Taggat med: SCADA

Ramverket ATT&CK version 10 nu släppt

Den populära hot-databasen ATT&CK från MITRE har nu släppts i version 10. Databasen innehåller beskrivningar på attackmetoder och olika tekniker som antagonister har använt sig av för att göra intrång.

Versionen innan denna version, dvs version 9 släpptes i April 2021. En av höjdpunkterna i version 10 är att datakällorna har fått en uppdatering och omtag. Dessa datakällor har prefixet DS och ser ut enligt följande:

MITRE ATT&CK datasources

Dessa nya datakällor underlättar relationerna i andra objekt som återfinnes inom ATT&CK. Och förutom ovan webbsida så finns orginalkällan till datan på Github. Just nu återfinnes informationen i YAML-formatet men i framtiden kommer STIX att användas.

Följande bild visar också hur datakällor fyller ett syfte i att beskriva en händelsekedja:

ATT&CK Datasource

Andra nyheter i version 10 av ATT&CK är att macOS och Linux har uppdaterats rejält, och detta genom ett samarbete med ledande forskare inom säkerhet på respektive operativsystem.

Även har ICS fått sig ett rejält lyft, dvs industriella kontrollsystem (SCADA). Dess matrix kan du hitta här:

Och den fullständiga changeloggen med uppdateringar hittar du här.

Ny liten datadiod från Advenica: DD1G

Jag tog ett snack med Jens Bogarve som är produktchef på svenska säkerhetsföretaget Advenica om deras nya lilla datadiod DD1G. Denna nya datadiod ingår i serien SecuriCDS och jag har tidigare bloggat om den större versionen som heter DD1000A. Storleken på denna mindre datadiod är 130x20x150/163 mm.

1. Vad är skillnaden mellan DD1G och de större modellerna som ni säljer exempelvis DD1000A som jag bloggade om tidigare?

Det är samma datadiodsteknik i Advenicas DD1G som DD1000A och DD1000i, prestandan är oförändrad. Skillnaden ligger förutom storleken främst i hur strömförsörjningen hanteras, i D1000A finns det möjlighet att använda separerad kraft medan i DD1G är det redundant kraft.

2. Hur ser efterfrågan ut gällande dessa. Tänkte mig att det finns ett behov av dessa mindre datadioder

Platsbrist är ett problem i flera tillämpningar, en mindre datadiod har varit önskvärt hos flera av våra kunder. Priset har också varit en faktor för våra kunder som nu ser att dom kan utnyttja datadiodens säkerhet där det tidigare inte gått på grund av ekonomiska skäl.

Vi ser också att datadioder behövs i industriellmiljö, till exempel i SCADA-nätverk, därav att vi har tagit fram en modell för DIN-skenemontage. Datadioderna blir mer och mer anpassade för den miljö dom är tänkta att verka i.

3. Kan du säga något om priset eller om hur mycket billigare denna version är jämfört med de större modellerna?

Listpriset för denna enhet är 31 448 SEK (€2995).

4. Förutom själva datadioden, vilka funktioner är det som efterfrågas som dioden ska lösa? Överföring av loggar? Patchar? Video?

Advenica

Överföring av loggar och video är bra exempel på vad Advenicas DD1G kan användas till. Genom att använda någon form av proxy-server kan andra protokoll tillgodoses. DD1G agerar på Ethernet Layer 2 vilket innebär att omgivande system måste vara anpassade för enkelriktad kommunikation, till exempel genom att använda UDP.

Advenicas datadiod DD1000i har inbyggda proxy-servrar för att hantera filöverföring, email, tid och loggar.

5. Vilka branscher är det som börjar få upp ögonen för datadioder, tänker mig att organisationer inom försvarsindustri alltid varit kunder men att dioder kan användas inom många andra branscher såsom sjukvård och kryptovalutor?

Försvarsmakter hos olika länder och myndigheter är fortfarande de största användarna av datadioder. Transport, eldistribution och V/A, men även finansiella och industriella företag, ser numera fördelarna med datadioder ur ett säkerhets och ackrediteringsperspektiv.

Det är ofta branscher som berörs av säkerhetsskyddslagen som behöver bevisa enkelriktningen i informationsflödet och segmenteringen mellan olika nätverk. Största fördelen med att använda en datadiod är att den inte går att konfigurera fel så att information läcker i fel riktning, därmed blir ackrediteringsarbetet betydligt enklare.

Produktblad finner du här samt mer information på Advenicas hemsida.

Faktaruta datadiod

En datadiod säkerställer att data enbart kan skickas i ena riktningen. Detta behövs när information ska skickas mellan nätverk i olika säkerhetszoner eller säkerhetsklasser.

Skiss från en presentation som FRA höll för några år sedan:

SCADA/ICS-säkerhetskonferens 4SICS

Om några veckor är det dags för årets upplaga av den internationella konferensen om IT-säkerhet i cyberfysiska system (SCADA). Konferensen går under namnet 4SICS (four-six dvs landskoden till Sverige) och hålls på Nalen mitt i Stockholm.

Erik Johansson som tillsammans med Robert Malmgren står bakom konferensen berättar att  ämnen som kommer att behandlas på konferensen i år är cyberattackerna mot Ukraina i slutet av december 2015. Då drabbades flera elbolag i Ukraina av samordnade IT-attacker som slog ut elförsörjningen för mer än en kvarts miljon abonnenter. De Ukrainska elbolagen utsattes för en så kallad APT (Advanced Persistent Threat) då en grupp sofistikerade angripare under lång tid planerade, beredde sig tillgång till, och från insidan studerade elbolagens IT-miljöer. I över ett halvårs tid planterades skadlig kod, öppnades nya bakvägar och stals information i olika förberedelsesteg inför det att man den 23:e december mörklade delar av Ukraina.

Robert M. Lee, expert på säkerhet i SCADA-system och en av de som bistod Ukrainska myndigheter med utredningen, är en av de internationella specialister som bjudits in som talare på konferensen.

Lee berättar:

IT-attacken på det ukrainska kraftnätet var den första i sitt slag. Många detaljer kring attacken har kommit till allmän kännedom, men på 4SICS kommer de som deltog i analysen av attacken att samlas och belysa detaljer och erfarenheter på ett sätt som inte gjorts tidigare.

Andra inbjudna specialister är Anton Cherepanov & Robert Lipovsky från antivirusföretaget ESET som kommer att göra en djupare genomgång av vad man egentligen vet om den skadliga koden vid namn BlackEnergy som bland annat användes mot elbolagen i Ukraina.

Erik berättar även att presentationerna kommer att avslutas med rundabordssamtal där tekniska specialister och myndighetsföreträdare kommer diskutera tekniska brister, tillvägagångssätt, konsekvenser samt IT som vapen i olika konflikter. Innan konferensen finns det även möjlighet att gå flertalet kurser inom säkerhet i cyberfysiska system.

Ett axplock av övriga talare är: Jens Zerbst, CIO på Vattenfall, som kommer beskriva hur man uppnår försvar på djupet i en tid när det finns APT. Maik Brüggemann, säkerhetsforskaren som påvisat hur skadlig kod kan sprida sig direkt mellan olika PLC:er.

Margrete Raaum, CEO vid norska KraftCERT, med egna erfarenheter från härom året då Norge utsattes för cyberattacker och vet hur man bör hantera incidenter.

Konferensen och kurserna går under datumet 25-27 Oktober 2016, läs mer här: https://4sics.se

Test av nya Wireshark 2.0

Wireshark 2.0

Wireshark är ett analysverktyg för nätverkstrafik som nu har 17 år på nacken. Från början gick Wireshark under namnet Ethreal och projektet startades av Gerald Combs.

Denna nya version, 2.0 använder Qt som fönsterramverk istället för Gtk som tidigare användes. Även så är allt mer genomarbetat i gränssnittet så att många dubbla dialogrutor och frågor är borttagna.

Detta är uppenbart när man först startar upp nya versionen:

Wireshark start

Även så stödjer denna nya version stöd för en mängd nya protokoll och filtyper.

Ett urval av de nya protokollen som nu stödjs är följande:

Aeron, AllJoyn Reliable Datagram Protocol, Android Debug Bridge, Android Debug Bridge Service, Android Logcat text, Apache Tribes Heartbeat, APT-X Codec, B.A.T.M.A.N. GW, B.A.T.M.A.N. Vis, BGP Monitoring Prototol (BMP), Bluetooth Broadcom HCI, Bluetooth GATT Attributes, Bluetooth OBEX Applications, Zigbee ZCL, Minecraft Pocket Edition, MQ Telemetry Transport Protocol for Sensor Networks.

Och så klart så stödjer även Wireshark plattformar såsom Windows, Linux och Mac OS X. När vi installerar under Windows så får vi frågan om vi vill installera Winpcap som är drivrutinen för att lyssna på nätverkstrafik i realtid samt så får vi frågan om vi vill installera USBcap som kan lyssna på USB-datatrafik.

Och de nya filformaten som kan användas för att läsa in datatrafik är: O3GPP TS 32.423 Trace, Android Logcat text files, Colasoft Capsa files, Netscaler 3.5, och Symbian OS BTSNOOP File Format. Totalt stödjer Wireshark 1926 protokoll och 142529 fält från dessa protokoll.

Och förutom själva grafiska Wireshark så installeras även dessa verktyg:

  • capinfos – visar information om pcap-filer.

  • dumpcap – Verktyg för att spara mängder med information utan någon vidare bearbetning.

  • editcap – Ändra och konvertera pcap-filer.

  • mergecap – Lägg ihop flertalet pcap-filer till en.

  • randpkt – Skapa slumpmässig nätverkstrafik.

  • rawshark – Dumpa och analysera rå nätverkstrafik.

  • reordercap – Ändra ordningen i en fil så den följer tidsstämplar och skriv till ny fil.

  • text2pcap – Skapa en pcap-fil av text.

  • tshark – Verktyget för dig som vill ha Wiresharks kraftfulla protokollanalys men inte gillar grafiska gränssnitt.

Skärmdumpar

S7comm Siemens PLC-skrivning (SCADA/ICS protokoll).

Wireshark Siemens S7comm

HTTP Host som en extra kolumn, ny feature som gör att valfritt fält kan bli en ny kolumn.

Wireshark host som kolumn

Sammanfattningsvis

Nya gränssnittet är snabbt och går att arbeta med utan längre fördröjningar, även med större mängder data. Filter-rutan för display-filter får en ny central roll i Wireshark och fungerar riktigt smidigt, nästan som Google.

Wireshark är helt klart mer genomtänkt och lättare att arbeta med i version 2.0. Och upplever du att nya gränssnittet är buggigt så finnes det gamla kvar under namnet Wireshark Legacy, åtminstone i Windows.

Test av Arow Datadiod från Somerdata

Somerdata är ett brittiskt företag som gör en mängd olika produkter som används av polismyndigheter och militär främst, världen runt. Jag fick låna deras produkt AROW som är en datadiod som används för säker överföring mellan två nätverk där hög assurans är viktig.

Arow Somerdata datadiod

Och med säker syftar jag på att det är fysiskt omöjligt att överföra data åt ena hållet. Detta uppnås genom att använda en fiber som enbart medger envägskommunikation. AROW står för Advanced Reliable Optical Wormhole och priset ligger runt 70000 SEK utan redundans.

Förutom intom polis och militär så är även denna produkt populär inom industriella kontrollsystem (ICS/SCADA) där nätverk ska separeras från exempelvis internet.

AROW har fyra stycken portar där Gigabit-ethernet kan anslutas. Två av dessa portar används för konfigurering och övervakning samt konfigureras via webbgränssnitt eller telnet.

Arow data dioide

Med hjälp av socat och en egen utvecklad programvara vid namn AROWBFTP så är det möjligt att överföra webbsidor, streamad video, filer, antivirus-uppdateringar samt E-post direkt via denna envägs-gateway. Det här är en produkt för dig som vill separera känsliga/klassificerade nätverk men ändå vill ha möjlighet att ta in information.

Förutom med eller utan redundans så finns AROW även S eller G-versionen. G-versionen har möjlighet att kontrollera att överförd data är korrekt och är den ej det så kan den begära omsändning, vilket så klart också öppnar upp för en kanal ut. Somerdata rekommenderar således ej G-versionen att användas i högsäkerhetsnätverk.

 

datadiod Blockdiagram Arow Datadiod

Även så säljer svenska företaget Advenica en produkt med likvärd funktionalitet vid namn SecuriCDS. Och Fibersystem har en datadiod vid namn 50-800.

För just detta märke som vi testat är Peelit återförsäljare i Sverige.

Installation av datadioden

Med hjälp av de två fysiska ethernet-portar som är märkta Control så kan vi logga in via telnet eller ett webbgui för att sätta IP-adresser till de olika portarna. När detta är klart är det bara att ansluta på data-porten och koppla upp en tcp-socket på respektive sida.

Det går även att få ut enklare statistik från control-porten.

Sammanfattning Somerdata datadiod

Fördelar: Inspekterbar kod eftersom majoriteten går via python. Snabb och enkel att använda och komma igång. Dataportarna har liten exponeringsyta, svarar inte på ping och har inga andra öppna portar exempelvis.

Nackdelar: Stor exponeringyta på kontrollporten. Ej separata nätaggregat för delad ström som kan gå mot olika faser exempelvis. Går att fingerprinta från Internet.

Somerdatas datadiod får 4 av 5 enigmor:

enigma

Ny status gällande samhällets informationssäkerhet

För några år sedan släpptes nationella handlingsplanen för samhällets informationssäkerhet av Samverkansgruppen för informationssäkerhet
(SAMFI), det vill säga Försvarets materielverk (FMV), Försvarets radioanstalt (FRA), Försvarsmakten, Post- och telestyrelsen (PTS) samt Säkerhetspolisen/Rikskriminalpolisen.

Syftet med handlingsplanen är att genomföra central aktiviteter för att öka samhällets informationssäkerhet och att ge stöd till viktiga samhällsaktörer ‒ myndigheter, landsting och kommuner men också privata leverantörer av nät- och driftstjänster ‒ för att de ska kunna förbättra sin informationssäkerhet. Jag kan glädjande konstatera att de flesta åtgärder nu är genomförda, vilket känns bra inför den avslutande delen av arbetet som sker under nästa år, säger Richard Oehme, chef för verksamheten för samhällets informations- och cybersäkerhet, MSB.

Planen innehöll ett trettiotal olika förslag på åtgärder för att höja den nationella informationssäkerheten och några av förslagen är:

  • Utveckla ett kryptogranskningsregelverk för kommersiella produkter
  • Ökad säkerhet i industriella informations- och styrsystem (SCADA)
  • Fortsätta utveckla stöd för offentliga och privata organisationers
    informationssäkerhetsarbete
  • Utlysning av ramforskningsprogram kring informationssäkerhet
  • Utreda samhällets utbildnings- och kompetensbehov inom informationssäkerhetsområdet
  • Ökad samverkan för att förebygga och hantera allvarliga it-incidenter
  • Planera, genomföra och utvärdera informationssäkerhetsövningar
  • Förebyggande åtgärder för att öka säkerheten i de elektroniska kommunikationerna

Som ett resultat av ovan förslag är ett framtagande av ett krypto för skyddsvärda uppgifter (KSU) samt SGSI som är Swedish Government Secure Intranet. Delvis saxat från rapporten som släpptes idag (hittas längst ner):

Swedish Government Secure Intranet (SGSI)

Swedish Government Secure Intranet (SGSI) är ett kommunikationsnätverk som ger säker kommunikation mellan myndigheter i Sverige och i Europa. SGSI är skilt från internet och trafiken är krypterad, samt att SGSI är utformat för att klara höga krav på tillgänglighet och driftsäkerhet.

Myndigheter som vill kommunicera med EU-administrationen eller med en annan medlemsstat genom sTESTA (secure Trans European Services for Telematics between Administrations, vilket är ett säkert nät mellan EU:s medlemsstater och EU:s olika organ) måste vara anslutna till SGSI. SGSI är Sveriges enda nätverk med koppling till sTESTA och uppfyller EU-rådets och Kommissionens föreskrifter för hantering av (klassificerad?) information.

SGSI

Inom Sverige använder myndigheter SGSI som ett säkert nätverk för utbyte av känslig information och minskar därmed risker kopplat till att skicka information över internet. SGSI används bland annat för att få åtkomst till olika databaser hos de olika anslutna myndigheterna och så finns en tjänst för videkonferens inom SGSI.

Nationellt evalueringslaboratorium

FMVRapporten berättar även att FMV håller på att upprätta ett nationellt evalueringslaboratorium för att analysera fysiska attacker mot information i datorutrustning. Även i arbetet med detta håller en rapport att färdigställas och FMV/CSEC har i samverkan med FRA och Försvarsmakten besökt
Ångström Microstructure Laboratory vid Uppsala universitet.

Rapporten, när den blir klar under Q1 kommer den att innehålla:

  • Exempel på scenario där fysiska attacker genomförs
  • Exempel på hur attacker genomförs.
  • Exempel på olika former av skydd mot fysiska attacker.
  • Verktyg som används för att genomföra attacker
  • Internationellt arbete inom området
  • Samverkan inom Europa för att certifiera produkter, SOGIS-MRA
  • Krav på en certifieringsordning för hårdvaruevaluering
  • Krav evalueringslaboratorium, inklusive personal, utrustning, utbildning, lokaler, datorutrustning och nätverk
  • Möjlig väg för att etablera en certifieringsordning för hårdvaruevaluering

Tekniska detekterings- och varningssystem (TDV)

FRAFRA fick i november 2011 ett regeringsuppdrag  att ta fram en pilotversion av TDV som har testats hos en myndighet (regeringsuppdraget redovisades i december 2012). TDV är tänkt som ett extra skydd för de skyddsvärda funktionerna i samhället.

Myndigheten anger att det som är avgörande för systemets funktion är de kvalificerade detekteringsverktyg och signaturer som används för att upptäcka IT-angreppen. Signaturerna skapas med hjälp av kunskap från FRA:s uppdrag både på informationssäkerhets- och signalspaningsområdet.

Pilotprojektet har visat att systemet fungerar genom att avancerad skadlig kod som sannolikt härrör sig från kvalificerade angripare har upptäckts.

Statusrapporten

Här kan du ladda hem rapporten från SAMFI-myndigheterna om samhällets informationssäkerhet (PDF) som släpptes idag:

SAMFI plan

4SICS: Ny konferens om SCADA-säkerhet

4SICS är en ny svensk konferens om säkerhet i cyberfysiska system (SCADA). Konferensen går av stapeln 22-23 Oktober 2014 i Stockholm.

Arrangörer är Erik Johansson samt Robert Malmgren som är två av sveriges främsta experter på IT-säkerhet i cyberfysiska system. Lokalen är Skyddsrummet som ligger på Söder Mälarstrand.

4SICS riktar sig till dig som jobbar med IT-säkerhet inom el, vatten, kärnkraft, transport eller energi -sektorn.

Att säkerhet inom SCADA är hett på tapeten bekräftas bl.a. genom att CERT-SE samt norska NSM NorCERT nyligen gick med ett meddelande om att norska energi- och olje-bolag blivit utsatta för riktade attacker. Samt så har många fortfarande Stuxnet färskt i minnet vilket anses vara ett välutvecklat IT-vapen.

Talarlista:

  • Stefan Lüders (CH) – Head of IT security at CERN
  • Joel Langill (US)  – Industrial Cyber Security Expert
  • John Matherly (US)  – Internet cartographer
  • Ruben Santamarta (ES)  – Principal Security  Consultant at IOActive
  • Sergey Gordeychik (RU) – SCADA StrangeLove ICS  Security Research Team
  • Erik Hjelmvik (SE)  – Security researcher and developer
  • Vyacheslav Borilin (RU)  – Business Development Manager
  • Margrete Raaum (NO)  – Statnett Security Incident Response Energy sector
  • Samuel Linares (ES) – Director at Industrial Cybersecurity Center
  • Anders Rodrick (SE)  – Founder and Principal Consultant at ARICT AB
  • Fredrik Hesse (SE) – Software Security Architect at Svenska Spel AB

Priset för två dagars konferens är 12.000 SEK + skatt. Detta pris gäller om du är snabb och registrerar dig för earlybird-priset.

Det går även att följa 4SICS på Twitter: @4sics

Vill du jobba med cybersäkerhet?

Myndigheten för samhällsskydd och beredskap (MSB) söker ett antal olika befattningar inom området cybersäkerhet:

Vill du arbeta med säkerhet i cyberfysiska system?
Vill du arbeta med informationssäkerhet i nationella samverkanssystem?
Vill du arbeta med teknisk omvärldsbevakning och analys vid CERT-SE?
Vill du arbeta med strategisk analys av informations- och cybersäkerhet?

 

Cyberfysiska system handlar om industriella informations- och styrsystem (SCADA). Rekryterar din organisation inom området kryptering eller IT-säkerhet? Kontakta oss gärna så sprider vi budskapet.