Het verhaal over hoe Stuxnet een wake-up call is voor IT-auditors, of dat zou moeten zijn. En wat \'wij\' informatiebeveiligers / IT-auditors kunnen leren van de proces-IT-wereld, en andersom. Er is nog veel te doen...

1. Stuxnet:
Beveiliging en audit van proces-IT
Jurgen van der Vlugt
Noordbeek B.V.
JvdVlugt@xs4all.nl
25 november 2010, Regio Rotterdam / Afdeling IT-Auditing

2. Stuxnet: Beveiliging en audit van proces-IT 2
Intro; ik =
Ir.drs. J. (Jurgen) van der Vlugt RE CISA CRISC
• Bedrijfseconomie (Rotterdam)
• Technische Informatica (Delft)
• Post-grad IT-auditing (VU)
• KPMG EDP Auditors / IRM (WinNT, Y2K)
• Sogeti
• ABN AMRO (Group Audit, Group Security)
• Noordbeek (Tot 1 december 2010)
• NGI, NOREA (VC, CBr, …), ISACA, ISSA, PvIB

3. Stuxnet: Beveiliging en audit van proces-IT 3
Agenda
• Maeslant en ‫ﮉﮋﮎ‬)1 )
• Proces-IT
• Security
• Administratieve systemen en zo
• Wat nu ..?
• Uitsmijter
(1) Wat heb ik nou aan me fiets hangen?

4. Stuxnet: Beveiliging en audit van proces-IT 4
Neerlands Trots

5. Stuxnet: Beveiliging en audit van proces-IT 5

6. Stuxnet: Beveiliging en audit van proces-IT 6
Stuxnet
• Sinds juni (?) in omloop / in beeld
(Note: Eerste variant vd worm: juni 2009)1
• Zeer veel kennis erin
• Team effort
• Niet uit op creditcard-info. Huh?
• September:
• Vooral anti-Iran
• ‘Opstart kerncentrale uitgesteld’
• Round up the usual suspects
• Verspreiding: 65k Iran, 12k India, … 180 NL; 155 landen)
• Sporen van politieke boodschappen (?)
• Israël ..? Wie?
1 Bron: Eric Luijff (TNO/NICC)

7. Stuxnet: Beveiliging en audit van proces-IT 7
Analyse
• Siemens S7-300 CPU + CP-342-5 Profibus communications
modules
which monitor and control frequency converter drives
build by two companies (one in Iran, one in Finland)
• motors must run between 807 Hz and 1210 Hz
THEN during short intervals/ month to 1402 Hz, 2 Hz, 1064 Hz

8. Stuxnet: Beveiliging en audit van proces-IT 8
It giet oan
• Probleem: Slechte beheersing proces-IT
• Al lang bekend
• NICC, Govcert.nl, et al.
• Genoegzaam gewaarschuwd?
• Na bragging rights over virussen
• En na financieel gewin via banking trojans
• Nu third wave
• “Cyberwarfare”

9. Stuxnet: Beveiliging en audit van proces-IT 9
Agenda
• Maeslant en ‫ﮉﮋﮎ‬
• Proces-IT
• Security
• Administratieve systemen en zo
• Wat nu ..?
• Uitsmijter

10. Stuxnet: Beveiliging en audit van proces-IT 10
Proces-IT
• Vanuit de elektrotechniek
• Specialistisch
• Kritieke systemen!

11. Stuxnet: Beveiliging en audit van proces-IT 11
Levels

12. Stuxnet: Beveiliging en audit van proces-IT 12
Elementen
• HMI: Human-Machine Interface
• Monitoring
• Control
• Supervisory (computer) system
• Data-acquisitie
• Control commands sturen
• RTUs: Remote Terminal Units
• Connect sensors in het proces
• Converteren sensorsignalen naar digitaal
• Zenden digitale signalen naar supervisory system
• PLCs: Programmable Logic Controllers
• ‘Field devices’: goedkoper en flexibeler dan special-purpose RTUs
• Communicatie-devices/kabels

13. Stuxnet: Beveiliging en audit van proces-IT 13
Meer

14. Stuxnet: Beveiliging en audit van proces-IT 14
Control

15. Stuxnet: Beveiliging en audit van proces-IT 15
SCADA
• Nota bene:
• PLCs controllen standaardproces
• RTUs pakken afwijkingen op
• Mensen pakken afwijkingen op hoger niveau op
(iff)
• Tag db:
• Tags/points = gemonitorde I/O waarde
• Hard (1) / soft (combi)
• + Timestamp, + Metadata

16. Stuxnet: Beveiliging en audit van proces-IT 16
Plaatje
(Historian)

17. Stuxnet: Beveiliging en audit van proces-IT 17

18. Stuxnet: Beveiliging en audit van proces-IT 18

19. Stuxnet: Beveiliging en audit van proces-IT 19

20. Stuxnet: Beveiliging en audit van proces-IT 20

21. Stuxnet: Beveiliging en audit van proces-IT 21
P-roblemen
• Geen aandacht voor beveiliging en
autenticatie in ontwerp, uitrol, operations
in huidige generaties SCADA-netwerken
• (Geen) security through obscurity (meer)
• Vertrouwen op speciale protocollen,
proprietary interfaces (nog!)
• ‘Fysieke beveiliging is voldoende’
• ‘Hangen niet aan het Internet’

22. Stuxnet: Beveiliging en audit van proces-IT 22
Wat als het misgaat
• Zichtbaar ?
• Positieve feedforward ?
• Te laat ?
• Ingrijpen mogelijk ?

23. Stuxnet: Beveiliging en audit van proces-IT 23
Ook
Shattered Shield
'I Had A Funny Feeling in My Gut' By David Hoffman
Washington Post Foreign Service
Wednesday, February 10, 1999; Page A19
• It was just past midnight as Stanislav Petrov settled into the commander's chair inside the secret bunker at Serpukhov-
15, the installation where the Soviet Union monitored its early-warning satellites over the United States.
• Then the alarms went off. On the panel in front him was a red pulsating button. One word flashed: "Start."
• It was Sept. 26, 1983, and Petrov was playing a principal role in one of the most harrowing incidents of the nuclear age,
a false alarm signaling a U.S. missile attack. Although virtually unknown to the West at the time, the false alarm at the
closed military facility south of Moscow came during one of the most tense periods of the Cold War. And the episode
resonates today because Russia's early-warning system has fewer than half the satellites it did back then, raising the
specter of more such dangerous incidents.
• As Petrov described it in an interview, one of the Soviet satellites sent a signal to the bunker that a nuclear missile
attack was underway. The warning system's computer, weighing the signal against static, concluded that a missile had
been launched from a base in the United States.
• The responsibility fell to Petrov, then a 44-year-old lieutenant colonel, to make a decision: Was it for real? Petrov was
situated at a critical point in the chain of command, overseeing a staff that monitored incoming signals from the
satellites. He reported to superiors at warning-system headquarters; they, in turn, reported to the general staff, which
would consult with Soviet leader Yuri Andropov on the possibility of launching a retaliatory attack.
• Petrov's role was to evaluate the incoming data. At first, the satellite reported that one missile had been launched –
then another, and another. Soon, the system was "roaring," he recalled – five Minuteman intercontinental ballistic
missiles had been launched, it reported.
• Despite the electronic evidence, Petrov decided – and advised the others – that the satellite alert was a false alarm, a
call that may have averted a nuclear holocaust. But he was relentlessly interrogated afterward, was never rewarded for
his decision and today is a long-forgotten pensioner

24. Stuxnet: Beveiliging en audit van proces-IT 24
Wat gaat goed (pIT)
• Focus op control loops
• Wat goed gaat, laten doorlopen
• Triggers / melding van afwijking
• Monitoren om bij te sturen

25. Stuxnet: Beveiliging en audit van proces-IT 25
Wat gaat niet goed (pIT)
• Onvoldoende overall systems view
• Als het werkt, dan blijft het werken
• Software ≠ analoge signaalverwerking
• Data-integriteit, beschikbaarheid
• Voor control: OK
• Voor mgt.info: Who cares?
• ‘Beveiliging’ op derde (?) plaats

26. Stuxnet: Beveiliging en audit van proces-IT 26
Agenda
• Maeslant en ‫ﮉﮋﮎ‬
• Proces-IT
• Security
• Administratieve systemen en zo
• Wat nu ..?
• Uitsmijter

27. Stuxnet: Beveiliging en audit van proces-IT 27
SecurityFrequentie
Schade
Opera
tionele
ver
liezen
Beveiligings-
incidenten
Continuïteitsbedreigingen
Veel kleine foutjes; gemakkelijk herstelbaar of insignificant
Materiële (significante) schade; komt met enige regelmaat
voor (maar is geen ‘routine’)
Break-the-business incidenten; organisatie
overleeft klap niet
Ontploffende
Kerncentrales ..?

28. Stuxnet: Beveiliging en audit van proces-IT 28
ORM
Evaluate design & set-
up
Analysis Monitor & react
Incident
Mgt
CLD
Insu-
rance
Mgt
KRI
(Mgt)
(K)ORC
(Mgt)
R(S)A
(+Audit)
Operational Risk
Management
ORAP
Designed,
Selected for
efficiency
Tuning,
Mandatory
Near
misses
KRI
values
Corrective
actions
Incidents Indemnities
Controls Risk indicators
Incidents
for analysis
(Problems)
Inherent
risks
Process
Problem
Mgt
Breach

29. Stuxnet: Beveiliging en audit van proces-IT 29
Analyse: Bedreigingen
• Acts of Man
• Actief / Passief (blijven)
• I’m sorry-attacks
• Domheid
• ‘Operational risks’..!
… Sorry!
Overstroming
Windhoos
Aardbeving
Grieppandemie
Zonder opzet
Crackers
Fraudeurs
Actiegroepen
Tegenzin / Geen tijd
?Met opzet
Acts of Man
Acts of nature
(‘Acts of God’)

30. Stuxnet: Beveiliging en audit van proces-IT 30
(Agenda)
• Maeslant en ‫ﮉﮋﮎ‬
• Proces-IT
• Security
• Administratieve systemen en zo
• Wat nu ..?
• Uitsmijter

31. Stuxnet: Beveiliging en audit van proces-IT 31
Focus: gegevensintegriteit?
• Alles is een (transactieverwerkend) proces
• On-menselijk (?)
• Afbeelding van de werkelijkheid!
• Geen ‘oordeel’ over reële betekenis transactie
Re: Transactie gedaan, vastlegging key
Re: Integriteit? 1=1, 0=0
• Papieren werkelijkheid
• Risico-analytisch !
‘Wet op de Jaarrekeningcontrole’ ...!?

32. Stuxnet: Beveiliging en audit van proces-IT 32
En dan: Controls
= Maatregelen, bijsturingsmiddelen
• Organisatorisch (functiescheiding)
• Procedureel (afvinken rapporten)
• Fysiek (toegang)
• IT (…)
• Geld (verzekering)
• In combinatie (Er is geen silver bullet!)

33. Stuxnet: Beveiliging en audit van proces-IT 33
Controls (bescherming?)
• Afschrikkende
• Preventieve,
• Detectieve,
• Repressieve,
• Beperkende en opvangende,
• Corrigerende en terugwinnende
• Hoe eerder hoe beter
• Net beter dan de buren

34. Stuxnet: Beveiliging en audit van proces-IT 34
Controls (vervolg)
• Traditioneel: Accountantshobby
Maar niet langer alleen t.b.v. jaarrekeningcontrole
• Taalprobleem:
Operationeel doen ↔
Op managementniveau uitleggen
• Modes
• RBAC
• Classificatie
• Architectuur
• …

35. Stuxnet: Beveiliging en audit van proces-IT 35
Controls: kosten, baten
• Schade ↔ kosten van controls
(direct, indirect, reputatie?)
• Vantevoren cijfers nodig!
• Frequentie / kans
• Impact, schade (2x)
• Kosten → continu → rapporteren (niks merkbaar?)
• Effectiviteit
• FUD werkt misschien toch beter

36. Stuxnet: Beveiliging en audit van proces-IT 36
Waar is de control loop-gedachte?
• Nergens.
Administratievelingen kennen die niet
• Nou ja, … maar dan
• PDCA ≠ Deming
• Focus komt op uitzonderingen
afvangen of herstellen
• Beperkte visie op ‘alle’ inputs

37. Stuxnet: Beveiliging en audit van proces-IT 37
ControlControl
Control
ControlControl
Control
ControlControl
Control
ThreatThreatThreat
ThreatThreatThreat
Threat
ThreatThreat
VulnerVulner
Vulner
VulnerVulner
Vulner
Vulner
VulnerVulner
?
Realiteit

38. Stuxnet: Beveiliging en audit van proces-IT 38
Effect…

39. Stuxnet: Beveiliging en audit van proces-IT 39
Ook op andere gebieden, niveaus
• Pino, Nepino
• Watervalontwikkelmethode
• Testen, testen, testen. …!?
• Projectrisico’s > Deliverable-risico’s
• Auditability > control
• ‘We hebben een certificaat’

40. Stuxnet: Beveiliging en audit van proces-IT 40
Traditioneel
‘Business’ Information Mgt IT
Strat
Tact
Oper

41. Stuxnet: Beveiliging en audit van proces-IT 41
Wat breder en dieper
‘Business’ Information Mgt IT‘Overheid’?Burger

42. Stuxnet: Beveiliging en audit van proces-IT 42
Wat gaat goed (aIT)
• Controls-gerichtheid
(uitgaan van foutgaan)
• Enige keten-gerichtheid (?)
• Cultuur van controlesystemen

43. Stuxnet: Beveiliging en audit van proces-IT 43
Wat gaat niet goed (aIT)
• De abstractie van de werkelijkheid
• Te beperkt, analytisch, te hoog niveau
• Te simpel! Event ∆ 1 Oorzaak ˄ 1 Gevolg
• Focus op transparantie = auditability
• 2e
afgeleide van primaire info
• Tbv gemakkelijk leventje auditors
• (Management) controls-discussie weer
losgeraakt van software
• ‘Beveiliging = C; I en A hobbelen erachter’

44. Stuxnet: Beveiliging en audit van proces-IT 44
Agenda
• Maeslant en ‫ﮉﮋﮎ‬
• Proces-IT
• Security
• Administratieve systemen en zo
• Wat nu ..?
• Uitsmijter

45. Stuxnet: Beveiliging en audit van proces-IT 45
Wat nu ..?
• Proces-IT
• Is nieuw
• ‘Moet nog veel leren’
• Ondoorzichtig (voor kantoortijgers)
• ‘Administratieve’ (IT) beveiliging
• Heeft modellen (een oogje voor een heel land ..?)
• Veroorlooft zich foutmarges
• (Relatief) incidentele, discrete
transacties, missers

46. Stuxnet: Beveiliging en audit van proces-IT 46
Wat hebben wij te leren?
• C, I en A in balans (geen mono-focus)
• Bescheidenheid
• Urgentie (Hoewel geen Cassandra’s, Boy Cried Wolf)
• Onze diensteneconomie draait op fysieke wereld
• Decennia te gaan`?
• Verbetering (consistentie, volledigheid) van
engineering van control
• Modellen (waterval/andere(!), testen, control)

47. Stuxnet: Beveiliging en audit van proces-IT 47
Wat hebben wij te leren (II)
• Terug naar software
• Administratief → Bottom-up ‘incident mgt’
• Proces → Top-down ‘keten incl externalities’
• Software-testen
• Doen!
• Uitbreiden methodologieën
• Full-scope what-if
• Ook op requirements-niveau etc.
• Beter horizontaal en verticaal geïntegreerd totaal

48. Stuxnet: Beveiliging en audit van proces-IT 48
Kan dat ..?
• Kan niet, kan niet
• Kritieke infra
• Geen ‘Plan B’ / herstel
• Vergt véél verdieping en verbreding kennis,
kunde, vaardigheden
• Spanning diepgang/specialisme vs. overzicht
• Inhoudelijk en qua vaardigheden
• Wie gaat dat betalen ..?
• Agency vs externalities

49. Stuxnet: Beveiliging en audit van proces-IT 49
Agenda
• Maeslant en ‫ﮉﮋﮎ‬
• Proces-IT
• Security
• Administratieve systemen en zo
• Wat nu ..?
• Uitsmijter

50. Stuxnet: Beveiliging en audit van proces-IT 50
Ubicomp / Ubiinfo

51. Stuxnet: Beveiliging en audit van proces-IT 51
Ubi-problemen
• Where’s your data …? (Cloud2
)
• Wie zit er aan de gegevens, wie is in control ?
• Privacy
• Trawling for patterns
• Herstelbaarheid fouten
• Overschatting eenvoud …

52. Stuxnet: Beveiliging en audit van proces-IT 52
Agenda
• Maeslant en ‫ﮉﮋﮎ‬
• Proces-IT
• Security
• Administratieve systemen en zo
• Wat nu ..?
• Uitsmijter

53. Stuxnet: Beveiliging en audit van proces-IT 53
Vragen …?

54. Stuxnet: Beveiliging en audit van proces-IT 54
The End

55. Stuxnet: Beveiliging en audit van proces-IT 55
‘Further Reading’
• TNO/KEMA
• http://www.samentegencybercrime.nl/