Cybersikkerhet og strømnettet

SINTEF INFOSEC

I anledning et foredrag om nettopp cybersikkerhet og strømnettet, tenkte jeg å ta deg med på en aldri så liten reise i strømnett og cybersikkerhet. Grip fatt i nærmeste strømkabel og forbered deg på et innlegg fult av spenning.

Stuxnet (2010)

Hold ut, jeg skal bare nevne Stuxnet for skams skyld, vi begynner alle å ha hørt nok om det. Stuxnet spredte seg over hele verden, men med en markert konsentrasjon i Iran i en tidlig fase. Det benyttet seg av fire zero-day sårbarheter og infiserte PCer som styrer Siemens Simatic PLS-systemer. Herifra kontrollerer Stuxnet sentrale deler av kraftverket. Sentrifugene spinnes opp og ned i hurtig etterfølgende sekvenser, mens operatørene i kontrollrommet får beskjed om at alt er normalt. Det anslås at dette ødela ca. 984 sentrifuger for foredling av uran.

Mindre kjent er det kanskje at det vi kjenner som Stuxnet egentlig burde omtales som Stuxnet 2.0. Den første runden med Stuxnet ble brukt til å hente inn relevant informasjon og å teste ut konseptet som ble utnyttet fult ut i Stuxnet 2.0. De klarte også å holde seg under radaren og ikke bli oppdaget før Stuxnet 2.0 ble oppdaget.

Lærdom å ta med seg:
Airgap løser ikke alle problemer, ei heller er det garantert sikkert. Noe lignende Stuxnet kan skje deg og dine løsninger.

Dragonfly (2014)

Populært omtalt som Dragonfly, men i kampen om mest oppmerksomhet rundt oppdagelsen har ulike selskaper gitt den ulike navn som: Dragonfly, Havex og Energetic Bear. Uavhengig av hva vi velger å kalle den (dog velger jeg å kalle den Dragonfly), kan vi snakke om dens interessante innhold. Det var en storstilt kampanje mot europeisk energiindustri med flere elementer:

  • Spam
  • Exploit kits
  • Byttet ut legitime drivere og oppdateringer på nettsidene til leverandører av kontrollsystemer med trojanske versjoner

Lærdom å ta med seg:
Krev tilstrekkelig sikkerhet hos leverandører av programvare og løsninger, samt test at den faktisk er både tilstrekkelig og så god som de hevder. Et konkret tips er å kreve signerte utgaver av alle oppdateringer.

På samme vis som Stuxnet 1.0 var Dragonfly bare et verktøy for å samle informasjon om tilstand, verktøy, koblinger og nettverk. Dog inneholdt den en funksjon for fjernoppdatering! Dermed var det enkelt å oppdatere skadevaren når man måtte ønske for å kunne gjøre mer aktiv skade.

Ukraina (2015)

For kontekstens skyld kan det nevnes at Ukraina ligger nært og er i væpnet konflikt med et større naboland i øst. Rett før jul, 23. desember for å være nøyaktig, fikk en operatør ved et distribusjonssenter i vest-Ukraina øye på at musepekeren på terminalen hans bevegde seg – tilsynelatende uten hans påvirkning. I tiden som følger, frakobler angriperne mer enn 30 fordelingsstasjoner, samt tilbakefallskilden for strøm på flere av distribusjonssentrene. 230.000 innbyggere fikk strømmen avslått den dagen. Det er trolig lite hyggelig i desember, til tross for at Øst-Europa primært benytter gass til oppvarming.

Sikkerheten var for dårlig. Enkle grep som å kreve to-faktor-pålogging ved fjerntilkobling til SCADA-nettverket (om man skal tillate fjerntilkobling i det hele tatt) var ikke tatt i bruk, noe som enkelt gav full tilgang.

Under angrepet ble det også installert ondsinnede oppdateringer på RTU-ene (Remote Terminal Unit) og Windows HMI-enhetene ble utsatt for “KillDisk” (sletter alt innhold) slik at man i inntil et år etter angrepet stadig ikke fått det digitale kontrollsystemet til å virke skikkelig igjen over hele regionen, men opererte alle systemer manuelt i felt.

Det spekuleres i om Dragonfly var forløperen til dette angrepet og at Ukraina 2015 var en første demonstrasjon av krigsevne.

Ukraina (2016)

VI reiser til igjen Ukraina – med litt blande følelser. Samtidig som det er synd på Ukraina som har blitt usatt for dette, er det en øyeåpner for resten av verden og noen veldig spennende angrep å studere. Mens det angrepet i 2015 er imponerende i sin koordinerte og effektive tilnærming, til tross for å være forholdsvis enkelt teknisk, er angrepet i 2016 langt mer imponerende, for ikke å si skremmende, i sin tekniske tilnærming.

Det påvirket transmisjonsstasjonen Pivnichna i Kiev og resulterte i ca. en time med blackout den 17. desember. Angrepet hadde likhetstrekk med forrige år, men måten man oppnådde resultatene på var annerledes. La meg presentere “Industroyer” – en modulbasert malware som snakker språket til dine SCADA-systemer. Heller enn å basere seg på personer som tar over kontrollterminaler for å gjøre manuell endringer, hadde man utviklet angrepskode som kunne kommunisere direkte med industrielt utstyr utplassert i nettverket og dermed effektivt ta over som kontrollnode. Støttede dialekter per i dag er: IEC60870-5-101, IEC60870-5-104, IEC 61850, OLE for Process Control Data Access (OPC DA).

Dragonfly 2.0

Noen gaver bare fortsetter å gi. I løpet av 2017 har man sett økt aktivitet i det som er blitt omtalt som Dragonfly 2.0. Den har vært i effekt siden desember 2015 og retter seg spesielt mot USA, Tyrkia og Sveits (til tross for at de alltid påberoper seg nøytralitet). Den har en tilsvarende tilnærming som den originale Dragonfly, men benytter litt andre verktøy og ser eksplisitt etter kontrollsystemer i sin informasjonsinnsamling.

Personvern

Vi bytter gir og tar en kikk på hvordan personvernet påvirkes av endringene i strømnettet. Med langt mer omfattende, hyppig og automatisk rapportering av strømforbruk får også nettoperatøren mulighet til å analysere seg frem til langt større innsikt i hva som befinner seg innenfor strøminntaket. Dette kan være nyttig ved at nettoperatøren kan tilby ekstratjenester som f.eks. varsling om apparater som er i ferd med å bli ødelagt, utgjør en brannfare eller bruker uforholdsmessig mye strøm. Samtidig legger dette også til rette for en økt overvåkning der nettselskapet vet veldig mye om den enkelte sluttkunde. Det blir da et spørsmål om hvordan denne informasjonen benyttes, siden det kan være fristende å selge data til andre aktører som vil tilby deg støvsugerposer som passer din støvsuger ned til variant av merke. Her ligger det, i alle fall i Europa, en del føringer rent lovmessig som selskapene må ta hensyn til. I tillegg vil trolig graden av nøyaktighet på analysene avhenge av lengden på rapporteringssekvensene.

Storbritannia og GCHQ

Våren 2016 satte GCHQ, etterretningstjenesten i Storbritannia, foten ned for den pågående utrullingen av smarte strømmålere i Storbritannia. Argumentet var at i sin daværende forfatning var prosjektet en fare for rikets sikkerhet. Problemet var at til tross for at smartmålerne benyttet kryptering av data måleren sendte og mottok, var nøkkelen den samme for alle målerne. Dermed ville en angriper som fikk kontroll over nøkkelen til en måler ha full tilgang til alle målere. GCHQ viser til skalaen av angrep som er mulig når de uttrykker sin bekymring. Man kan lett sette 100 husstander ut av spill med en enkel hammer, mens et slikt angrep kunne ta hele strømnettet.

“The guys making the meters are really good at making the meters, but they might not know a lot about making them secure. The guys making head-end systems know a lot about making them secure, but not about what vulnerabilities might be built into them” – Dr. Levy

GCHQ påpeker også hva som skulle til for at de var komfortable med å rulle ut strømmålerne:

“The resilience is gained by needing three independent exploits or failures to happen to cause any large-scale effect.” – Dr. Levy

Er det ikke bedre å forbli frakoblet og manuelle?

Digitalisering lar oss gjøre mer med mindre ressurser, men det gjør oss også sårbare for cyberangrep. Følgelig er det en avveining som må gjøres av det enkelte nettselskap så vel som den norske stat hvordan disse to elementene skal vektes opp mot hverandre. Dersom man velger digitalisering, noe jeg vil hevde allerede er gjort, er det imperativt at vi tar inn over oss realiteten i dagens situasjon og gjør cybersikkerhet like viktig som de funksjonelle kravene i systemet – systemet vil nemlig ikke være funksjonelt om det ikke lenger fungerer eller er under din kontroll.

Følgelig står vi igjen med at:

  • Cybersikkerhet må inngå i risikovurderinger
  • DU må kreve (og verifisere) innebygd sikkerhet både i egne og andres leveranser
  • Security by obscurity kan du glemme i internettalderen
  • Air-gap er fint som en av mange mekanismer, men når alt kommer til alt er det ingen garanti og trolig ikke egentlig tilstede.

Litt å tygge på

Dersom vi en dag blir fulldigitale på strømnettet blir det fundamentale spørsmålet: Kan du operere systemet manuelt i tilfelle tap av kontroll, når du ikke lenger har arbeidskraften med relevant kompetanse og trening?