RiskViz Search Engine (RSE)

Transkript

1 RiskViz Search Engine (RSE) M.Sc. Johannes Klick Arbeitsgruppe Sichere Identität Fachbereich Mathematik und Informatik Freie Universität Berlin

2 RiskViz Search Engine (RSE)

3 RiskViz BMBF-Förderschwerpunkt: IT-Sicherheit für Kritische Infrastrukturen Projekt: RiskViz Volumen: 4,2 Mio Euro Laufzeit: 04/ /2018

4 RiskViz Entwicklung einer Suchmaschine für das Auffinden von industriellen Steuerungsanlagen im Internet mit anschließender Risikoanalyse.

5 Prozess Ablauf: 1. Scan-Auftrag erstellen 2. Scan-Ergebnisse auf einer Karte darstellen 3. Schwachstellen- / Exploit-Analyse 4. Erweiterte Analyse mit externen Datenbanken

6 Industrielle Kontrollsysteme im Internet

7 Potentiell verwundbare Geräte in Europa

8

9

10 Datenerhebung IP Adresse Besitzer Informationen (whois) Domainname (rdns) Geo-IP Informationen ICS Protokoll (z.b. S7Comm, Modbus, DNP3 etc) Internet-Protokolle (HTTP(S), Telnet, SNMP) Fingerprint Erstellung und Vergleich von Snapshots Dauer eines kompletten IPv4 Internet-Scans 1 h

11 Automatisierte Datenanreicherung Schwachstellen-Datenbank Exploit-Datenbank Regionspezfische Wirtschaftsdaten Plugins: Externe Datenbanken (z.b. Geo-Kritis-Datenbank) genrierung eigener lokaler Plugins lokale Datenanreicherung mit sensiblen unternehmenseigenen Daten volle Kontrolle über die Daten

12 Risikoanalyse Mögliche Fragen der Risikoanalyse: 1. In welcher Region liegen die IP Nummern der gefundenen ICS? 2. Welche Unternehmen und Branchen sind dort angesiedelt? 3. Welche Geräte setzt welches Unternehmen in dieser Region ein? 4. Welche Wirtschaftsleistung erreicht die Region? 5. Existieren Schwachstellen in den gefundenen Versionen? 6. Sind in einer Region besonders viele angreifbare ICS?

13 Risikoanalyse Mögliche Fragen der Risikoanalyse: 1. Welchem Unternehmen könnte ein angreifbares ICS gehören, wen muss man warnen? 2. Wie effektiv investiert eine Region in die Absicherung ihrer kritischen Infrastrukturen? 3. Ist eine Region besser abgesichert als eine andere? 4. Gibt es ungeschützte temporäre Wartungszugänge zu ICS? 5. Welche Geräte bieten die größte Angriffsfläche? 6. Wo muss man ansetzen, um den größten Sicherheitsgewinn zu erzielen?

14 Live Demonstration Vorführung der RiskViz Search Engine V3 (alpha preview)

15 Graphische Scan-Selektion: Bundeslandebene

16 Graphische Scan-Selektion: Kreisebene

17 Ergebnis-Darstellung: Modbus

18 Ergebnis-Darstellung: Schneider Electric (Modbus)

19 Ergebnis-Darstellung: Karte

20 Datenauswertung

21 Datenauswertung

22 Datenauswertung

23 Datenauswertung

24 Datenauswertung

25 Datenauswertung

26 Verwundbare Schneider Steuerungen

27 BMS von SE Elektronic GmbH

28 Datenauswertung

29 Juristische Betrachtung Strafrecht (DE): Scannes des Internets ist legal Es dürfen keine Sicherheitsbarrieren umgangen werden

30 Juristische Betrachtung Zivilrecht (DE): Haftungsrisko z.b. Produktionsausfall durch Scan Sehr geringes Risiko

31 Juristische Betrachtung Datenschutzrecht (DE): IP-Adressen deren Eigentümer Privatpersonen sind, dürfen nicht gespeichert werden

32 Juristische Gutachten Fragestellung von Gutachten I: Welche rechtliche Grundlage benötigt das Scannen aus dem Internet erreichbarer Systeme? Fragestellung von Gutachten II: Darf Reverse Engineering an Industriesteuerungen vorgenommen werden? Gutachten können unter runtergeladen werden.

33 Informationsflüsse - offene Fragen Datenerhebung: Wer beauftragt die Scans? Wer führt die Scans durch? Datenzugriff: Wer darf die Daten einsehen? Besteht Interesse an anonymisierten bzw. aggregierten Daten?

34 Beispielhaftes Informationsflussmodell I Datenerhebung: Technische Durchführung (Backend): FU Berlin Plattformbereitstellung (Frontend): Unternehmensverbände Scan Beauftragung: Unternehmen Datenzugriff: Dateneinsicht: Auftraggeber (Unternehmen) Aggregierte Dateneinsicht: Staatliche Einrichtungen

35 Beispielhaftes Informationsflussmodell II Datenerhebung: Technische Durchführung (Backend): Staatliche Einrichtungen Plattformbereitstellung (Frontend): Staatliche Einrichtungen Scan Beauftragung: Staatliche Einrichtungen Datenzugriff: Dateneinsicht: Staatliche Einrichtungen Optional: Benachrichtigung von betroffenen Unternehmen Optional: Aggregierte Dateneinsicht: Unternehmensverbände

36 Ende Vielen Dank. Bei Interesse schreiben Sie einfach eine an: Für projektbezogene Informationen zu unseren Forschungsarbeiten: riskviz.de. Vielen Dank!