Cyberattacker i praktiken



Relevanta dokument
EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

Datorer finns överallt, men kan man lita på dem?

Säkerhet i industriella styrsystem. Problemformulering. Hans Grönqvist Ph. D.

ISA Informationssäkerhetsavdelningen

Säkerhet i industriella informations- och styrsystem

MSB:s arbete med samhällets information- och cybersäkerhet. Richard Oehme Verksamhetschef Samhällets informations- och cybersäkerhet (MSB)

MSB för ett säkrare samhälle i en föränderlig värld

Myndigheten för samhällsskydd och beredskap MSB Informationssäkerhet

Locum AB. Anders Gidrup säkerhetschef Locum AB

Utdrag från kapitel 1

Kom igång med utbildningen säkervardag.nu!

Nationell risk- och förmågebedömning 2017

Programmet för säkerhet i industriella informations- och styrsystem

Informatören som coach och strategisk partner eller Från informationsproducent till kommunikationsstrateg. 18 juni Nina Åkermark

Anslag 2:4 Krisberedskap, inriktning 2016

Stuxnet Spöken i maskineriet

Vem tar ansvar för Sveriges informationssäkerhet?

MSB:s vision. Ett säkrare samhälle i en föränderlig värld

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Säkerhet, krisberedskap och höjd beredskap. Christina Goede Programansvarig Skydd av samhällsviktig verksamhet och kritisk infrastruktur, MSB

Strategiska hot- och risker i ett totalförsvarsperspektiv - Presentation på konferensen Digitaliseringen förändrar energisektorn- 17 maj 2018

Resiliens i en förändrad omvärld

EBITS Elförsörjningen i Cyberkriget. Långholmen november 2013 EBITS. Arbetsgruppen för Energibranschens Informationssäkerhet

Ivar Rönnbäck Avdelningschef. Avdelningen för utbildning, övning och beredskap

Nationell strategi för skydd av samhällsviktig verksamhet

KRITISK INFRASTRUKTUR OCH CYBERSÄKERHET

Scenario- och övningsverksamhet Att öva på hemmaplan

Civilt försvar Elförsörjningens beredskapsplanering påbörjas. Magnus Lommerdal

Installera nedladdningsterminal

Säkerhet bygger man in, man skruvar inte dit den efteråt - eller?

Så är vi redo om krisen kommer

Aktivering av xfill Trimble CFX-750 RTK

Outredda IT-brott Hot mot samhället och rikets säkerhet. Överdriven rubrik? Pop quiz

Regler för användning av skoldatanätet i Vaxholms stad.

Spårbarhet i digitala system. Biografi. Spårbarhet. Osynlig övervakning och de spår vi lämnar efter oss

Frågeställningar inför workshop Nationell strategi för skydd av samhällsviktig verksamhet den 28 oktober 2010

Strategi för förstärkningsresurser

Intervjuguide - förberedelser

Felsökning av mjukvara

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

Regler för användning av Riksbankens ITresurser

En IT-säkerhetslösning för hela verksamheten PROTECTION SERVICE FOR BUSINESS

ASSA RX WEB. Snabbt - Enkelt - Kostnadseffektivt passersystem. ASSA ABLOY, the global leader in door opening solutions. 1

Föreläsning 3. Datorkunskap 50p Marcus Weiderstål Bromma Gymnasium

Regel. Användning av Riksbankens IT-resurser. Inledning. Användning av IT-resurser

Strategi för samhällets informationssäkerhet

Installationsanvisning för LUQSUS version 2.0

Om krisen eller kriget kommer Samhällsviktig verksamhet och nya lagar

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Modernt arbete kräver moderna verktyg

IT SOM TJÄNST IT SOM TJÄNST - IT-DRIFT - SÄKERHET - LAGRING - E-POST - BACKUP - MJUKVARA - OFFICE IT-ARBETSPLATS IT SOM TJÄNST.

Din guide till en säkrare kommunikation

Foto: Björn Abelin, Plainpicture, Folio bildbyrå Illustrationer: Gandini Forma Tryck: Danagårds Grafiska, 2009

MVA-projektets syfte. Målsättning med analyser? Sårbarhet. Scenariobaserad metod. Fokus. Kommunal sårbarhetsanalys MVA-metoden (SÅREV)

Roller och ansvar vid kärnteknisk olycka

Datum Den första bilden i installationsprogrammet visar vilken version det är. Klicka på Nästa eller tryck Enter för att fortsätta.

Kontorsinstallation av SDCs insändningsprogram Sender för filer från skördare, skotare eller drivare

Säkerhet i industriella informations- och styrsystem

Programmera och hitta buggarna. Se video

Lagstadgad plan. Plan för hantering av extraordinära händelser Diarienummer KS-345/2011. Beslutad av kommunfullmäktige den 20 juni 2011

Cyber security Intrångsgranskning. Danderyds kommun

IT SOM TJÄNST IT SOM TJÄNST - IT-DRIFT - SÄKERHET - LAGRING - E-POST - BACKUP - MJUKVARA - OFFICE IT-ARBETSPLATS IT SOM TJÄNST.

Industriell IT säkerhet. Erik Johansson Cyber Security Manager

Plan för hantering av extraordinära händelser i fredstid samt vid höjd beredskap

Mattias Martinsson Länskriminalpolisen Halland

Granskning av räddningstjänstens ITverksamhet

MSB roll och uppgift i stort och inom informationssäkerhet

Ny struktur för ökad säkerhet - nätverksförsvar och krishantering

Kommittédirektiv. Forskning och utveckling på försvarsområdet. Dir. 2015:103. Beslut vid regeringssammanträde den 29 oktober 2015

Anvisningar för användning av statlig ersättning för landstingens arbete med krisberedskap och civilt försvar

Myndigheten för samhällsskydd och beredskap MSB Samhällets informationssäkerhet

Nätsäkerhetsverktyg utöver kryptobaserade metoder

Post- och telestyrelsen arbetar för att alla i Sverige ska ha tillgång till bra telefoni, bredband och post.

Ett säkrare samhälle i en föränderlig värld

Införande av övervakningssystem av anställdas Internet aktiviteter

4.2 Fastställ en referenslösning Kundvärde... 6

IT-Policy Vuxenutbildningen

Denna bok uppfyller riktlinjerna i Lgr 11, kursplan i teknik i grundskolan. Den är avsedd för årskurserna 7 till och med 9.

eller Övningar i filhantering Tema: Mappar och filer i Windows samt Lagringsenheterna OBS! Endast för medlemmar i SeniorNet, Klubb Södertälje!

Cyberförsvarsförmåga genom tekniska cyberförsvarsövningar

Virus och andra elakartade program

Extramaterial till Spektrum Teknik

Grundsyn - gemensamma grunder för en sammanhängande planering för totalförsvaret (10 juni 2016) Version juni 2018

Cyberäkerhet i industriella styrsystem och IoT. Var är riskerna? Hans Grönqvist Ph. D.

Forskning för ett säkrare samhälle

Grattis till ett bra köp!

Kommittédirektiv. Viss översyn av ansvarsfördelning och organisation när det gäller samhällets informationssäkerhet. Dir. 2009:110

25. Hämta Adobe Reader

Grundkurs i programmering - intro

KSLA 9 nov Livsmedelsförsörjning - Vem ansvarar för vad och hur ser samordningen ut? Therese Frisell

Cargolog Impact Recorder System

ipads i skolan Vanliga frågor och svar (FAQ)

DATA CIRKEL VÅREN 2014

Civilt försvar grunder och aktuell information. Version juni 2018

IDE USB kabel Windows XP, Vista 7 löäzxcvbnmqwertyuiopåasdfghjklöäz [Version 1.4, ]

Policy för användande av IT

Målet för samhällets krisberedskap är att minska risken för, och konsekvenserna av, kriser och allvarliga olyckor

Nationell strategi för skydd av samhällsviktig verksamhet

Miljöbedömning för Kristinehamns kommuns avfallsplan

Allmänt om programvaror och filer i Windows.

Transkript:

Cyberattacker i praktiken en presentation

Cyberattacker i praktiken Industriella informations- och styrsystem används för att styra och kontrollera stora tekniska processer och system. Således är dessa system kritiska i samhällsviktiga verksamheter som vatten och avlopp, eldistribution, kärnkraft, transporter, olja och gas, samt tillverkningsindustri. Sedan 2007 har IT-säkerhetsgruppen vid FOI i Linköping fungerat som tekniskt verksamhetsstöd till KBM/MSB. I slutet av 2008, efter en beställning från KBM, införskaffade FOI teknisk utrustning för att påbörja uppbyggnaden av ett tekniskt samverkanscentrum för säkerhet i industriella informations- och kontrollsystem (SCADA). Den mediala uppmärksamheten för säkerhet i industriella informations- och styrsystem har ökat kraftigt under 2010. Främsta orsaken till uppmärksamheten av SCADA-säkerhet är Stuxnet som enligt media troligtvis var avsett att attackera system i Iran. Vid sökning efter Stuxnet på svenska sidor hos Google resulterar detta i över 170 000 träffar. MSB:s satsning på medvetandegörande i samhället och kompetenshöjning av berörda grupper rörande SCADA-säkerhet har också skapat mycket intresse från media. Denna visning försöker med ett scenario illustrera varför vi tycker att detta är ett angeläget område att behandla. 2

SCADA-system en kort beskrivning SCADA är en förkortning av den engelska benämningen Supervisory Control And Data Acquisition och kan översättas med System för att styra och övervaka tekniska processer, eller kort och gott Industriellt styrsystem. Eftersom benämningen SCADA-system är ett vedertaget begrepp så använder vi i detta både i presentation och i denna skrift. SCADA-system finns idag i en mängd olika sammanhang. De självklara ställena är distribution av elektricitet och dricksvatten, fjärrvärme samt spårbunden trafik men då SCADA-system med tiden har blivit allt vanligare finns de idag i på ställen som inte är lika självklara. Några exempel är trafikljus, öppningsbara broar, telefoni system, i bilar och till och med i luftkonditioneringsaggregat och värmesystem. De klassiska målen för de som konstruerar SCADA-system har varit drift- och personsäkerhet men då dessa system har varit installerade i slutna miljöer har datasäkerhet i allmänhet inte funnits på agendan. Den expansion på datanätssidan, som har skett på senare år, har gett olika aktörer möjlighet att effektivisera sin verksamhet genom att nätverkskoppla sina system och därmed minska behovet av att skicka ut personal för att göra arbeten lokalt. Två världar har mötts men på grund av världarnas olika historia har säkerheten i de totala systemen lämnats därhän. Ingen kan idag säga vilka risker detta medför. 3

Scenariot ett fiktivt, men realistiskt, scenario I Tåsjö bryts och förädlas den sällsynta metallen Ballistika. Ballistika säljs mestadels för vetenskapliga ändamål och har gett orten Tåsjö ett ekonomiskt uppsving som inte har sin like i mannaminne. Tåsjögruvans största marknad finns i Landia, ett land i en instabil region på gränsen mellan Europa och Asien. I Landias grannland Grannlandia är man övertygad om att Landias militärindustri använder Ballistika för att konstruera och producera nya och effektivare vapen vilket skulle förskjuta den millitära balansen mellan Landia och Grannlandia vilket i sin tur skulle kunna äventyra den sköra fred som råder i området. Grannlandia bedömer att de med alla medel måste stoppa infödet av Ballistika till Landia men för att inte behöva agera på ett öppet och agresivt sätt mot Landia bestämmer man sig för att lösa problemet vid sin källa, genom att försöka stoppa exporten av Ballistika från Sverige. Grannlandia väljer att utföra en IT-attack mot transporten av Ballistika. Att angripa transporten har den stora fördelen att ingen kommer att veta vem som har agerat, om det över huvud taget upptäcks att någon har genomfört en attack. Efter ett noggrannt underrättelsearbete skickar man agenter till Sverige med målet att genomföra en IT-attack. 4

Målet för attacken Ballistika transporteras på tåg från Tåsjö till Nynäshamns hamn, varifrån transporten sedan fortsätter sjövägen till Landia. Grannlandias agenter väljer att försöka åstadkomma en attack mot det tåg som transporterar metallen på sin väg från Tåsjö till Nynäshamn. Tanken är att om en tåg - olycka sker i ett tätbefolkat område med efterföljande svåra saneringsarbete kommer transporter av Ballistika att omöjliggöras under mycket lång tid. Valet blir att rikta in sig på tågbron över Södertälje kanal. Man vet, med grund i det utförda underrättelsearbetet, att bron är styrd av PLCer från ett stort och välrenommerat europeiskt teknikföretag och man har även lyckats få inblick i det aktuella systemets konstruktion. En grupp inom Grannlandias 4:e direktorat Kontoret för ledningskrigföring arbetar under lång tid med att ta fram ett IT-vapen som utnyttjar svagheter i såväl operativsystem som den mjukvara som används för att konfigurera de aktuella SCADA-systemen IT-vapnet läggs på ett antal vanliga USBminnen av varierande fabrikat. Som ett sista led i förberedelserna skickas en agent till Sverige med ett antal av dessa USB-minnen i bagaget. 5

Attacken En tidig morgon går agenten till parkerings platsen utanför ett kontor där personalen som sköter den aktuella järnvägsbron har sin normala arbetsplats. Innan arbetsdagen börjar på kontoret sprider han diskret ut ett antal av de USB-minnen han har med sig från Grannlandia och lämnar sedan området utan att väcka uppmärksamhet. Någon timma senare kommer de första anställda till kontoret varvid en av dem får syn på ett av USB-minnena liggande på parkerings platsen. Eftersom han antar att någon av hans kollegor har råkat tappa det tar han med sig minnet in på kontoret och för att försöka reda ut vem som är ägaren av minnet stoppar han in det i sin kontorsdator men finner bara några bilder som inte ger någon ledtråd till vem som har tappat det. Han plockar ur minnet ur datorn, lägger det i sin skrivbordslåda och glömmer saken. Vad han inte vet är att USB-minnet innehöll programkod som utnyttjade ett säkerhetshål i hans Windows-installation och installerar sig med root-behörighet och börjar exekvera. Allt detta utan att någonting visas på datorskärmen. Väl inne i företagets intranät kopierar IT-vapnet sig vidare i företagets system tills alla datorer är infekterade. 6

Spridning Vid ett senare tillfälle kommer den service tekniker som har som uppgift att sköta SCADA-systemet som styr tågbron över Södertälje kanal. Han är inne på kontoret för att läsa mail och hämta uppdateringar av mjukvara till systemen som sitter i brons styrcentral. Så fort han kopplar upp sig i nätverket kopierar IT-vapnet, som har bidat sin tid i intranätet, in sig på hans laptop där det åter lägger sig och väntar på att målet skall komma inom räckhåll. När serviceteknikern senare samma dag kopplar in sin dator till brons SCADA-system och startar underhållsprogramvaran börjar IT-vapnet att exekvera tillsammans med det. När serviceteknikern tror att han laddar in ny mjukvara i brons system installerar han ovetande även IT-vapnet. Väl installerat i målsystemet tar IT-vapnet kontrollen över brons SCADA-system men, i väntan på ett förutbestämt klockslag, utför IT-vapnet precis det arbete som förväntades av den mjukvara som skulle ha installerats varför ingen anar oråd. 7

Vapenverkan Ytterligare en tid senare startar ett tåg från Tåsjö med sin last av Ballistica i riktning mot Nynäshamn. Vid tidpunkten när Ballisticatåget närmar sig tågbron tar IT-vapnet över brons styrfunktioner och bron öppnas. För att ingen i tid skall uptäcka vad som håller på att ske förbikopplar IT-vapnet sådana funktioner som normalt skall stoppa ett annalkande tåg: Tågsignalerna visar att vägen är fri. Övervakningspanelen i övervakningscetralen visar att bron är stängd. För att bron inte skall gå att stänga igen fortsätter IT-vapnet att styra ut ström till motorerna även när bron har nått sitt högsta läge varvid dessa skadas och blir obrukbara. När IT-vapnet nu har fullgjort sin uppgift raderar det sig själv och återställer den riktiga mjukvaran för att på så sätt dölja att en attack har skett. 8

Stuxnet kortfattad fakta om ett aktuellt exempel I juni 2010 flaggade ett vitryskt antivirusföretag för att de upptäckt ett nytt hot en datormask som angriper specifika styrsystem från Siemens. Då masken, som går under benämningen Stuxnet, var det första kända IT-vapnet som riktades mot industriella styrsystem blev det mediala intresset mycket stort, och ett flertal teorier om dess upphovsmän, mål och syfte har dryftats från alla världens hörn. De huvudspår som media har gått på, är att Stuxnets komplexitet och karaktär i princip utesluter andra upphovsmän än stater. Speciellt utpekat har Israel blivit, då det spekulerats i att maskens primära mål var någon av två nukleära anläggningar i Iran, nämligen anrikningsanläggningen i Natanz och det kärnkraftsverk i Bushehr som är under uppbyggnad. FOI fick uppdraget av MSB att leda en kortare detaljstudie av Stuxnet i samverkan med andra myndigheter, där syftet var att kunna skapa en mer objektiv lägesbild. Flera intressanta slutsatser har kunnat dras och här beskriver vi några av dessa: Genom en analys av programmeringsstilar ser vi att upphovsmännen av den windowsspecifika koden består av en grupp där 5-7 olika programmerare gjort jobbet. En av programmerarna har skrivit huvudddelen, medan de övriga tagit hand om specifika moduler eller funktioner. Media har kallat de sårbarheter i Windows som Stuxnet utnyttjar för 0-days (med 0-day menas tidigare okända svagheter ). FOI:s undersökningar har givit att flera av sårbarheterna har varit kända sedan tidigare i kretsar där man handlar med sårbarheter. Programmerarna bakom Stuxnet har inte heller använt sig av några så kallade anti forensics -tekniker, alltså tekniker som gör det svårt eller omöjligt att analysera koden. Detta, tillsammans med andra fynd, får oss att dra slutsatsen att de delar av Stuxnet som vi studerat inte är så avancerad som det hittills framställts. Det finns dock styrsystemsspecifika delar som vi inte detaljstuderat ännu. Den delen av koden som injicerar skadlig kod i styrutrustningen skrevs sannolikt redan i december 2003. Detta kan tyda på att den delen av koden är köpt eller stulen från en annan källa. Vissa tecken tyder också på att det helt enkelt kan vara ett debugverktyg som är omgjort att användas för nya syften. Den version av Siemens utvecklingsverktyg som skaparna av Stuxnet har använt är en version som är vanlig som piratkopia. Just den versionen diskuteras dessutom en del på de internetforum där personer med styrsystemskompetens finns. En viktig slutsats som vi drar efter analysen av Stuxnet är att det inte är självklart att det måste vara någon organisation med stora resurser som ligger bakom. Både förmåga och incitament tycks vara betydligt mer spridd än vi trott tidigare, vilket är oroande. 9

Nya IT-hot I detta scenario visualiseras en ny typ av hot. Vi har under många år varit vana vid att olika datorvirus har spritts över världen. Dessa virus har varit riktade mot kontorsvärlden och orsakat större eller mindre problem beroende på hur de har varit konstruerade. Dessa klassiska virus har resulterat i en motkraft i form av en större mängd virusskyddsprogram som, likt datorvärldens läkarkår, håller våra kontorssystem friska. Dessa hot har vi lärt oss att hantera. Den typen av nya cyberhot som vi har försökt visualisera här, och som vi fick ett prov på under 2010 i form av Stuxnet-masken, angriper SCADA-system som styr den fysiska världen. En bro som öppnas vid fel tillfälle, nedsläckning av elnätet eller i värsta fall avstängningen av kylningen till en kärnreaktor kan orsaka situationer där mäniskors liv sätts i fara. Hur kan vi möta dessa hot? Medvetandegöra Samhället är idag beroende av SCADA-system vilka kan vara mycket sårbara för cyberattacker, men det är få som vet om det. Även bland de som arbetar med dessa typer av system är denna kunskap inte speciellt väl spridd därför måste medvetandet kring dessa problem spridas. Utbilda De som arbetar med ledning och drift av SCADA-system måste få kunskaper om risker och metoder för att skydda systemen. Leverantörer av SCADA-system måste utveckla system som är mer robusta och måste få hjälp av användare och myndigheter för att göra det. Kartlägga Ingen vet idag hur stora riskerna egentligen är eller vilka system som står oskyddade, detta bör kartläggas. Tekniken för att skydda SCADA- system är fortfarande i sin linda och här behöver arbete göras för att föra tekniken framåt. 10

Presentationer FOI är ett av Europas ledande forsknings institut inom försvar och säkerhet och är en myndighet under Försvarsdepartementet. FOI:s kärnverksamhet är forskning, studier och utveckling av metoder och teknik. En viktig del av vårt arbete att skapa inno vativa lösningar åt näringsliv, myndigheter och krishantering i det civila samhället. Dessa lösningar är ofta baserade på forskningsresultat från vårt arbete för Försvars makten och Försvarets Materielverk. Hos oss på FOI har du öppna dörrar till bransch ledande kunskap och unika resurser. FOI har lång erfarenhet av SCADAsäkerhet och har, bland annat, byggt upp ett laboratorium för SCADA-säkerhet tillsammans med MSB. För mer information: www.foi.se MSB utvecklar, tillsammans med andra, individens och samhällets förmåga att förebygga, hantera och lära av olyckor och kriser. Visionen är ett säkrare samhälle i en föränderlig värld. Ett av myndighetens uppdrag är att stödja och samordna arbetet med samhällets informationssäkerhet. I detta ingår att: Lämna råd och stöd avseende förebyggande arbete; analysera omvärldsutvecklingen inom området och vid behov rapportera till regeringen; samt svara för att Sverige har en nationell funktion med uppgift att stödja samhället i arbetet med att hantera och förebygga IT-incidenter (CERT-SE). I samverkan med berörda aktörer från privat och offentlig sektor driver MSB ett flerårigt program för att öka säkerheten i industriella informations- och styrsystem (SCADA). Det laboratorium som MSB och FOI tillsammans bygger upp utgör basen för de tekniska utbildningar, övningar och studier som genomförs inom programmet. För mer information: www.msb.se/scada Tack till de som hjälpt oss under arbetet Firstplay AB www.firstplay.se SJ AB www.sj.se Sjöfartsverket www.sjofartsverket.se Ides AB www.ides.se 11

2010 var året när SCADA-system blev målet för cyberattacker. Eftersom SCADA-system styr stora delar av vår infrasruktur kan sådana attacker stoppa distribution av elektricitet och dricksvatten, fjärrvärme, telefonisystem, spårbunden trafik och mycket annat. Hur skall samhället möta detta nya hot? BR-30:1/2011 enestedt.se FOI Totalförsvarets forskningsinstitut 164 90 Stockholm Tel: 08-555 030 00 Fax: 08-555 031 00 www.foi.se

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss