Tutto quello che avreste voluto. automazione ma non avete mai osato chiedere. Security Summit 2009

Tutto quello che avreste voluto sapere sulla protezione di reti e sistemi di controllo ed automazione ma non avete mai osato chiedere. Raoul Chiesa, OPST, OPSA, CD e CTS CLUSIT Alessio L.R. Pennasilico, Referente Sikurezza.org, CD e CTS CLUSIT Fabio Guasconi, LA27001, CISA, Referente UNINFO, Socio CLUSIT Enzo Maria Tieghi, Referente ANIPLA, Socio CLUSIT Security Summit 2009 11 Giugno 2009, Roma

Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP-001-009 La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 2

Agenda (cont.) PARTE III: La visione di un fornitore Struttura e modelli di reti e sistemi di controllo: architetture, componenti,ecc. ecc Comunicazioni e protocolli più utilizzati, vulnerabilità e contromisure Le necessità dei clienti Le necessità dei vendor PARTE IV: CONCLUSIONI Conclusioni Best Practices tecniche Best Practices procedurali Contatti, Q&A 3

Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP-001-009 La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 4

INTRODUZIONE 5

I relatori Raoul Chiesa aka Nobody Director of Communications at ISECOM OSSTMM Key Contributor, Project Manager di HPP Open Source Security Testing Methodology Manual Rilasciato nel gennaio 2001 Più di 3 milioni i di downloads d Direttore Tecnico presso @ Mediaservice.net Srl Docente di IT Security presso varie Università e Master di IS Speaker ad eventi di sicurezza nazionali ed internazionali Membro dei Comitati Direttivi CLUSIT, ISECOM, Telecom Security Task Force (TSTF.net), OWASP Italian Chapter Consulente per le Nazioni Unite sul cybercrime presso l UNICRI. 6

I relatori Alessio L.R. Pennasilico aka mayhem Security Evangelist @ Board of Directors: Associazione Informatici Professionisti, CLUSIT Associazione Italiana Professionisti Sicurezza Informatica, Italian Linux Society, LUGVR, Sikurezza.org, Hacker s Profiling Project 7

I relatori Fabio Guasconi Chief of Italian Delegation per il JTC1/SC27 Esperto Nazionale UNINFO Certificati Lead Auditor 27001, CISA, ITIL Speaker a eventi nazionali di sicurezza Membro di: CLUSIT ISMS Iug Italia ISACA Responsabile per la Sicurezza delle Informazioni e Formazione @ Mediaservice.net Srl S.r.l. 8

I relatori Enzo Maria Tieghi Amministratore Delegato di Vision Automation e ServiTecno (da oltre 20 anni software industriale) Attivo in associazioni e gruppi di studio per la cyber security industriale (ISA s99 member) Auditor BS7799/ISO2700 - NERC CIP In Adisory Board,,gruppi e progetti internazionali su Industrial Security e CIP (Critical Infrastructure Protection) Co-autore ed autore pubblicazioni, articoli e memorie 9 9

Le problematiche di sicurezza in ambienti sensibili Abbiamo operato in questi ambienti nel corso degli ultimi due anni, in Italia ed all estero. Ci siamo principalmente occupati di: Sicurezza organizzativa (standard, policy, ) Verifiche di Sicurezza (Penetration Test, Security Audit) Hardening (questo sconosciuto) Quanto emerso è a dir poco sconvolgente. E lo dice anche il NIST, lo US Cyber Defense, lo US Homeland Security, la Commissione Europea 10

Terminologie (dei sistemi di controllo ed automazione industriali) PCS (PCN):Process Control System (Network) SCADA: Supervisory Control and Data Acquisition iti (system) DCS: Distributed Control System PLC: Programmable Logic Controller RTU: Remote Terminal Unit OPC: OLE for Proces Control DH: Data Historian ESD: Emergency Shut-Down (system) MMI/HMI: Man/Human Machine Interface MES: Manufacturing Execution System ISA: Instrumentation, Systems and Automation Society 11

Perché parlare di questi argomenti? / 1 Nel corso del 2008, Alessio e Raoul hanno compiuto azioni di evangelism in Italia ed all estero. I contesti erano i più diversi: dalle conferenze hacker (IT Undeground, HITB, CONfidence, CCC, etc ) alle Università ed agli eventi classici (BBF, IWCE, etc..) In tutti i casi, enorme è stato l interesse dimostrato dal pubblico. ad onor del vero, il nostro talk era un mix di sano terrorismo ed una basic overview di questi mondi Volevamo fare riflettere, ma senza entrare troppo nel dettaglio. Nel mentre, ci siamo formati. Sul campo. 12

Perché parlare di questi argomenti? / 2 Nel contempo, il socio Tieghi scriveva il Quaderno CLUSIT Q7, Introduzione alla protezione di reti e sistemi i di controllo ed automazione (DCS, SCADA, PLC)...e Fabio Guasconi, insieme ad Enzo ed a Raoul, entrava nel GdL ESCoRTS. Lato CLUSIT, forti sono le collaborazioni con ANIPLA e con AIIC. Nel frattempo, il mercato continua a chiedere aiuto, supporto, consulenze, sicurezza 13

Esempi di infrastrutture automatizzate ti t Le prossime slide illustrano varie tipologie di infrastrutture automatizzate. 14

Typical Network Topology 15

Security dei sistemi IT e dei sistemi di controllo 16

Rete di un sistema di controllo 17

DCS + Ancillari Centrale Elettrica 18

Configurazione rete PCN con FW industriali 19

Esempio rete SCADA da NIST 20

Esempio SCADA distribuito da NIST 21

Esempio rete DCS da NIST 22

Esempio rete PCN semplice da NIST (solo layer processo) 23

Infrastrutture critiche nazionali Le NCIs hanno forti legami con i mondi SCADA e di Industrial Automation Nelle prossime tre slide, abbiamo cercato di riassumere secondo gli standard e le logiche ad oggi esistenti, primi tra tutti lo US Homeland Security Department le principali infrastrutture critiche nazionali, organizzate per settori. Il brutto è che, per ognuno di questi settori, attacchi ed intrusioni sono già avvenuti, con successo 24

Infrastrutture critiche nazionali / 1 SECTOR Energy and Utilities Sample Target sub-sectors Electrical power (generation, transmission, nuclear) Natural Gas Oil production and tranmission systems Communications and dinformation Tl Telecommunications (phone, fax, cable, Technology wireless & WiMax, satellite) Broadcasting systems Software Hardware Networks (Internet) Finance Health Care Banking Securities Investment Hospitals Health-care facilities Blood-supply facilities Pharmaceuticals 25

Infrastrutture critiche nazionali / 2 SECTOR Sample Target sub-sectors Food Food safety Agriculture and Food Industry Food distribution Water Drinking Water Wastewater t management Transportation Air Rail Marine Surface Safety Chemical, biological, radiological, and nuclear safety Hazardous materials Search and rescue Emergency services (police, fire, ambulance and others) Dams 26

Infrastrutture critiche nazionali / 3 SECTOR Government Manufacturing Sample Target sub-sectors Government facilities Government services (i.e., meteorological services) Government Information Networks Government Assets Key national symbols (cultural institutions, tions national sites, monuments) ments) Chemical Industry Defence industrial base 27

Esempi reali Un paio di real examples, per toccare con mano ciò di cui stiamo parlando. Managing pumps (USA, MN) The Gulf (Mexico) 28

29

30

PARTE I Overview e standard 31

Situazione in ambito nazionale ed internazionale i (EU) Associazioni: ISA (www.isa.org) s99 Committee e Standard Ora ISA s99 diviene IEC 62443 NIST SP800-53 & NIST SP800-82 NERC CIP-001/009 (per il settore Power) GdL: EURO-SCSIE ESTEC, ESCoRTS, CRUTIAL, IRRIIS, GRID, ecc IRRIIS 32

La famiglia ISO 27000 Information Security Management System Recenti sondaggi (Stakeholders Survey di ESCoRTS) mostrano come la ISO/IEC 27001 sia considerata il riferimento in materia di sicurezza per l automazione industriale, anche se non completamente adeguata. Altre norme sono più verticali e forniscono maggiori indicazioni, MA 33

La famiglia ISO 27000 Alcuni cenni alla struttura della ISO/IEC 27001: Risk Assessment Policy & Requisiti Contromisure ISO/IEC 27002 Plan Do Act Check Miglioramento Efficacia Audit 34

La famiglia ISO 27000 Requisiti Linee Guida Di Settore 27001:20052005 27000 27010 27015 ISMS requirements 27006:2007 Requirements for audit & cert. bodies Vocabulary 27002:2005 Code of practice 27003 Implementation guidance Inter-sector communications 27011 Telecommunications 27012 E-government Financial and insurance 2701X ISO/IEC 20000 and ISO/IEC 27001 2701X Critical Infrastructures 27004 Measurements 27005:2008 Risk Management 27013 Service 27014 Security governance 27008 ISMS auditing 35

La famiglia ISO 27000 Attivitàità del JTC1/SC27 in merito: 2007 2008: periodo di studio sulle Infrastrutture Critiche Nazionali Aprile 2008: SC27 not interested (controverso) Ottobre 2008: proposta di inserire linee guida sulle CNI nella 27010 Maggio 2009: prossima plenaria a Pechino 36

La famiglia ISO 27000 La ISO/IEC 27001 nasce per essere impiegata su organizzazioni di ogni tipo e dimensione. L approccio ISO/IEC 27001 è direttamente t applicabile ai sistemi di automazione e alle CNI per la parte di processo (con le differenze identificate da IS s99: priorità C-I-A/R-I-D). Le contromisure specifiche e gli elementi di dettaglio possono (ed è previsto dalla norma) essere integrati da altri standard verticali. 37

La famiglia ISO 27000 Esempio di elementi distintivi da considerare nell applicazione della ISO/IEC 27001: Requisiti specifici inerenti fault-tolerance, disponibilità Differenze infrastrutturali e gestionali rispetto ai sistemi IT, separazione tra la rete corporate e quella di controllo Valorizzazione di rischi che coinvolgono vite umane e di minacce di più alto profilo (sabotaggio, terrorismo ) Contromisure specifiche o compensative diverse da quelle standard d 38

La famiglia ISO 27000 Altre norme applicabili dalla famiglia 27000 ISO/IEC 27031 - ICT readiness for Business Continuity ISO/IEC 27032 Cybersecurity ISO/IEC 27033 Network security ISO/IEC 27034 Application security ISO/IEC 27035 Incident management 39

BS7799-IS027000 vs. ISA-99.00.01 C-I-A Comparison of Objectives Manufacturing and Control Systems Availability Integrity Traditional IT Systems Confidentiality Integrity Confidentiality Availability Priority 40

Modelli e gerarchie nei sistemi di fabbrica e di infrastruttura (ISA s95) 41

ANSI/ISA-95 Functional Hierarchy Level 4 Level 3 Business Planning & Logistics Plant Production Scheduling, Operational Management, etc Manufacturing Operations Management Dispatching Production, Detailed Production Scheduling, Reliability Assurance,... 4 - Establishing the basic plant schedule - production, material use, delivery, and shipping. Determining inventory levels. Time Frame Months, weeks, days 3 - Work flow / recipe control to produce the desired end products. Maintaining records and optimizing the production process. Time Frame Days, Shifts, hours, minutes, seconds Level 2 Level 1 Batch Control Continuous Control Discrete Control 2 - Monitoring, supervisory control and automated control of the production process 1 - Sensing the production process, manipulating the production process Level 0 0 - The actual production process 42

ISA s99 Model: Zones and Conduits Laptop computer Workstation Mainframe Server Server Enterprise Zone Enterprise Conduit Plant A Zone Plant B Zone Plant C Zone Router Router Router Laptop computer Workstation Laptop computer Workstation Laptop computer Workstation File/Print Server App. Server Data Server File/Print Server App. Server Data Server File/Print Server App. Server Data Server Plant A Control Zone Firewall Plant B Control Zone Firewall Plant C Control Zone Firewall App. Server Data Server Maint. Server Firewall App. Server Data Server Maint. Server Firewall App. Server Data Server Maint. Server Firewall Plant Control Conduit Plant Control Conduit Plant Control Conduit Controller Controller Controller Controller Controller Controller I/O I/O I/O I/O I/O I/O 43

ISA S99 Structure ISA-99.00.01 Part 1: Terminology, Concepts and Models ISA-99.00.02 Part 2: Establishing an Industrial Automation and Control System Security Program ISA-99.00.03 Part 3: Operating an Industrial Automation and Control Systems Security Program ISA-99.00.04 Part 4: Security Requirements for Industrial Automation and Control Systems ANSI/ISA-TR99.00.01-2004: Security Technologies for Manufacturing and Control Systems 44

Structural overview (ISA S99 - IEC 62443) Part Title ISA # IEC # I.1 Terminology, Concepts and Models ISA 99.01.01 IEC 62443-1-1 I2 I.2 Master Glossary ISATR990102 TR99.01.02 IEC/TR 62443-1-2 2 I.3 Foundational Requirements ISA TR99.01.03 IEC/TR 62443-1-3 II.1 Establishing an IACS* security yprogram ISA 99.02.01 IEC 62443-2-1 II.2 II.3 Operating an IACS* security program Patch Management ISA 99.02.02 ISA TR99.02.03 IEC 62443-2-2 IEC/TR 62443-2-3 III.1 III.2 III.3 Security Technologies Target Security Levels System Security & Compliance Metrics ISA TR99.03.01 ISA 99.03.02 ISA 99.03.03 IEC/TR 62443-3-1 IEC 62443-3-2 IEC 62443-3-3 III.4 Protection of Data at Rest ISA 99.03.04 IEC 62443-3-4 * IACS = Industrial Automation and Control System 45

NIST SP800-82 & NERC CIP-001-009 NIST SP800-82: Guide to Industrial Control System (ICS) Security NIST SP800-53: Reccomended Security control for Federal Information Systems Information Security NERC CIP-001/009 for Power Sector: 46

La direttiva EU Direttiva UE COM(2006)787, relativa alla "Identification and designation of European Critical Infrastructure and the assessment of the need to improve their protection ratificata dal Governo Italiano nel Dicembre 2008. Fornisce le indicazioni comuni, a livello europeo, relative alle modalità di identificazione delle infrastrutture critiche, identificazione di possibili minacce e vulnerabilità a cui ogni struttura è esposta ed identificazione di protezioni adeguate a contrastare la minacce individuate. Individuare adeguati meccanismi di protezione in grado di garantirne la corretta operatività ed evitare eventuali effetti domino, in caso di interazione fra diverse infrastrutture critiche. 47

Linee guida presenti in altri Paesi USA-DHS/DOE UK-CPNI NL-NICC GAMP5 48

US Critical Infrastructure Security Programs National SCADA Test Bed (DOE: Dept. of Energy) Control lsystems Security Program Dept. of Homeland Security 49 49

UK: CPNI Centre for the Protection of Nti National Infrastructure t Ex NISSC 7 guide security SCADA & PCN Google for CPNI SCADA 50

NL: Dutch National Cyber Crime Infrastructure t (NICC) SCADA Security Good Practice For the Drinking Water Sector 51

Le Gamp5 e la Sicurezza dei sistemi Appendice O11: Security Management 52

Agenda INTRODUZIONE I relatori Terminologie Perchè parlare di questi argomenti? Esempi di infrastrutture industriali automatizzate PARTE I: Overview & Standards Situazione in ambito nazionale ed internazionale: Associazioni, GdL La famiglia ISO27000 Modelli e gerarchie nei sistemi di fabbrica/infrastruttura (ISA s95) Standard ISA S99 e IEC62443, NIST SP800-82, NERC CIP-001-009 La Direttiva EU Linee guida presenti in altri paesi (USA-DHS/DOE, UK-CPNI, NL-NICC, SE-SEMA, ecc.) Sforzi europei: E-SCSIE, ESTEC, ESCORTS, CRITIS, ecc. PARTE II: le problematiche tecniche Ergonomia & "Safety Differenze tra Security IT e security PCS (Process Control Systems) L'Open Source e gli ambienti industriali Le tecniche di attacco Incidenti del passato Incidenti recenti (2008/2009) Case studies: hardening di una infrastruttura SCADA 53

PARTE II Le problematiche tecniche 54

Ergonomia / 1 Donald A. Norman, La caffettiera del masochista James Reason, L errore umano 55

Ergonomia / 2 Evitare di Confondersi 56

Ergonomia / 3 Eravamo abituati a http://www.metroland.org.uk/signal/amer01.jpg 57

Ergonomia / 4 Ora lavoriamo In modo diverso. http://www.ihcsystems.com/section_n/images/efficientdredgingnewsapril2005_page_09_image_0002.jpg 58

Blockbuster Il sistema di gestione della centrale elettrica non rispondeva. L operatore stava guardando un DVD sul computer di gestione CSO di una utility di distribuzione energia elettrica 59

Differenze tra Security IT e Security PCS ISO/IEC 27000 ISA 99.00.01 Confidenzialità Disponibilità Integrità Integrità Disponibilità Confidenzialità 60

L Open Source e gli ambienti industriali i L open source è sempre più presente negli ambienti i industriali. I costruttori di sistemi embedded si orientano sempre più spesso verso soluzioni open. Ma è dal punto di vista del monitoring, della gestione e dei test che al momento si ottiene un enorme numero di strumenti adatti a lavorare nel mondo SCADA. 61

Hydra Password brute forcer per diversi protocolli Nessuna relazione con il mondo SCADA Utile per accesso a macchine di controllo, interfacce di gestione 62

aircrack Permette di trovare in pochi secondi password WEP128 ed in poche ore password WPA/PSK Nessuna relazione con l ambiente SCADA Tuttavia sensori, PLC o altri device SCADA utilizzano 802.11a/b/g/n per connettersi alla rete 63

Wireshark Sniffer per intercettare il traffico IP Può decodificare il traffico, isolare protocolli, sessioni, host Ha di default i dissector per interpretare correttamente diversi protocolli tipici dell automazione industriale (es. CIP) 64

Wireshark & CIP 65

Nessus Vulnerability Scanner, permette di trovare vulnerabilità conosciute o comuni errori di configurazione su diversi host / apparati Adatto a trovare vulnerabilità o malconfigurazioni di host legacy che ospitano applicazioni SCADA E stato inclusa una libreria specifica per software ed apparati SCADA 66

67

Le tecniche di attacco Le tecniche di attacco verso queste realtà non differiscono di molto da quelle classiche del mondo IT: Old school hacking (password guessing, ) Port scanning Eavesdropping, ricostruzione dei flussi Exploiting DoS Web applications hacking 68

Esempio di intrusione fonte INL (Idaho Nti National Lab DHS US 69

Incidenti del passato Al contrario di quanto si potrebbe normalmente pensare, diversi sono gli incidenti avvenuti in questo mondo, partendo dai lontani anni 80 sino a casi decisamente recenti. 70

Whatcom Falls Park About 3:28 p.m., Pacific daylight time, on June 10, 1999,, a 16-inch-diameter steel pipeline owned by Olympic Pipe Line Company ruptured and released about 237,000 gallons of gasoline into a creek that t flowed through h Whatcom Falls Park in Bellingham, Washington. About 1.5 hours after the rupture, the gasoline ignited and burned approximately 1.5 miles along the creek. Two 10-year-old boys and an 18- year-old young man died as a result of the accident. Eight additional i injuries i were documented. d A single-family il residence and the city of Bellinghamís water treatment plant were severely damaged. As of January 2002, Olympic estimated that total property damages were at least $45 million. 71

72

Technical details The Olympic Pipeline SCADA system consisted of Teledyne Brown Engineering20 SCADA Vector software, version 3.6.1., running on two Digital Equipment Corporation (DEC) VAX Model 4000-300 computers with VMS operating system Version 7.1. In addition to the two main SCADA computers (OLY01 and 02), a similarly configured DEC Alpha 300 computer running Alpha/VMS was used as a host for the separate Modisette Associates, Inc., pipeline leak detection system software package. 73

SCADA can save lives 5. If the supervisory control and data acquisition (SCADA) system computers had remained responsive to the commands of the Olympic controllers, the controller operating the accident pipeline probably would have been able to initiate actions that would have prevented the pressure increase that ruptured the pipeline. http://www.cob.org/press/pipeline/whatcomcreek.htm 74

Worms In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours. NIST, Guide to SCADA 75

nmap While a ping sweep was being performed on an active SCADA network that controlled 9-foot robotic arms, it was noticed that one arm became active and swung around 180 degrees. The controller for the arm was in standby mode before the ping sweep was initiated. NIST, Guide to SCADA 76

Disgruntled employee Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer. http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/ 77

Sabotaggio Thomas C. Reed, Ronald Regan s Secretary, described in his book At the abyss how the U.S. arranged for the Soviets to receive intentionally flawed SCADA software to manage their natural gas pipelines. "The pipeline software that was to run the pumps, turbines, and values was programmed to go haywire, after a decent interval, to reset pump speeds and valve settings to produce pressures far beyond those acceptable to pp pipeline joints and welds." A 3 kiloton explosion was the result, in 1982 in Siberia. http://www.themoscowtimes.ru/stories/2004/03/18/014.html 78

Gazprom Russian authorities revealed this week that Gazprom, a state-run gas utility, came under the control of malicious hackers last year. [ ]The report said hackers used a Trojan horse program, which stashes lines of harmful computer code in a benign-looking program. http://findarticles.com/p/articles/mi_qa3739/is_200403/ai_n9360106 79

Incidenti recenti (2008/2009) Texas: warning, zombies ahead Transportation officials in Texas are scrambling to prevent hackers from changing messages on digital road signs after one sign in Austin was altered to read, "Zombies Ahead." Chris Lippincott, director of media relations for the Texas Department of Transportation, confirmed that a portable traffic sign at Lamar Boulevard and West 15th Street, near the University of Texas at Austin, was hacked into during the early hours of Jan. 19. "It was clever, kind of cute, but not what it was intended for," said Lippincott, who saw the sign during his morning commute. "Those signs are deployed for a reason to improve traffic conditions, let folks know there's a road closure." 80

Incidenti recenti (2008/2009) Final Super Bowl Moments Interrupted By Porn Yesterday s television broadcast of the Super Bowl in Tucson, Arizona, was interrupted for some viewers by about 10 seconds of pornographic material. According to a statement from KVOA TV in Tucson, the only viewers who saw the material were those who receive the channel through Comcast cable. Officials at Comcast said they had no idea at the time it happened how the porn may have gotten into its feed. Apparently, the SD signal was hacked and a tensecond porn clip was inserted into the feed. The station received hoards of complaints from families who were watching the game and saw the clip, which showed a woman unzipping a man's pants, followed by a graphic act between the two. UPDATED (2 febbraio 2009): Comcast offers $10 credit to Tucson customers who saw Super Bowl porn 81

Previews / 1 Critical Infrastructure Prime Target For Cyber Criminals In 2009. The report, "2009 Cyber Threats and Trends" seeks to aid education efforts about cyber security threats facing networks, enterprises and end-users by highlighting important trends that emerged in 2008, and attempts to predict security trends and disruptors that may develop in 2009 with lasting consequences for businesses in the coming decade. http://www.secprodonline.com/articles/70136/ com/articles/70136/ 82

Previews / 2 NG911 Meaning we have to look at the NG911 (next generation) that NENA is about to roll out. NENA uses XML to manage all review and dispatch of emergency notifications. These payloads may be downloaded directly to the [handheld] of the incident commander on the way to the site. NG911 wraps every message it gets in its own XML envelope for routing and archival. Inside that envelope, though, is standard emergency management distribution elements (EDXL) with specialized elements for each purpose. The most tfamous, and dthe least normalized of fthe elements is CAP( (common alerting protocol). There may be many elements in a single message. Some distribution elements may be encrypted such that not everyone who receives a emergency message can read all elements. When folks are speaking imprecisely, they may refer to the entire pile as "a CAP Alert". The NG911 folks are also talking about receiving messages directly into their system, from external agencies. If local l policy allows, these messages can be dispatched directly through the system without operator intervention, saving minutes on a response. ([SCADASEC] Fw: HAZUS Forum and HAZUS Wiki Announcement). 83

Previews / 3 Know the risks of running industrial control systems on IP networks, by Shamus McGillicuddy, News Editor - 07 Jan 2009 SearchNetworking.com In the never-ending quest to save money and boost performance, many organizations are migrating their industrial control systems onto IP networks. As network engineers get to know these new systems, they must tread carefully -- one mistake can lead to disaster. Often referred to as SCADA (Supervisory Control And Data Acquisition) iti systems, these industrial networks are used in a variety of industries. Utility companies use them to manage electrical grids, natural gas distribution, and sewer and water systems. Manufacturers use them to manage factory floor equipment. Construction and engineering firms often manage heavy equipment, such as cranes, with them. Nuclear power plants manage fission and power generation with these systems. (http://searchnetworking.techtarget.com/news/article/0,289142,sid7_gci134 4304,00.html). 00 84

Previews / 4 ASCE American Society of Civil Engineers e la loro Report Card: 2009 Report Card for America's Infrastructure Category 2009 2005 Changed? Better or worse? Aviation D D+ Yes; worse Bridges C C Dams D D Drinking Water D- D- Energy D+ D Yes; better Hazardous Waste D D Inland Waterways D- D- Levees D- NA Yes; worse Public Parks & Recreation C- C- Rail C- C- Roads D- D Yes; worse School D D Security NA I Removed Solid Waste C+ C+ Transit D D+ Yes; worse Wastewater D- D- Overall GPA grade D D Cost $2.2T 2 $1.6T A = Exceptional B = Good C = Mediocre D = Poor F = Failing 85

Previews / 5 World's power grids infested with (more) SCADA bugs Areva Inc. - a Paris-based company that serves nuclear, wind, and fossil- fuel power companies - is warning customers to upgrade a key piece of energy management software following the discovery of security bugs that leaves it vulnerable to hijacking. The vulnerabilities affect multiple versions of Areva's e-terrahabitat package, which allows operators in power plants to monitor gas and electric levels, adjust transmission and distribution devices, and automate other core functions. Areva markets itself as one of the top three global players in the transmission and distribution of energy. http://www.theregister.co.uk/2009/02/05/areva_scada_security_bugs/ http://www.kb.cert.org/vuls/id/337569 86

Defective by design? Nessuna autenticazione Nessuna cifratura locale dei dati Nessuna cifratura del traffico di rete Nessuna gestione dei LOG Spesso sono / sono state esigenze e non limiti 87

Errori comuni Nessun isolamento delle macchine di produzione dai normali PC Configurazioni di default Scarso o nessun controllo sugli accessi da remoto (Dial-up / VPN) Documentazione obsoleta ed incoerente Nessun piano di Disater Recovery, piani mai testati, o mai testati in seguito a modifiche anche importanti 88

Problemi tecnici Utilizzo di un Antivirus i / IDS Non esiste o rallenta le performance Applicazione delle security patch Cicli di approvazione e test troppo lunghi Non garanzia da parte dei Vendor in seguito a patch ed installazione SP (cfr SP3 su Windows) o comunque updates non certificate. Esecuzione di un pen-test Risultati (e reazioni) imprevedibili 89

Problemi economici Gestione di un test-bed Soprattutto in ambienti complessi è molto costoso da realizzare e da mantenere Approvazione dei costi di hardening Il management li percepisce troppo spesso come costi inutili, rifiutandoli in fase di progettazione e non approvandoli in fase di tuning / hardening 90

Nuovi problemi Utilizzo di tecnologie legacy OS, Ethernet, WiFi Vulnerabilità introdotte dai nuovi sistemi di gestione ed accesso Interfacce WEB, VNC Effetti domino provocati dall interazione tra macchine worm 91

Esperienze sul campo Sovema Mirato (Malizia Profumo d Intesa, etc..) MilMil SAF/FRO Gruppo AirLiquide SantLuis Tecres Gruppo Rossetto Altri Altri soggetti ad NDA 92

Il costo dell hardening Cliente con Altoforno gestito da PC PC in LAN Stima dei costi in caso di fermo-forno Stima dei costi per isolare PC ed Altoforno in una VLAN dedicata, il cui traffico sia filtrato al3 3M vs 3K : progetto bocciato 93

Sovema: esigenze Macchine per costruire batterie delle automobili Rischio di ferire/uccidere l operatore, inquinare l ambiente, esplodere con tutto lo stabilimento, etc etc Da cablaggio proprietario a ethernet Da protocolli proprietari acip Macchine poco potenti per contenere i costi Fornire al cliente una soluzione sicura 94