Taggat med: cyberattack

SCADA/ICS-säkerhetskonferens 4SICS

Om några veckor är det dags för årets upplaga av den internationella konferensen om IT-säkerhet i cyberfysiska system (SCADA). Konferensen går under namnet 4SICS (four-six dvs landskoden till Sverige) och hålls på Nalen mitt i Stockholm.

Erik Johansson som tillsammans med Robert Malmgren står bakom konferensen berättar att  ämnen som kommer att behandlas på konferensen i år är cyberattackerna mot Ukraina i slutet av december 2015. Då drabbades flera elbolag i Ukraina av samordnade IT-attacker som slog ut elförsörjningen för mer än en kvarts miljon abonnenter. De Ukrainska elbolagen utsattes för en så kallad APT (Advanced Persistent Threat) då en grupp sofistikerade angripare under lång tid planerade, beredde sig tillgång till, och från insidan studerade elbolagens IT-miljöer. I över ett halvårs tid planterades skadlig kod, öppnades nya bakvägar och stals information i olika förberedelsesteg inför det att man den 23:e december mörklade delar av Ukraina.

Robert M. Lee, expert på säkerhet i SCADA-system och en av de som bistod Ukrainska myndigheter med utredningen, är en av de internationella specialister som bjudits in som talare på konferensen.

Lee berättar:

IT-attacken på det ukrainska kraftnätet var den första i sitt slag. Många detaljer kring attacken har kommit till allmän kännedom, men på 4SICS kommer de som deltog i analysen av attacken att samlas och belysa detaljer och erfarenheter på ett sätt som inte gjorts tidigare.

Andra inbjudna specialister är Anton Cherepanov & Robert Lipovsky från antivirusföretaget ESET som kommer att göra en djupare genomgång av vad man egentligen vet om den skadliga koden vid namn BlackEnergy som bland annat användes mot elbolagen i Ukraina.

Erik berättar även att presentationerna kommer att avslutas med rundabordssamtal där tekniska specialister och myndighetsföreträdare kommer diskutera tekniska brister, tillvägagångssätt, konsekvenser samt IT som vapen i olika konflikter. Innan konferensen finns det även möjlighet att gå flertalet kurser inom säkerhet i cyberfysiska system.

Ett axplock av övriga talare är: Jens Zerbst, CIO på Vattenfall, som kommer beskriva hur man uppnår försvar på djupet i en tid när det finns APT. Maik Brüggemann, säkerhetsforskaren som påvisat hur skadlig kod kan sprida sig direkt mellan olika PLC:er.

Margrete Raaum, CEO vid norska KraftCERT, med egna erfarenheter från härom året då Norge utsattes för cyberattacker och vet hur man bör hantera incidenter.

Konferensen och kurserna går under datumet 25-27 Oktober 2016, läs mer här: https://4sics.se

Ökat antal cyberattacker mot kärnkraftverk

kärnkraftverk

ch-logoDen brittiska tankesmedjan Chatham House släppte nyligen en rapport där de varnar för ett ökat antal cyberattacker mot kärnkraftverk samt andra storskaliga industrier.

Tekniska utmaningar som många industrier inom SCADA och ICS möter säkerhetsmässigt är följande:

  • Många system är osäkra ”by design” eftersom säkerhet inte byggdes in från början.
  • Det är svårt att underhålla och patcha IT-system i kärnkraftverk.
  • Återförsäljarled som kan introducera sårbarheter.

Rapporten tar även upp en övertro till fysiskt separerade nätverk som lätt går att övervinna med USB-minne:

Yet not only can air gaps be breached with nothing more than a flash drive but a number of nuclear facilities have virtual private networks (VPN) or undocumented or forgotten connections, some installed by contractors.

En annan intressant sak som rapporten också pekar på är att en antagonist i teorin kan göra så att ett kärnkraftverk ofrivilligt släpper ut farlig strålning. Detta uppnås genom att flertalet säkerhetskritiska delar slås ut samtidigt eller i tät följd dels via fysiska attacker och dels via cyberattacker.

Flertalet företag såsom ReVuln som är baserade på Malta säljer zero-days mot just SCADA-system som kan nyttjas för eskalera rättigheter. Samt så angrips företag som distribuerar mjukvara till SCADA-system så som var fallet med cyberoperationen DragonFly (gick även under namnet Havex eller Energetic Bear).

Följande bild från rapporten påvisar några av många attackytor:

Attackytor SCADA

Rapporten i sin helhet kan du ladda hem som PDF här.