BlackHatSessions

Marina Krotofil

Onlangs organiseerde IT-security expert Secura alweer voor de zeventiende keer de jaarlijkse ‘BlackHatSessions’, een eendaagse conferentie over cybersecurity.

Secura was er in geslaagd een aantal bekende sprekers te strikken voor het thema ‘Protecting your Critical Systems’. De lezingen waren verdeeld over een technische en een management-track, met parallel hieraan de gehele dag een serie hands-on workshops. Tevens konden in een aparte ruimte studenten van hogescholen en universiteiten in een ‘Capture The Flag’-wedstrijd hun krachten met elkaar meten in het vinden van zwakheden in systemen. Ruw geschat denk ik dat er zo’n 300-350 bezoekers aanwezig waren.

Victor Gevers, ethisch hacker, opende de dag. Gevers is bekend van een enorm aantal ontdekte lekken in allerlei soorten apparatuur, die vervolgens onder ‘Coordinated Disclosure’ met de leverancier worden gedeeld, zodat deze de kans heeft om ze op te lossen en een update uit te brengen voordat ze bekend worden gemaakt. Gevers gaf een groot aantal voorbeelden van problemen en hoe traag sommige leveranciers daarmee omgaan.

‘Anatomy of a cyber-physical attack’

Vervolgens ging Secura’s Jos Wetzels verder over ‘Anatomy of a cyber-physical attack’, een aanval op een besturing met fysieke componenten. Dat is dus anders dan een aanval op een IT-systeem waar het gaat om data. Dat dit kan, is geen sciencefiction meer; het afgelopen decennium - na Stuxnet - zijn daar diverse voorbeelden van geweest. Dat de netwerken, besturingen en alle andere apparaten ‘insecure by design’ zijn daar worden we vaak genoeg aan herinnerd. Zelfs een SIS zoals de Triconex is niet veilig voor hackers. Onze netwerken zijn poreus! Maar is het ook makkelijk om een cyber-fysiek systeem aan te vallen? Een aanvaller moet dan wel goede kennis hebben over het proces én het systeem dat hij wil beïnvloeden. Bijvoorbeeld: welke actie veroorzaakt een explosie in een pijplijn? En hoe krijg ik de gewenste pijplijn? En op welk gewenst tijdstip? Hoe zijn de lokale safety checks uit te schakelen? En hoe is te verhinderen dat de operators ingrijpen? En uiteindelijk: hoe kan ik iemand anders de schuld geven? Dit illustreerde Wetzels met een uitleg via welke stappen hackers in 2015 een Oekraïense energiecentrale op afstand uitgeschakeld hebben.

Zwaktes in de IEC-62443

Daarna ging de bekende beveiligingsonderzoekster Marina Krotofil (BASF) in op zwaktes in de IEC-62443. Haar kritiek betrof de definitie van ‘Security Level’ (SL). Volgens de norm heeft deze een waarde SL1..SL4. Hoe hoger de SL-waarde, des te zwaarder de beveiligingseisen. De SL-waarde zelf wordt gekozen door te bepalen tegen welk soort hackers men beveiligd wil zijn. Maar, redeneert Krotofil, cybersecurity is een bewegend doel en het wordt voor hackers/aanvallers steeds makkelijker om gebruik te maken van open-source software en tools om (binaire) software weer terug te converteren naar leesbare tekst. Ook werken hackers vaker samen met experts die kennis hebben van het bestuurde proces. Dit alles maakt dat waar een paar jaar geleden alleen de meest gespecialiseerde hackers sommige industriële installaties konden binnendringen - zoals met de ‘Triton’ aanval op Schneider Triconex besturingen -, dit nu al gedaan zou kunnen worden door hackers van mindere signatuur. Dan zakt de SL-waarde dus, en zou de asset-owner kunnen volstaan - volgens de IEC-62443 - met een lichtere beveiliging, terwijl het risico juist toegenomen is.

Een tweede punt van kritiek op de IEC-62443 is dat niet gekeken wordt naar de fysieke koppelingen tussen ‘zones’. Een zone bevat alle apparatuur waarin dezelfde beveiligingseisen gesteld worden. De koppelingen tussen zones worden ‘conduits’ genoemd. Meestal wordt dan gedacht aan netwerkverbindingen en andere manieren om data te transporteren - zoals usb -, maar Krotofil stelt dat ook gekeken moet worden naar fysieke koppelingen. Bijvoorbeeld, in zone A kan een pomp staan die een vloeistof pompt langs een flowmeter die in zone B staat. Directe communicatie via een netwerk is misschien onmogelijk voor de pomp naar de flowmeter en omgekeerd, maar een malware kan pomp A zodanig aansturen dat cavitatie ontstaat die de flowmeting in zone B dan verstoort.

Een derde punt van kritiek op de IEC-62443 is de certificering van software volgens ‘maturity levels’. Nog afgezien van het feit dat er geen enkel apparaat gecertificeerd is volgens de hoogste twee niveaus, zegt een certificering niets over de mate van onkwetsbaarheid. Als een student een wachtwoord kan vervangen door een nieuw wachtwoord, zelfs zonder het oude wachtwoord te kennen, wat is dan de waarde van certificering?

Zelf-encryptie op harde schijven

De meest technische lezing was van Carlo Meijer van Universiteit Nijmegen, die besprak hoe zelf-encryptie op harde schijven werkt en hoe zwak de beveiliging hiervan eigenlijk is. Zijn conclusie is dat de implementatie hiervan meestal erg slecht is, zodat de disk te kraken is. Dit is getest op negen producten; vijf zijn te compromitteren en slechts één product is misschien veilig. Ook een softwareproduct zoals BitLocker, dat volkomen vertrouwt op de implementatie in de harde schijf, is dus niet veilig.

Cybersecurity-expert

Jeroen van der Ham van NCSC (Nationaal Cyber Security Center) besprak hoe een cybersecurity-expert te herkennen is. Dat is nu nog niet mogelijk; er is geen formele definitie. In de organisatie ‘FIRST’ - Forum Incident Respons and Security Teams, actief in 92 landen met 484 teams - wordt gewerkt aan een formele definitie van het beroep. De bouwblokken van een beroep zijn: kennis - studie, titel, graad -, de aanwezigheid van een beroepsgroep, het kunnen meten van competentie - opleiding, cursussen, continue educatie -, het leveren van een dienst, en het hebben van een ethische standaard - eerlijkheid, respect, integriteit. Een formele erkenning heeft ook een onverwacht gevolg: incident responders zijn dan géén strijders in een cyberoorlog, en genieten dan ook bescherming onder het oorlogsrecht. De recente schermutselingen tussen de VS en Iran, die zich ook in cyberspace lijken af te spelen, tonen opeens het belang ervan aan.

Sectoren

In de parallelle tracks ging het over de cybersecurity in een aantal sectoren: intelligente voertuigen - Rijksdienst voor het Wegverkeer, de paradox van open bankieren - Dutch ayment Association, cybersecurity risk model en certificatie - Chubb en Cyberveilig Nederland, waarom bedrijven falen in industriële cybersecurity - LyondellBasell, IoT en standaardisatie - Agentschap Telecom, en veiligheid van medische apparatuur - Philips. Hierin ging het niet zozeer over techniek, maar wel over actuele, maatschappelijke ontwikkelingen en hun impact op systemen, processen, regulering, wetgeving, et cetera. Duidelijk is dat niet enkel de industrie een cybersecurityprobleem heeft. Zoals Ben Kokx van Philips Healthcare afsloot: er zijn virussen waarvan een dokter je niet kan genezen.

In de afsluitende keynote ging Elsine van Os van Signpost Six in op diefstal van intellectueel eigendom - bedrijfsspionage - via Chinese instanties die uw eigen personeel hiervoor inschakelen. In een aantal voorbeelden besprak zij drie gevallen hiervan, en hoe men dit eventueel al vroeg had kunnen herkennen. Ze riep op om krachten te bundelen voor een betere bestrijding van bedrijfsspionage, sabotage, fraude en corruptie.

Voor wie de conferentie heeft gemist, de meeste presentaties en samenvattingen zijn te vinden op https://bit.ly/2nMkkuB. De datum voor de achttiende BlackHatSessions is al bekend: 11 juni 2020 in NBC Nieuwegein. Het thema is dan: cloudsecurity.

Rob Hulsebos