 2 Encryption I/A DB Target OS Android, CardOS, JCOB, Proprietary Developed Nucleus, OS X, QNX, Attack Strings Unix, VxWorks, Windows, S7, …

Monitor-Client Monitor/Debugger

Expert Activities

Expert Advice: Proof of Concept Report Identification, Rating Exploits Patch, Fix

Method No. No. Tools used Vulnerabilities

Architecture Analysis: Threat Modeling 112 (986) 1

Static Source Code Analysis 17 3 - 5

Penetration Testing 0 (76) 4 +

Dynamic Analysis: Fuzzing 27 5 - 7

Sum 156 > 13

Host: PC, Server, Router, …, OS ME Network Server

Intel AMT Intel AMT Intel AMT Routing Intel AMT Server Client Server Application Application Application Application Application

SOAP SOAP SOAP HTTP HTTP HTTP TLS TLS TLS TCP/IP TCP/IP

TCP/IP Host Host LAN LAN MEI Management MEI Engine Interface Driver Driver Driver Driver

LAN LAN Hardware M-Link Driver LAN Hardware

. Intel Management Engine (IME, ME) 32-bit ARC RISC Prozessor – greift auf die gesamte Hardware zu inkl. Haupt- und periphere Speicher, Netzwerk - fest-verdrahtete, verschlüsselte Software (Firmware). . Verschlüsselte Kommunikation übers Internet via Netzwerkchip - am Betriebssystem vorbei.

0. BSI Grundschutz, ISO 27001, 27019, …

ISO 27019: ”Information security management guidelines for process control systems specific to the energy industry”: Einsatz von Sicherheitsmethoden und Tools: Firewalls, Verschlüsselung, Intrusion Protection/Detection, Honeypots …

1. Härten der Software-Systeme – Minimierung der Angriffsfläche (‘Stealth-Technik’, Absicherung des internen Netzes)

2. Secure Software Development – Security Testing (ISO 27034)

3. Hardware Conformity Testing. Härtung.

Security Requirements Application Security Audit

Risk Analysis Application Security Controls

Explorative Testing Static Source Manual Auditing Dynamic Analysis SQUARE ASC 01 Architecture Analysis S Threat Model Code Analysis Penetration Fuzzing Testing Attack Paths, Surface Conformity Testing

Targeted Level of Trust

Requirements Product Design Implementation Verification Release

Prof. Dr. Hartmut Pohl und Thomas Bötner

softScheck GmbH Köln Büro: Bonnerstr. 108. 53757 Sankt Augustin www. softScheck.com