Erik Andersen

Krigen i Ukraine øger cybertruslen mod danske energiselskaber: »Vi bør forberede os ekstra godt«

Er der mon nogen i Version2 redaktion, der følger med i disse kommentarer? Jeg forsøgte for et stykke tid siden at få Version2 interessere i den problematik, jeg beskriver i mit første indlæg. Jeg fik hele tiden noget med en "rygende pistol", som jeg oversatte til, at man ville først se et alvorligt nedbrud i elnettet, før man ville tage problemet op.

Til sidst opgav jeg.

8. oktober kl. 10:33
Krigen i Ukraine øger cybertruslen mod danske energiselskaber: »Vi bør forberede os ekstra godt«

Nu er en transformator nok svær at svide af pr. fjernbetjening,

Her er jeg lidt usikker, men jeg har ladet mig fortælle, at hvis man tænder og slukker mange hurtigt gange efter hinanden, så kan man brænde en transformator af.

7. oktober kl. 15:50
Krigen i Ukraine øger cybertruslen mod danske energiselskaber: »Vi bør forberede os ekstra godt«

Jeg har last hele artiklen i IT Watch. Det er lidt naive betragtninger som gøres i IT-Watch. Man prøver at spå om fremtiden ved at se i bagspejlet. Det er ikke Ransomwareangreb og det er ikke DDoS, der er den helt fatale trussel mod den dansk energiforsyning. Det er et destruktivt angreb, som virkelig kan skade os.

Destruktive angreb kommer klar himmel. Man kan ikke ud fra nogle småangreb forudsige faren for et destruktivt angreb og dele det op forskellige farver. Uanset hvad sandsynligheden er, så vil et destruktivt angreb få uoverskuelige konsekvenser. Hvad vil der ske, hvis samtlige transformatorer bliver brændt af? Hvad vil der ske, hvis en fremmed magt overtager kontrollen af det dansk elnet?

Hvad er sandsynligheden for, at en fremmed magt overvåger det danske elnet for at finde alle svaghederne for senere ved lejlighed at kunne udføre et fatalt angreb? Sandsynligheden er ikke nul.

Man forsøger at bilde os ind, at vi har et stærkt cyberforsvar. Det har vi ikke. Vi har en hel masse regler for hvad mennesker og organisationer skal gøre og ikke gøre, men hvordan sikrer man sig, at den software og hardware, som er vore IT systemer har indbygget den maksimale robuste beskyttelse. Er der anvendelse af digitale signaturer, er man sikret mod ændringer i dataoverførsler (integritet), hvordan håndteres krypteringsnøgler, er der den nødvendige software for adgangskontrol og tusind andre lignende spørgsmål. Endeligt, hvordan sikre vi os mod fremtidens kvantecomputere?

Center for cybersikkerhed svigter her fuldstændigt og stikke myndigheder og politiker blår i øjnene. Det svarer til, at en middelalderby kun bygger en bymur uden at tænke på, at så kommer det store angreb nok hvor bymuren mangler. IEC TC 57 beskæftiger sig med standarder software til kraftindustrien. WG 15 under denne komite og har ansvaret for udvikler standarder cybersikkerhed i produkter. En halvsenil herre på 86 år er i Danmark ene om cyberforsvar af det dansk elnet. Det er vildt uforsvarligt.

Forbered jer på en meget kold vinter.

7. oktober kl. 14:39
Energisektoren forbereder sig på cyber-orkan: »Der bliver skudt med spredehagl«

Hej Jan, Jeg går ud fra, at du er den Jan Heisterberg, som jeg kender fra min tid i IBM.

Du har ret, men det er ikke så enkelt. IT-nettet er spredt ud over hele landet til transformatorstationer, vindmøller, solcelleparker, for kommunikation mellem energiselskaberne, for kommunikation med udenlandske partnere, osv. Det var billigst at bruge internettet, men det var nok en forkert beslutning, som det vil tage tid at rette op på.

En anden alvorlig sag er mangel på beskyttelse indlagt i IT systemerne.

Regeringen har tidligere udgivet en række strategier for cybersikkerhed. Dels en generel strategi og dels en række strategier for bestemte sektorer. Der findes nu en opdateret strategi, "National strategi for cyber- og informationssikkerhed" gældende 2022-2024.

I starten af denne nationale strategi gives der en oversigt over trusselvurderinger fra Center for Cybersikkerhed. Truslen fra cyberkriminalitet og truslen for cyberspionage ses som meget høj. Derimod ses truslen for destruktive cyberangreb som lav. Det var en vurdering lavet før det russiske angreb på Ukraine og Ruslands uforudsigelige reaktioner, men selv da, var det en lidt naiv konklusion. Det gælder det samme her som med den militære opbygning. Det tager flere år at opbygge et forsvar for destruktive cyberangreb. Hvis man først begynder at opbygge et forsvar, når truslen er høj, så er det for sent.

At beskytte mod destruktive cyberangreb er en hel anden boldgade end at beskytte mod cyberkriminalitet. Her er man oppe mod modstandere med helt andre resurser end kriminelle kan mønstre.

De tiltag, som anbefales mod cyberkriminalitet, kan med få undtagelser implementeres ret hurtigt, hvis den nødvendige kompetence er til stede. Det samme gælder, også med få undtagelser, de "Tekniske minimumskrav til it-sikkerhed hos statslige myndigheder". En del af tiltagene er dog upræcise. Der er krav, der kan opfyldes uden at give tilstrækkelig sikkerhed.

Desværre er der et vigtigt område, som ikke er dækket af de tiltag, der er beskrevet ovenfor. Følgerne kan blive fatale for Danmarks sikkerhed. Det er her, vi kan vente destruktive cyberangreb.

Vores kritiske infrastrukturer, så som elnettet, er afhængige af et IT-netværk, hvor kommunikationen foregår mellem IT-enheder og hvor softwaren i enhederne skal håndtere sikkerhedsfunktionerne. Sikkerheden kan ikke klares med ydre tiltag, men skal fra starten af være indbygget i softwaren.

Det er tidskrævende aktivitet at udvikle standarder i dette område og skal efterfølges af implementering i produkter. Fra man ser behovet og til man har produkter i marken, går der flere år.

Kun én person er aktiv i standardisering af sikkerhedsfunktioner for elnettet og det er mig. En opgave jeg ikke har en kinamands chance for at klare. Jeg er nu 86 år. Det er vildt uforsvarligt. Ethvert forsøg på at råbe myndigheder op har været forgæves.

Center for Cybersikkerhed er helt fraværende her. Chefen for Center for Cybersikkerhed burde måske sigtes for overtrædelse af straffelovens paragraf 109 for (bevidst?) at have efterladt et stort hul i det danske cyberforsvar.

25. april kl. 17:26
It-folk i panik verden over: Her er, hvad vi ved om Log4Shell

Jeg ved godt det var en provokation. Jeg mente det ikke helt bogstaveligt.

Når man hælder tonsvis af ukendte kode ind i et system, så må man også være forberedt på problemer. Man bør tænke sig godt om, inden man baserer et kritisk system på meget kompleks platform, som måske nok gør det nemt for programmørerne.

15. december 2021 kl. 13:00
It-folk i panik verden over: Her er, hvad vi ved om Log4Shell

Fyr all JAVA-freaks og lad dem gå til hånde på hospitalerne.

15. december 2021 kl. 11:46
Ekspert: IoT breder sig til virksomheders drift og åbner for flere hackerangreb

IEC 62443 serien er en vigtig set af sikkerhedsspecifikationer, som tit refereres. Den er der henad. Det er en god vejledning i hvad der skal indgå i en produktstandard, men det er ikke en protokolstandard med detaljeret beskrivelse af protokollen.

IEC 62351-4 er et eksempel på en produktstandard. Der er også andre i 62351 serien.

Jeg er aktiv Dansk Standard udvalg S.557, som beskæftiger sig med smart grid standardisering. Jeg er den eneste, der beskæftiger sig med IT-sikkerhed. Jeg har ikke en kinamands chance for at være med i alle sikkerhedsaktiviteterne. Var der flere med, kunne vi sætte stærke fingeraftryk på sikkerhedsstanderne og fremme hastigheden væsentligt, men det er svært at finde nogen, som er villige til at betale penge for at få lov til at arbejde gratis.

ITU-T Study Group 17 beskæftiger sig med IT-sikkerhed. Jeg har været med dernede i Geneve i mere end 16 år. I den tid har jeg aldrig mødt en dansker (eller svensker). Energistyrelsen har ansvaret for dansk deltagelse i ITU-T. Et ansvar de tager uhyre let på. Jeg har med mellemrum argumenteret for flere deltagere, men forgæves.

15. juli 2021 kl. 19:19
Ekspert: IoT breder sig til virksomheders drift og åbner for flere hackerangreb

Hej Rune,

Tak for dit indlæg. Det virker som om, at jeg ikke har gjort mit synspunkt helt klart . Lad os antage, at en person skal købe en IoT dims, som opfylder visse funktionskarv, men ingen af de enheder, som findes på markedet, lever op til kravene i ETSI EN 303 645. Med overvejende stor sandsynlighed findes der ikke en sådan enhed på markedet. I så fald er ETSI EN 303 645 bare en illusion.

ETSI EN 303 645 er ikke en standard, man kan bygge produkter ud fra. Den sikrer ikke interworkig mellem produkter fra forskellige leverandører.

Der mangler standarder for produkter og disse standarder skal være implementeret i produkter. Interessen for dette ligger i Danmark på et meget lille sted. Danmark er ekstremt fokuseret på ISO/IEC 27001 og lignende standarder.

Rec. ITU-T X.509 er grundlaget for public-key infrastructure (PKI). PKI er ekstrem vigtig for cybersikkerhed. (jeg er for øvrigt project editor for X.509). Forsøg at Google på 27001 og dernæst på X.509 og se forskellen i hits. Forsøg også på CFCS's hjemmeside (cfcs.dk).

15. juli 2021 kl. 16:30
Ekspert: IoT breder sig til virksomheders drift og åbner for flere hackerangreb

Inden dbatten om Kongeskibet afsporende debatten (en skibsmotor har ikke meget med consumer IoT at gøre), håbede jeg på nogle reaktioner på mit indlæg nummer 2.

Erik Andersen

15. juli 2021 kl. 09:40
Ekspert: IoT breder sig til virksomheders drift og åbner for flere hackerangreb

ETSI EN 303 645 er en af mange vejledninger, så som ISO/IEC 27001. Sådanne vejledninger er vigtige for cybersikkerhed, men er ikke tilstrækkelige. ETSI EN 303 645 er en godt gennemtænkt vejledning, men kan også bruges som illustration for, hvorfor sådanne vejledninger ikke er tilstrækkelige.

Hvordan sikrer man sig, at det er relevante IoT produkter, som opfylder de krav, som ETSI EN 303 645 stiller?

Jeg har taget nogle få af de udmærkede "provisions" som eksempler, specielt de som relaterer sig til kryptografiske algoritmer:

Provision 5.1-3: Authentication mechanisms used to authenticate users against a device shall use best practice cryptography, appropriate to the properties of the technology, risk and usage.

Provision 5.1-5: When the device is not a constrained device, it shall have a mechanism available which makes bruteforce attacks on authentication mechanisms via network interfaces impracticable.

Provision 5.3-7: The device shall use best practice cryptography to facilitate secure update mechanisms.

Provision 5.8-1: The confidentiality of personal data transiting between a device and a service, especially associated services, should be protected, with best practice cryptography.

Provision 5.8-2: The confidentiality of sensitive personal data communicated between the device and associated services shall be protected, with cryptography appropriate to the properties of the technology and usage.

Specielt er "best practice cryptography" nævnt flere gange, hvilket er en udmærket formulering, da formålet med denne norm ikke er at nævne specifikke kryptografiske algoritmer, men det leder til spørgsmålet: Hvordan sikrer vi, at produkterne (brugerudstyr og IoT enheder) understøtter sikre kryptografiske algoritmer og disse algoritmer er korrekte implementerede?

Kryptografiske algoritmer anvendes fx for kryptering/dekryptering af meddelelser og for generering/verificering af digitale signaturer, dvs. de anvendes i kommunikation mellem enheder. Kommunikation mellem enheder kræver internationale standarder, som i detaljer beskriver semantik og syntaks for kommunikationen. Hvordan sikre man at krypteringsnøglen er den samme i begge ender af kommunikationen? Hvordan sikre man, at nøglerne er forskellige for de forskellige kommunikationskanaler? Hvilke krypteringsalgoritmer skal understøttes? Hvordan forhandler man hvilke algoritmer, der skal benyttes? Hvordan håndterer man migrering til nye og mere kraftige algoritmer? Mange af de samme spørgsmål kan stilles til brugen a digitale signaturer og dertil nogle nye: Er der specielle krav til certifikater? Er der behov for specielle navnestrukturer? Osv. osv.

Den form for standardisering, der skal sikre sikkerhed i produkter, har meget trange kår i Danmark. Dansk Standard har ingen eller næsten ingen aktiviteter på området. CFCS går heller ikke meget op i denne problematik, hvilket jeg ser som et alvorligt svigt.

Erik Andersen

14. juli 2021 kl. 13:52
Hver tredje dansker har ikke tillid til sikkerheden i statens kritiske it-systemer

To tredjedele lever I en uvidende drømmetilstand. Måske fordi CFCS har bildt folk ind, at hvis du overholder ISO/IEC 27001, så er den hellige grav velforvaret.

19. maj 2021 kl. 12:11
USA ruster sig mod flere angreb som Solarwinds-megahacket

Der var engang hvor den diskussion var interessant. Det er den ikke længere. Der er bunker af gode algoritmer derude og der er i praksis ingen grund til ikke at vælge en der er sikker.

Det er korrekt at der er sikre algoritmer derude, men det er ikke det samme, som de bliver anvendte. Vores infrastrukturer er væsentlig baseret på informationsudveksling mellem enheder. For heterogene systemer er kommunikationen baseret på internationale standarder, hvor også brug af specifikke kryptografiske algoritmer er krævet for overholdelse af standarden. Er de algoritmer som kræves af standarden usikre, så kan ikke bare implementere stærkere algoritmer. Det vil medføre manglende interoperabilitet.

Der findes mange system baseret på standarder, både nye og gamle, med for svage eller manglende algoritmer.

7. maj 2021 kl. 16:16
USA ruster sig mod flere angreb som Solarwinds-megahacket

Tja, briternes (og før dem polakkernes) brud på den tyske transmissionssikkerhed var jo ikke-invasiv

Netop, men meget skadeligt alligevel. Med nogen synlighed har fremmede magter monitoreret vore kritiske infrastrukturer og ved, hvor svaghederne er. Vi ved godt hvad tyskerne (og japanerne) skulle have gjort. Man skulle have anvendt en stærkere kryptering. Hvor stærk? I haver fald en hel del stærkere end krævet for tidens bedste kendte metoder for brydning. Hvor er CFCS's vejledninger mht. hvilke kryptografiske algoritmer produkter skal være forsynet med for kryptering, digitale signaturer og integritet? Måske findes de, men jeg har ikke fundet dem.

Tyskerne (klog af skade?) har lavet nogle vejledninger.

5. maj 2021 kl. 14:26
USA ruster sig mod flere angreb som Solarwinds-megahacket

Det er velkendt, at tyskerne under 2. verdenskrig benyttede en kodningsmaskine kaldet Enigma til at sende kodede meddelelser mellem de enkelte militære enheder. Det er også kendt, at englænderne lykkedes med at bryde koden, hvilket skadede den tyske krigsførelse væsentligt og dermed forkortede krigen med et eller to år.

Englændernes brydning af tyskernes kode kan betegnes som verden første cyberangreb.

Hvad nu hvis tyskerne havde haft en organisation som Center for Cybersikkerhed (CFCS) med alt hvad det har af mandskab, værktøjer og vejledninger? Det kunne være interessant at høre, hvilke tiltag fra Center for Cybersikkerhed, der kunne have optaget og/eller forhindret det engelske cyberangreb.

5. maj 2021 kl. 11:36
Danske energiselskaber ramt af Solarwinds-angreb

Det er ikke nok, hvis man udskifter med lignende udstyr. Det bliver bare angrebet igen. Vi ligger, som vi har redt. CFCS har groft svigtet sit ansvar. Ligeledes har Erhvervsstyrelsen og Energistyrelsen.

Noget tyder på, at problemet skyldes programmer baseret på standarder med manglende eller svage sikkerhedsforanstaltninger, fx SNMP. Det gør, at en hacker kan vade direkte ind i systemerne uden an vente på, at en eller anden tumpe klikker på en snavset link. Man opdager heller ikke denne indtrængning.

At få udviklet nye, mere sikre standarder tager tid for ikke tale om at få opdateret alle de systemer, som har tilsvarende manglende sikkerhed. Vi er for sent ude.

Jeg har siden 2012 forsøgt at får myndigheder i tale, men forgæves. Hvem lytter til en silkepapirshat?

CFCS har noget om SolarWinds. Læg mærke til, at de ikke har nogen vejledning til, hvordan man undgår angreb.

2. februar 2021 kl. 11:27
Solar winds-bagmænd kompromitterer endnu en udbredt antivirus-service

SNMP, syslog, DNS m.fl er gamle ukrypterede UDP-protokoller, der i dag som udgangspunkt er sårbare.

Vi har med meget stor sandsynlighed en stor sump af ubeskyttede systemer også i vores kritiske infrastrukturer og sikkert ikke kun pga. af de standarder, som Rune nævner. Ved brug af en af tidens metaforer, det vil kræve en enorm indsat at dræne denne sump.

perimetersikkerhed er en illusion

Jeg bruger billedet med en by i middelalderen, som venter fjendtligt angreb. Man forbereder sig, alle procedurer er på plads, men man glemmer alt om at forstærke ringmuren.

Center for Cybersikkerhed (CFCS) omtaler SolarWinds, men giver ingen vejledning i, hvordan man beskytter sig mod angrebet. Værktøjskassen er tom.

24. januar 2021 kl. 10:46
Solar winds-bagmænd kompromitterer endnu en udbredt antivirus-service

Det er min forståelse, det er manglende sikkerhed i Simple Network Management Protocol (SNMP). Den nyeste er version 3 og er mere end 20 år gammel og derfor ikke sikker.

Det lyder som et angreb, som ikke kan imødegås af den danske strategi for cybersikkerhed.

21. januar 2021 kl. 17:09
Japan uddanner 220 hackere for at beskytte sommerens OL mod cyberangreb

Nu må vi bare håbe, at angriberne ikke ikke river el-nettet ned, så de etiske hackere ikke kommer til at side i belravende mørke med slukkede PC'er og wifi ude af funktion.

7. januar 2021 kl. 12:01
EU-rådet med klar besked: Der mangler ensartet europæisk sikkerhed for 'connected devices'

ETSI EN 303 645 er en af mange vejledninger, så som ISO/IEC 27001. Sådanne vejledninger er vigtige for cybersikkerhed, men er ikke tilstrækkelige. ETSI EN 303 645 er en godt gennemtænkt vejledning, men kan også bruges som illustration for, hvorfor sådanne vejledninger ikke er tilstrækkelige. Jeg har taget nogle få af de udmærkede "provisions" som eksempler, specielt de som relaterer sig til kryptografiske algoritmer:

Provision 5.1-3 Authentication mechanisms used to authenticate users against a device shall use best practice cryptography, appropriate to the properties of the technology, risk and usage.

Provision 5.1-5 When the device is not a constrained device, it shall have a mechanism available which makes bruteforce attacks on authentication mechanisms via network interfaces impracticable.

Provision 5.3-7 The device shall use best practice cryptography to facilitate secure update mechanisms.

Provision 5.8-1 The confidentiality of personal data transiting between a device and a service, especially associated services, should be protected, with best practice cryptography.

Provision 5.8-2 The confidentiality of sensitive personal data communicated between the device and associated services shall be protected, with cryptography appropriate to the properties of the technology and usage.

Specielt er "best practice cryptography" nævnt flere gange, hvilket er en udmærket formulering, da formålet med denne norm ikke er at nævne specifikke kryptografiske algoritmer, men det leder til spørgsmålet: Hvordan sikrer vi, at produkterne (brugerudstyr og IoT enheder) understøtter sikre kryptografiske algoritmer og disse algoritmer er korrekte implementerede?

Kryptografiske algoritmer anvendes fx for kryptering/dekryptering af meddelelser og for generering/verificering af digitale signaturer, dvs. de anvendes i kommunikation mellem enheder. Kommunikation mellem enheder kræver internationale standarder, som i detaljer beskriver semantik og syntaks for kommunikationen. Hvordan sikre man at krypteringsnøglen er den samme i begge ender af kommunikationen? Hvordan sikre man, at nøglerne er forskellige for de forskellige kommunikationskanaler? Hvilke krypteringsalgoritmer skal understøttes? Hvordan forhandler man hvilke algoritmer, der skal benyttes? Hvordan håndterer man migrering til nye og mere kraftige algoritmer? Mange af de samme spørgsmål kan stilles til brugen a digitale signaturer og dertil nogle nye: Er der specielle krav til certifikater? Er der behov for specielle navnestrukturer? Osv. osv.

Alle disse spørgsmål skal besvares gennem detaljerede specifikationer i den pågældene standaerd.

Selv er jeg medlem af Dansk Standards udvalg S-557, og er den eneste, der beskæftig sig smart grid cyber-sikkerhedsstandarder, et enormt område. Jeg deltager som eneste dansker i sikkerhedsarbejde i ITU-T study group 17, hvor jeg bl.a. er project editor for X.509 og nu også X.510. Jeg har stort set været ene om den, selv internationalt.

Jeg har lavet mange notater i de forløbne år. Se fx The imitation game og IT-sikkerhedsstandardisering.

Erik Andersenera@x500.eu

15. december 2020 kl. 16:01