Kriittisten järjestelmien kyberuhkia: joitakin tunnettuja tapahtumia

Transkriptio

1 VTT TECHNICAL RESEARCH CENTRE OF FINLAND LTD Kriittisten järjestelmien kyberuhkia: joitakin tunnettuja tapahtumia Juha Pärssinen, VTT

2 VTT Cyber Security VTT auttaa yrityksiä kehittämään luotettavia alustoja ja palveluja sekä varmistamaan tietoturvan riittävän tason jo kehitysprosessin alkuvaiheessa. VTT:n palvelut auttavat varmistamaan teollisen tuotannon kyberturvallisuuden ja häiriöttömän jatkuvuuden. VTT:llä on syvällistä osaamista sovelletusta kryptografiasta ja lohkoketjuista, teollisuuden kyberturvallisuudesta, riskianalyyseistä ja tietoturvatestauksesta sekä sulautettujen järjestelmien tietoturvasta. 29/05/2018 2

3 Esityksen tavoite Tässä esityksessä on tarkoitus kertoa joistakin tunnetuista tapahtumista ja arvioida millaisia hyökkääjien niiden takana voisi olla. Lopuksi kerrotaan hieman puolustautumisesta. 29/05/2018 3

4 Maailma jossa elämme 4

5 Suojelupoliisin vuosikirja 2017 Valtiollisen vakoilun uhka ei kohdistu ainoastaan Suomen valtion päätöksentekokoneistoon, vaan myös yksityisiin yrityksiin. Vuonna 2017 Suojelupoliisin tietoon tuli useita tapauksia, joissa oli ilmeistä, että tunkeutumisen takana oli suunnitelmallisesti toimiva valtio. 29/05/2018 5

6 Suojelupoliisin vuosikirja 2017 Valtiollisen vakoilun uhka ei kohdistu ainoastaan Suomen valtion päätöksentekokoneistoon, vaan myös yksityisiin yrityksiin. Vuonna 2017 Suojelupoliisin tietoon tuli useita tapauksia, joissa oli ilmeistä, että tunkeutumisen takana oli suunnitelmallisesti toimiva valtio. Vakoilun kohteena on myös suomalainen energiasektori sekä energiasektorin tuotekehitysyritykset. Niihin kohdistuu koko ajan valtiotaustaista kartoitusta. Suojelupoliisin arvion mukaan kartoituksen tekijä ei ole kiinnostunut anastamaan näiltä yrityksiltä tietoa. Sen sijaan tarkoituksena on etsiä kriittisen infrastruktuurin järjestelmistä sellaisia haavoittuvuuksia ja - ominaisuuksia, joita hyväksikäyttäen järjestelmät voitaisiin kriisitilanteessa lamauttaa. 29/05/2018 6

7 Kyberturvakeskuksen vuosiraportti 2017 Esineiden internetin uhka-arvio yrityksille (s. 11) Vaikuttaminen: IoT-bottiverkoilla toteutetuilla palvelunestohyökkäyksillä häiritään yritysten liiketoimintaa. Raha: Kiristyshaittaohjelmat ja virtuaalivaluuttojen louhiminen IoTlaitteilla. Tieto: Laitteiden keräämät tietovarannot tietomurtojen kohteena. Tietoja päätyy julkisuuteen vahingossa. Väliresurssi: Suojaamattomien laitteiden käyttö palveluihin ja muihin organisaatioihin kohdistettuihin palvelunestohyökkäyksiin. Suojaamattomat IoT-laitteet voivat muodostaa hyökkääjälle pääsyn yrityksen sisäverkkoon. elit/2018/tietoturvanvuosi2017-julkaisu j.html 29/05/2018 7

8 Esimerkkejä vapaasti saatavilla olevista työkaluista Shodan on verkotettuihin laitteisiin (esim. palvelin tai jääkaappi) keskittynyt hakukone joka mahdollistaa kaikkien yleisessä verkossa olevien laitteiden löytämisen. Shodanin robotit arpovat seuraavan kokeiltavan IP-osoitteen ja portin: mahdollinen vastaus indeksoidaan ja luokitellaan. Indeksiin talletetaan osoitetiedot, haettu banneri sekä mahdolliset metatiedot esim. sijainti. Käyttäjän haku kohdistuu indeksiin, ei suoraan laitteeseen. 29/05/2018 8

9 Esimerkkejä vapaasti saatavilla olevista työkaluista Shodan on verkotettuihin laitteisiin (esim. palvelin tai jääkaappi) keskittynyt hakukone joka mahdollistaa kaikkien yleisessä verkossa olevien laitteiden löytämisen. Shodanin robotit arpovat seuraavan kokeiltavan IP-osoitteen ja portin: mahdollinen vastaus indeksoidaan ja luokitellaan. Indeksiin talletetaan osoitetiedot, haettu banneri sekä mahdolliset metatiedot esim. sijainti. Käyttäjän haku kohdistuu indeksiin, ei suoraan laitteeseen. Metasploit on avoimen lähdekoodin projekti. Projekti tarjoaa tietoa tietoturva-aukoista. Tunnettu erityisesti Metasploit Frameworkista joka on tarkoitettu hyökkäyskoodin kehittämiseen ja suorittamiseen. 29/05/2018 9

10 Esimerkkejä vapaasti saatavilla olevista työkaluista Shodan on verkotettuihin laitteisiin (esim. palvelin tai jääkaappi) keskittynyt hakukone joka mahdollistaa kaikkien yleisessä verkossa olevien laitteiden löytämisen. Shodanin robotit arpovat seuraavan kokeiltavan IP-osoitteen ja portin: mahdollinen vastaus indeksoidaan ja luokitellaan. Indeksiin talletetaan osoitetiedot, haettu banneri sekä mahdolliset metatiedot esim. sijainti. Käyttäjän haku kohdistuu indeksiin, ei suoraan laitteeseen. Metasploit on avoimen lähdekoodin projekti. Projekti tarjoaa tietoa tietoturva-aukoista. Tunnettu erityisesti Metasploit Frameworkista joka on tarkoitettu hyökkäyskoodin kehittämiseen ja suorittamiseen. AutoSploit yhdistää kaksi edellistä muutamalla sadalla rivillä Python koodia. 29/05/

11 Joitakin tapahtumia viime vuosilta... 11

12 Kosto: Maroochy Shiren jätevuodot Pettynyt työnhakija aiheutti n litran jätevesien vuotamisen puistoihin ja jokiin keväällä Henkilö oli aikaisemmin työskennellyt alihankkijana yrityksessä joka oli asentanut radio-ohjattavat etäohjausjärjestelmät. Aiheutti hankkimallaan radiolaitteistolla ja kannettavalla tietokoneella toimintahäiriöitä pumppuja ohjaaviin tietokoneisiin sekä esti vikailmoitukset valvomolle. Käytti oikeaa hallintaohjelmisto. 5.pdf wiki/file:maroochy_lga _Qld.png 29/05/

13 Valtiollista toimintaa: STUXNET Ensimmäinen tunnettu ICS (PLC) järjestelmään kohdistettu haittaohjelma. Havaittu 2010, alkanut ehkä jo STUXNET oli kohdennettu vain yhteen tiettyyn järjestelmään maailmassa: sentrifugit Iranissa Natanzin eristetyssä (air-gapped) ydinlaitoksessa. Ensimmäiset versiot tiedustelivat kohdetta. STUXNET osaa käyttää peer-to-peer kommunikointia. Myöhemmät versiot tuhosivat kohteen. Uudemmat versiot osasivat päivittää vanhemmat versiot. Ei aktivoidu missään muualla. 29/05/

14 Valtiollista toimintaa: STUXNET Oletetut leviämistavat: USB tai muu siirrettävä muistilaite Tartutettu kannettava tietokone Käytti neljää Windowsin 0-päivä haavoittuvuutta. Etsi verkosta Siemens Step7 ohjelmistoja. Jos löytyi tunkeutui Siemens WinCC SCADA ohjelmistoon ja etsi tietynlaisia PLC:tä. Muuten pysyi nukkuvana tai poisti itsensä /05/

15 Kybersota: Ukrainain sähköverkot Ukrainassa taloutta jäi ilman sähköä 3 5 tunniksi. Hyökkäyksen valmistelun aikana lähettiin ylläpitäjille saastutettuja MS Office tiedostoja, joiden kautta asennettiin Black Energy 3 haittaohjelma. Valmistelu alkoi jo n. 6 kk ennen hyökkäystä, joka kesti vain 30 min. Mitään haavoittuvuutta ei käytetty, käyttäjä huijattiin aktivoimaan makrot. 29/05/

16 TRISIS (TRITON/HATMAN) Ensimmäinen tunnettu haittaohjelma joka hyökkäsi turvalaitteita (Safety Instrumented System, SIS) vastaan. Havaittu marraskuussa Kohdejärjestelmä Schneider Electric Triconex SIS Yksi havaittu kohde Lähi-idässä. Tarkasti räätälöity kohteen tietylle järjestelmälle. Toteutettu Python-ohjelmointikielellä. Levittämistapa ei ole tarkkaan tunnettu. Haittaohjelman pitää päästä yhteyteen SIS järjestelmän kanssa. Triconex SIS laitteen fyysinen kytkin pitää olla asennossa program mode. Ei käytä järjestelmän haavoittuvuuksia vaan sen normaalia toiminnallisuutta. Tavoite: Kohteen häiritseminen (sammuttaminen) vai tuhoaminen? 29/05/

17 Kiristys: WanaCrypt0r perjantaina alkoi massiivinen ransomware hyökkäys. Viikonlopun aikana jopa infektiota yli sadassa maassa. Ensimmäinen jalansija sisäverkkoon sähköpostin mukana sen jälkeen hyödynsin Microsoftin järjestelmissä olevaa jo paikattua haavoittuvuutta MS (SMB). Hyökkääjät saivat lunnaina mennessä vain 48.9 BTC ($ USD) 29/05/ cybercrime/2017/05/wanacrypt0 r-ransomware-hits-it-big-justbefore-the-weekend/

18 Uusien (ei laillisten) palvelujen luominen: Mirai Mirai-haittaohjelma oli erikoistunut erilaisten verkkoon kytkettyjen laitteiden (IoT) saastuttamiseen. Sen alkuperäinen versio etsii verkosta laitteiden internetiin avoimia palveluita ja murtautuu niihin kokeilemalla lukuisia eri tunnus/salasanayhdistelmiä. Lähdekoodi julkaistiin myöhemmin hakkerifoorumeilla. Mirailla luotua bottiverkkoa käytettiin palvelunestohyökkäyksiin. Lokakuussa 2016 hyökkäys nimipalvelua vastaan aiheutti vakavia häiriöitä mm. Twitterille, Netflixille, Redditille ja Airbnb:lle Suomessa havaittiin Mirain saastuttaneen 2016 noin laittetta. tn html 29/05/

19 Resurssien hyväksikäyttö: WannaMine Helmikuussa 2018 haittaohjelma iski Lahden kaupungissa mm. terveysasemien potilastietojärjestelmiin. Haittaohjelman tavoite oli kryptovaluuttojen luvaton louhiminen. Kohde ei sinänsä ollut kiinnostava, vain tarjolla oleva laskentakapasiteetti. tn html Vastaavien hyökkäysten epäillään tulevaisuudessa ohittavan kiristyshaittaohjelmat. Tietoturvatutkijat Wandera-yrityksestä väittävät havainneensa tällaisessa toiminnassa 287 prosentin kasvun loka- ja marraskuun välillä /05/

20 Epäonnistunut testaus: verkkoskannaus SCADA verkossa tehty verkkoskannaus (Ping sweep) aiheutti kolmimetrisen robottikäden 180 asteen heilahduksen. Ei henkilövahinkoja. PCS verkossa tehty verkkoskannaus aiheutti mikropiirituotannon jumittumisen. Materiaalia tuhoutui n USD arvosta. Teollisuusympäristössä käytetyt laitteet eivät välttämättä kestä edes hyväntahtoista verkkotutkimusta. on_of_foundry_with_robot.jpg 29/05/

21 Vika: Helsingin pörssin käyttökatkos Ei kyberhyökkäys, mutta hyvä esimerkki siitä miten vaikutusta voi aiheutua epäsuorasti. Todennäköisesti tarpeeton sammutusjärjestelmän käynnistyminen keskiviikkona rikkoi kolmanneksen pörssin palvelimista. Syynä kaasupanoksen aiheuttama kova ääni- ja paineaalto. Pörssikauppa ei käynnistynyt viiteen tuntiin. Seuraavat kaksi päivää kauppaa tehtiin varajärjestelmällä. o:cabinet_asile.jpg 29/05/

22 Hyökkääjien luokittelua... 22

23 A. Opportunistit Hyökkääjien mahdollinen luokittelu Pienellä budjetilla toimivat pikkurikolliset. Etsivät haavoittuvia kohteita ja käyttävät yleisiä, kohdentamattomia hyökkäyksiä. B. Edistyneet hyökkääjät (APT - Advanced Persistent Threats) Toiminta ammattimaista: Teollisuusvakoilijat, valtiolliset toimijat, järjestäytynyt rikollisuus ja erilaiset (h)aktivistit. Käyttävät paljon aikaa ja rahaa hyökkäyksen kohdentamiseen. Pyrkivät hankkimaan arvokasta tietoa, aiheuttamaan taloudellisia menetyksiä ja/tai tuhoa kohteelle. 29/05/

24 Hyökkääjien mahdollinen luokittelu A. Opportunistit (Adequate Pernicious Toerags) Pienellä budjetilla toimivat pikkurikolliset. Etsivät haavoittuvia kohteita ja käyttävät yleisiä, kohdentamattomia hyökkäyksiä. B. Edistyneet hyökkääjät (APT - Advanced Persistent Threats) Toiminta ammattimaista: Teollisuusvakoilijat, valtiolliset toimijat, järjestäytynyt rikollisuus ja erilaiset (h)aktivistit. Käyttävät paljon aikaa ja rahaa hyökkäyksen kohdentamiseen. Pyrkivät hankkimaan arvokasta tietoa, aiheuttamaan taloudellisia menetyksiä ja/tai tuhoa kohteelle. 29/05/

25 Hyökkääjien mahdollinen luokittelu A. Opportunistit (Adequate Pernicious Toerags) Pienellä budjetilla toimivat pikkurikolliset. Etsivät haavoittuvia kohteita ja käyttävät yleisiä, kohdentamattomia hyökkäyksiä. #WanaCryt0r B. Edistyneet hyökkääjät (APT - Advanced Persistent Threats) Toiminta ammattimaista: Teollisuusvakoilijat, valtiolliset toimijat, järjestäytynyt rikollisuus ja erilaiset (h)aktivistit. Käyttävät paljon aikaa ja rahaa hyökkäyksen kohdentamiseen. Pyrkivät hankkimaan arvokasta tietoa, aiheuttamaan taloudellisia menetyksiä ja/tai tuhoa kohteelle. Stuxnet, Ukraina, 29/05/

26 Hyökkääjien mahdollinen luokittelu A. Ulkopuoliset hyökkääjät yrittävät usein teeskennellä kuuluvansa sisäpiiriin tai johonkin muuhun luotettuun tahoon. B. Oikeat sisäpiiriläiset turhautuneet työntekijät (myös entiset), alihankkijat ja muut tiloissa luvallisella asialla olevat toimijat. 29/05/

27 Budjetti? Mitkä ovat hyökkääjän resurssit? Naapurin teini vai valtiollinen toimija? Henkilöstön taso? Alan huiput hankittu töihin? Olemmeko itse kouluttaneet heidät? Kaikki tieto on saatavissa jos on aikaa... Käytettävissä oleva aika? Tunteja, päiviä, viikkoja vai vuosia? 29/05/

28 Raha? Kiristys? Myytävää tietoa? Resurssien käyttö? Mikä on hyökkääjän tavoite? 29/05/

29 Raha? Kiristys? Myytävää tietoa? Resurssien käyttö? Mikä on hyökkääjän tavoite? Häirintä/kosto/tuho? Kohteena yritys? Kohteena asiakkaat? Kohteena yhteiskunta? 29/05/

30 Kuinka paljon kannattaa laittaa aikaa hyökkääjien analysointiin? 29/05/

31 Kuinka paljon kannattaa laittaa aikaa hyökkääjien analysointiin? Jos järjestelmään on pääsy niin aina löytyy joku... 29/05/

32 Kyberhyökkäyksen elementit... 32

33 Tulen kolmio Palamiseen tarvitaan kolme elementtiä: Happea Riittävä lämpötila Syttyvää materiaali Minkä tahansa elementin poistaminen estää syttymisen. 29/05/

34 Kyberhyökkäyksen kolmio Onnistuneeseen kyberhyökkäykseen tarvitaan kolme elementtiä: Uhka (threat) Hyödyntävä menetelmä (exploit) Haavoittuvuus (vulnerability) Minkä tahansa elementin poistaminen estää hyökkäyksen. Kirjasta: Hacking Exposed Industrial Control Systems. 29/05/

35 Hyödyntävän menetelmän poistaminen Poistaminen on mahdotonta. Muista esimerkkityökalut: Shodan Metasploit Framework. Ja paljon muita Menetelmien tunteminen ja ymmärtäminen helpottaa puolustamista ja vaikutusten lieventämistä (mitigation). 29/05/

36 Uhan poistaminen Poistaminen on (käytännössä) mahdotonta. Luokittelemalla ja tutkimalla eri uhkien toimintaa ja motiiveja voidaan puolustamista helpottaa. Luokitteluja: Ulkoinen vai sisäinen (myös alihankkijat). Opportunisti vai kohdennettu hyökkäys. Rajalliset vai rajattomat resurssit. Tavoite: raha (rikolliset) vai vaikuttavuus (haktivistit ja valtiolliset toimijat). 29/05/

37 Uhan poistaminen Poistaminen on (käytännössä) mahdotonta. Luokittelemalla ja tutkimalla eri uhkien toimintaa ja motiiveja voidaan puolustamista helpottaa. Luokitteluja: Ulkoinen vai sisäinen (myös alihankkijat). Opportunisti vai kohdennettu hyökkäys. Rajalliset vai rajattomat resurssit. Tavoite: raha (rikolliset) vai vaikuttavuus (haktivistit ja valtiolliset toimijat). 29/05/

38 Haavoittuvuuden rajoittaminen Pääsyä järjestelmään eli haavoittuvuudelle voidaan rajoittaa. Pääsyn- ja kulunvalvonta. Käyttöoikeuksien rajaaminen. Ajettavien ohjelmien rajoitukset Virustorjunta Sallittujen/kiellettyjen ohjelmien lista Yhteyksien rajoittaminen ja seuraaminen. Segmentointi Palomuurit ja datadiodit 29/05/

39 Haavoittuvuuden rajoittaminen tai poistaminen Pääsyä järjestelmään eli haavoittuvuudelle voidaan rajoittaa. Pääsyn- ja kulunvalvonta. Käyttöoikeuksien rajaaminen. Ajettavien ohjelmien rajoitukset Virustorjunta Sallittujen/kiellettyjen ohjelmien lista Yhteyksien rajoittaminen ja seuraaminen. Segmentointi Palomuurit ja datadiodit Haavoittuvuus voidaan poistaa. Konfiguraatioiden korjaaminen Ohjelmiston päivittäminen (korjaaminen) 29/05/

40 Pari sanaa standardeista... 40

41 IEC Standardisarja IEC Teollisuuden tietoverkot. Verkkojen ja järjestelmien tieoturvallisuus on laadittu ISA:n (International Society of Automation) pohjalta. Suomeksi julkaistu (myös SFS- Käsikirja 631-3): IEC/TS :fi Osa 1-1: Terminologia, käsitteet ja mallit SFS-IEC Osa 2-1: Tietoturvallisuusohjelman perustaminen teollisuusautomaatio- ja ohjausjärjestelmiä varten IEC/TR :fi Osa 3-1: Tietoturvateknologiat teollisuusautomaatio- ja ohjausjärjestelmille /05/

42 TECHNOLOGY FOR BUSINESS

43 Lähteitä S. Hilt, K. Wilhoit, A. Shbeeb, B. Singer, C. Bodungen, Hacking Exposed Industrial Control Systems: ICS and SCADA Security Secrets & Solutions, McGraw-Hill, John Matherly, Complete Guide to Shodan, Andy Greenberg, Security News This Week: 'AutoSploit' Tool Makes Unskilled Hacking Easier Than Ever, Metasploit Dragos Inc., TRISIS Malware, 29/05/