Application Security Forum Western Switzerland 27 octobre 2011 - HEIGVD Yverdon-les- Bains http://appsec-forum.ch Infrastructures Critiques Cyberguerre: Menaces & Risques Franck Franchin Chercheur en Cybersécurité à HEC Lausanne Directeur de mission à la Direction de la Sécurité Groupe – ORANGE
Cibles potentielles de sabotages humains ou de vers informatiques sophistiqués comme Stuxnet, les systèmes de supervision et de contrôle (SCADA) propres aux infrastructures critiques ou vitales sont concernés par toute doctrine de cyberguerre. Cette présentation a pour but d’analyser le coût d’opportunité pour un assaillant entre les différents types d’attaques : modes opératoires, dégâts potentiels, traces laissées, ressources nécessaires. Elle propose aussi des méthodes générales de mitigation (facteur humain, prévention, politiques de sécurité, contrôle d’intégrité des codes, double-source, …)
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Application Security ForumWestern Switzerland
27 octobre 2011 - HEIGVD Yverdon-les-Bainshttp://appsec-forum.ch
Franck FranchinChercheur en Cybersécurité à HEC LausanneDirecteur de mission à la Direction de la Sécurité Groupe – ORANGE
Application Security Forum - Western Switzerland - 2011 2
Présentation personnelle Directeur délégué depuis 2002 à la Direction de la Sécurité Groupe
du Groupe France Telecom – Orange Chercheur en cybersécurité et en résilience des infrastructures vitales
à HEC Lausanne. Spécialiste depuis 20 ans en architectures sécurisées de systèmes
civils ou militaires et en cybercriminalité Ingénieur en informatique (SUPELEC), ingénieur en électronique et
traitement du signal (ENSEEIHT) et titulaire d’un MBA (ESCP). Auteur & Conférencier (sécurité, cybercriminalité, doctrines de
cyberdéfense, entrepreneuriat) Serial-entrepreneur (dont une société de crypto revendue au groupe
France-Telecom en 2002) Business Angel27.10.2011
Application Security Forum - Western Switzerland - 2011 3
Agenda
Quelques Définitions Introduction aux Architectures SCADA Vulnérabilités intrinsèques et systémiques Stuxnet Quels Risques ? Problématique Démarche proposée Q&R
27.10.2011
Infrastructure critique ou vitale ? Les systèmes ou les actifs essentiels au niveau d’un pays pour
assurer le fonctionnement de la société et de l’économie :
– Réseaux de production et de distribution de l’énergie– Réseaux de production et de distribution de l’eau– Réseaux de transports des biens et des personnes– Réseaux de télécommunications– Production et distribution de la nourriture– Santé publique– Services financiers– Sécurité de l’Etat, des biens et des citoyens
Une définition plus limitée restreint l’expression aux besoins vitaux d’un pays
CI – Critical Infrastructure CII – Critical Information Infrastructure
Sécurité d’un système ou d’un service :• La sécurité d’un système ou d’un service est l'état
d'une situation présentant le minimum de risques, à l'abri des dangers, des menaces. La mise en sécurité consiste à garantir la pérennité de cet état de sécurité par le recours à des moyens permettant soit de supprimer certains risques (mitigation) soit de les réduire à un niveau acceptable (risque résiduel).
• Les anglo-saxons parlent de security (sécurité contre les actes malveillants) ou de safety (sécurité contre les risques accidentels).
Sûreté de fonctionnement d’un système ou d’un service :
• La sûreté de fonctionnement d’un système ou d’un service est son aptitude d’une part à disposer de ses performances fonctionnelles et opérationnelles (fiabilité, maintenabilité, disponibilité) et d’autre part, à ne pas présenter de risques majeurs (humains, environnementaux, financiers).
• La résilience est la capacité d’un système ou d’un service à résister à une panne ou à une cyber-attaque et à continuer de fonctionner en garantissant un certain niveau de service (mode complet ou mode dégradé) puis à revenir à son état initial après l’incident.
Supervisory Control And Data Acquisition– Processus industriels (usines, centrales nucléaires…)– Infrastructures publiques/privées (réseaux de distribution)
Composants clés :– HMI (Human Machine Interface) pour les opérateurs– Supervisor – Acquisition des données et envoi des
commandes selon une logique de processus– RTUs (Remote Terminal Units) qui sont les interfaces entre
les capteurs et le Supervisor– PLCs (Programmable Logic Controllers) qui reçoivent des
commandes, les traduisent pour les éléments actifs– Un ou plusieurs réseaux de communication entre les
Vulnérabilités (2/2) Une culture et une expérience des opérationnels
différentes du monde informatique :– Protocoles propriétaires : sécurité par l’obscurité ?– “Ne changez surtout pas le mot de passe par défaut !”– Sécurité physique <> Sécurité logique– Déconnectés de l’Internet : havre de paix ?– Environnement ‘métier’ hermétique aux externes : sans le
mapping d’une installation, il serait impossible de générer des paquets malicieux…
– Des opérateurs non formés à la sécurité informatique Un partenariat public-privé qui empêche les Etats
de définir clairement les périmètres de sécurité• Spectre du call-center en Inde ou au Maroc ?
Stuxnet Première version active probablement depuis Juin 2009 Détecté par la société biélorusse VirusBlokAda en Juillet 2010 chez
un de ses clients iraniens W32.Stuxnet - 2 serveurs C&C situés en Malaisie Propagation via USB (clé) Utilise les certificats (volés) de 2 sociétés : RealTek et JMicron Exploite 3 ou 4 Zero-Day (dont un qui touche tous les WinOS) MAJ possible sans C&C via un P2P (RPC) Cible : Siemens SIMATIC Series 7 PLC/WinCC Infection différente selon la cible (PLCs) Entre 20’000 et 50’000 PCs contaminé, selon Symantec, plus de
100’000 selon Kaspersky 4 pays majoritairement touchés : Iran, Indonésie, Inde, Pakistan Payload complexe : vol de données, compromission, sabotage Des sites de support ont été victimes de DoS (Ping Flood) depuis la
Le Siemens Organization Block 35 (process watchdog) est modifié par Stuxnet – Il gère des opérations critiques qui requièrent des
temps de réponse inférieurs à 100 ms
La cible pourrait être la centrale de Bushehr, en construction mais aussi des centrifugeuses sur le site de Natanz
Famille de PLC concernés :6ES7-417 et 6ES7-315-2 -> cibles complexes !* multiples ProfiBus * Puissance CPU
Pourtant, l’Iran ne devrait pas disposer de technologies Siemens Scada
(sanctions ONU) ?
Qui est derrière Stuxnet ? Quelques chiffres :
– Développement évalué à 10 hommes.ans– Entre 6 et 8 personnes/teams différents– Un développement étalé sur plusieurs années (différentes versions
d’outils de développement)– Une zéro-day peut se négocier à $200’000 (il y en avait 4)
Les moyens :– Les certificats ont été volés à deux sociétés sur le même site
physique en Chine - Le vol ‘logique’ à la Zeus est donc statistiquement peu probable et le vol ‘physique’ par intrusion ou compromission est à privilégier
– Les clés USB ont probablement été introduites en Iran via le sous-traitant russe ou via des opérationnels compromis. Plusieurs versions semblent avoir été introduites sucessivement
Les fantasmes :– Stuxnet contient dans son code le mot ‘Myrtus’ qui fait référence au
Livre d’Esther de l’Ancien Testament, reine perse qui a sauvé son peuple de l’extermination
"Terrorism is the premeditated, deliberate, systematic murder, mayhem, and threatening of the innocent to create fear and intimidation in order to gain a political or tactical advantage, usually to influence an audience"– James M. Poland, 2002
Définition du CyberTerrorisme “...the convergence of terrorism and cyberspace. It
is generally understood to mean unlawful attacks against computers, networks, and the information stored therein when done to intimidate or coerce a government or its people in furtherance of political or social objections. Further, to qualify as cyberterrorism, an attack should result in violence against persons or property, or at the least cause enough harm to generate fear. Attacks that lead to death or bodily injury, explosions, plane crashes, water contamination, or severe economic loss would be examples.” - Dr. Dorothy Denning, 2007.
Quels risques ? Les architectures SCADA sont utilisées dans
l’industrie (chimie, automobile, emballage, alimentaire, etc.) et dans les infrastructures vitales (nucléaire, réseaux de distribution d’eau, de gaz et d’électricité, militaire ?)
Les risques :– Sécurité sanitaire– Impact environnemental– Perte d’exploitation– Destruction d’équipements sensibles ou coûteux– Vol d’information, de secret industriel, d’IP– Atteinte à l’image
Petit historique 2000 – Maroochy en Australie – Le saboteur a pu se
connecter 46 fois à distance sur le Scada de cette usine de retraitement avant d’être identifié – 800’000 litres déversés
2005 - Le vers Zotob – 13 usines automobiles US touchées – 50’000 ouvriers au chomage technique – environ $10 millions de perte d’exploitation
2006 – Grave incident de sécurité à la Centrale Nucléaire de Browns Ferry – Cause probable : surcharge sur le bus propriétaire d’échange de données - 2 jours d’arrêt
2008 – Arrêt d’urgence du réacteur nucléaire de la centrale de Hatch – Cause probable : la MAJ d’un PC bureautique utilisé aussi pour de la supervision - 2 jours d’arrêt
2008 – Détournement par un adolescent du système de contrôle de trafic des trams de la ville de Lodz (PL) – 4 trains ont déraillé.
Les recettes classiques :– politiques de sécurité,– analyse de vulnérabilités,– évaluation de la sécurité & audit, – traçabilité & journalisation des événements– gestion de crise et exercice de simulation– gestion du facteur humain
Des recettes spécifiques :– Séparer, cloisonner et étanchéifier les sous-systèmes– Définir des zones de sécurité avec des politiques et des
contrôles/audits différents– Analyser de manière pro-active les menaces et les risques– Contrôler l’intégrité du code (PLC…)
Application Security Forum - Western Switzerland - 2011 30
L’exemple Airbus
Safety (sûreté): Respecter les réglementations, gérer les pannes (températures, pannes matérielles), envoyer automatiquement un rapport de panne au sol en cas d'avarie, et globalement tout ce qui touche à l'avion en lui-même.
Security (sécurité): Se protéger des actes malveillants. Les menaces sont diverses, allant des clandestins (personnes ou bagages), ou encore vis à vis des attaques depuis le sol (missiles).
Une PKI est déployée sur tous les A380, entre autre pour signer les logiciels embarqués27.10.2011
Application Security Forum - Western Switzerland - 2011 31
Conclusion
Never Trust Software Vendors Never Trust Consultants
Make it simple !!!!
27.10.2011
Application Security Forum - Western Switzerland - 2011 32
Vos Questions ?
In the four months since Stuxnet appeared for the first time, a total of 22 Siemens customers worldwide from an industrial environment have reported an
infection with the Trojan.In all cases the malware could be removed.
In none of these cases did the infection cause an adverse impact to the automation system.