Ochrona danych pomiarowych oraz przeciwdziałanie atakom na liczniki energii. Marek Wasowski Politechnika Wrocławska

Transkrypt

1 Ochrona danych pomiarowych oraz przeciwdziałanie atakom na liczniki energii Marek Wasowski Politechnika Wrocławska

2 Plan prezentacji Znane wiadome Bezpieczeostwo danych w systemach zdalnego odczytu w energetyce Nieznane wiadome Zagrożenia, ryzyka i podatności inteligentnych systemów pomiarowych w kontekście wdrażania systemów AMI Znane niewiadome - Czy zagrożenie cyberatakiem na systemy pomiarowe jest realne? Wnioski Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisielin slajd 2 z 23

3 Znane wiadome zmiana charakteru zagrożeo dla liczników energii uszkodzenie, kradzież, ingerencja w konstrukcję licznika zakłócania prawidłowego działania modułu pomiarowego, stosowanie fabrycznych ustawień panelu logowania się do licznika, posługiwanie się hasłami innych pracowników, brak szyfrowania Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisielin slajd 3 z 23

4 Znane wiadome zmiana charakteru zagrożeo dla liczników energii złamanie poufności przejęcie kontroli nad elementami infrastruktury ISE modyfikacja mechanizmów szyfrujących modyfikacja mechanizmów autentykacyjnych nieuprawniony odczyt, podsłuch naruszenie integralności modyfikacja, preparowanie danych wywołanie niedostępności w ciągu 24 godzin z domowych liczników energii zostało zarażonych malware (Las Vegas, 2009) Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisielin slajd 4 z 23

5 Znane wiadome zmiana charakteru zagrożeo dla liczników energii W ostatnich latach mieliśmy do czynienia z niespotykanymi dotąd formami działań militarnych: sabotaż irańskiego programu nuklearnego (Stuxnet 2010), cyberatak na libijskie sieci informatyczne (Arabska Wiosna 2011), ataki na Google (2012), atak na Międzynarodową Agencję Energii Atomowej (2013), czy instalacja złośliwego oprogramowania w komputerach firm energetycznych w USA, i Europie (także w Polsce) Dragonfly, BlackEnergy, Sandworm Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisielin slajd 5 z 23

6 Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisielin slajd 6 z 23

7 Get ahead of cybercrime EY s Global Information Security Survey 2014 Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 7 z 23

8 Plan prezentacji Znane wiadome Bezpieczeostwo danych w systemach zdalnego odczytu w energetyce Nieznane wiadome Zagrożenia, ryzyka i podatności inteligentnych systemów pomiarowych w kontekście wdrażania systemów AMI Znane niewiadome - Czy zagrożenie cyberatakiem na systemy pomiarowe jest realne? Wnioski Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 8 z 23

9 Nieznane wiadome NAJNOWSZE! Przykładowe funkcjonalności systemów AMI (up-stream). rejestrowanie nowo-zainstalowanych liczników w Centrum Zarządzania AMI (ang. AMI Head End) zdalny odczyt danych pomiarowych rejestrowanie zdarzeo i generowanie alarmów (ang. Event Logging and Alerting) raportowanie przerw w dopływie prądu (ang Outage & Restoration Events) Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 9 z 23

10 Nieznane wiadome NAJNOWSZE! Przykładowe zagrożenia dla wdrażanych w Polsce systemów AMI (up-stream). odczyt/podsłuch danych pomiędzy licznikiem, koncentratorem i aplikacją nadrzędną AMI modyfikacja lub zniszczenie danych przerwanie działania i/lub niedostępność usług Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 10 z 23

11 Nieznane wiadome NAJNOWSZE! Przykładowe funkcjonalności systemów AMI (down-stream). aktualizacja konfiguracji licznika (ang. Meter Configation Update) aktualizacja firmware licznika (ang. Meter Flash Image Update) zdalne odłączanie (ang. Meter Power Disconnect) unieważnianie / odnawianie kluczy kryptograficznych (ang. Cryptographic Key Revoke / Renew) Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 11 z 23

12 Nieznane wiadome NAJNOWSZE! Przykładowe zagrożenia dla wdrażanych w Polsce systemów AMI (down-stream) zdalna modyfikacja danych na poziomie urządzeń końcowych przekazywania błędnych instrukcji do urządzeń końcowych, nieautoryzowana rekonfiguracja licznika zdalne (nieuprawnione) odcięcie dopływu energii Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 12 z 23

13 Plan prezentacji Znane wiadome Bezpieczeostwo danych w systemach zdalnego odczytu w energetyce Nieznane wiadome Zagrożenia, ryzyka i podatności inteligentnych systemów pomiarowych w kontekście wdrażania systemów AMI Znane niewiadome - Czy zagrożenie cyberatakiem na systemy pomiarowe jest realne? Wnioski Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 13 z 23

14 Znane niewiadome STARE! Luki w zabezpieczeniach dostępu do liczników brak lub słabe zabezpieczenie dostępu do szafek z licznikami brak procedur kontroli otwarcia/zamknięcia brak lub powierzchowne audyty bezpieczeństwa przywileje i odstępstwa od obowiązujących reguł brak lub nieprzestrzeganie procedur dot. współpracy z firmami zewnętrznymi niewykonywanie testów penetracyjnych Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 14 z 23

15 Znane niewiadome Nowe! Miniaturyzacja komputerów Mouse Box posiada WiFi, dysk o pojemności 128 GB i czterordzeniowy procesor 1.4 GHz ARM CORTEX. Do tego dochodzą jeszcze dwa porty USB, więc spokojnie można do komputera-myszki podłączyć np. pendrive, by zgrać dane. Jest wszystko, co potrzebne jest do podstawowej pracy na komputerze, albo. Twórcy Mouse-Boxa: Przemysław Strzelczyk - doktorant Politechniki Opolskiej z czteroosobowym zespołem. Wszyscy mają po 23 i 24 lata. W zespole byli Mariusz Zoworka i Krzysztof Smykała - także doktoranci Politechniki Opolskiej - oraz absolwent Oskar Szczepaniak, obecnie studiujący na Politechnice Warszawskiej Michał Schwierc. Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 15 z 23

16 Znane niewiadome STARE! dostęp do pamięci i oprogramowania wewnętrznego licznika 79mm*53*21mm Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 16 z 23

17 Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 17 z 23

18 Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 18 z 23

19 Znane niewiadome STARE! Potencjalne zagrożenia wynikające z ingerencji w konstrukcję licznika AMI operacja manipulacja wskazaniami licznika odczyt danych ingerencja lub wymiana firmware; Nieautoryzowane włączenie/ wyłączenie dopływu prądu możliwy skutek oszustwo (fraud) - zatrzymanie licznika - wywoływanie błędnego działania licznika naruszenie prywatności, kradzież tożsamości zdalny dostęp osób niepowołanych; utrata reputacji operatora i/lub jego Klientów, straty finansowe Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 19 z 23

20 Znane niewiadome NOWE! ataki na liczniki elektroniczne (w tym AMI) Ataki przez złącza i porty komunikacyjnych - modyfikacja oprogramowania - kradzież danych pomiarowych Najczęstsze ataki sprzętowe: - badanie luk w oprogramowaniu licznika (firmware) - identyfikacja i łamanie kluczy szyfrujących - modyfikacja pamięci Flash, w tym instalacja złośliwego oprogramowania Jeśli nie wdrożono profilaktyki antysabotażowej i/lub monitoringu zmodyfikowany sprzęt nie jest łatwo wykryć. Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 20 z 23

21 Nieznane niewiadome NOWE! ataki DoS, DDoS nieprzystosowanie systemów AMI do obsłużenia nadspodziewanie dużej dawki informacji efektem ataku DoS/DDoS na systemy oraz krytyczne urządzenia AMI są zwiększone opóźnienia w komunikacji wewnątrz systemu lub nawet całkowite jego wyłączenie podczas ataku Atak DoS/DDoS występuje najczęściej w skojarzeniu z innymi cyberatakami, np. instalacja złośliwego oprogramowania, pozyskanie uprawnień wewnętrznych, atak socjotechniczny - podsyłanie fałszywych informacji w celu odwrócenia uwagi np. od następującego przejęcia serwera AMI występuje realne zagrożenie dla atakowanej firmy (utarta reputacji, straty finansowe) i jej klientów (kradzież tożsamości, przerwa w dostawie pradu, straty finansowe) Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisielin slajd 21 z 23

22 Nieznane niewiadome NAJNOWSZE! Zarządzanie zabezpieczeniami poufności AMI Wymiana kluczy szyfrujących w AMI: czy zaplanowano proces zdalnej wymiany kluczy w licznikach? sprawdzanie (walidacja) procesu wymiany kluczy szyfrujących co robić, gdy licznik nie potwierdza wymiany klucza? lub traci połączenie? czy dopuszczamy powrót do masowego stosowania starych kluczy? przejście do stosowania nowych kluczy co z licznikami przestarzałymi, w produkcji, w magazynie? Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 22 z 23

23 Wnioski Zagrożenia, na które sektor energetyczny powinien zwrócid szczególną uwagę w 2015 roku nowa generacja lepiej zorganizowanych i bardziej złośliwych rodzimych twórców szkodliwego oprogramowania, zainteresowanie tzw. haktywistów możliwościami przeprowadzania ataków, których celem są zarówno dane osobowe, jak i informacje techniczno-ekonomiczne sektora energetycznego w celu skompromitowania tzw. inteligentnych liczników, wzrost liczby ataków na firmy przeprowadzanych przez tradycyjnych cyberprzestępców oraz stopniowy spadek liczby bezpośrednich ataków na zwykłych użytkowników, stare i nowe luki (dziury) w stosowanym oprogramowaniu, które pozostaną główną drogą przeprowadzania ataków, wojna informacyjna tocząca wokół konfliktu rosyjsko-ukraińskiego może objąć polski sektor energetyczny. Marek Wąsowski: II Konferencja Naukowo-Przemysłowej Kryptologia a Biznes. Nowy Kisiel slajd 23 z 23

24 Dziękuję za uwagę