Intervjuavsnitt #2 - Justin Searle
Lyssna
Innehåll
Detta är det andra intervjuavsnittet av Säkerhetspodcasten, i vilket Mattias Jidhage intervjuar Justin Searle, en av talarna på Blackhat EU 2013. Justin Searle är en penetrationstestare som fokuserar främst på styrsystem för infrastruktur (SCADA) och Smart Grid.
Inspelat 2013-03-12. Längd 17:47.
Länkar
AI transkribering
AI försöker förstå oss… Ha överseende med galna feltranskriberingar.
1 00:00:00,000 --> 00:00:29,980
Svensktextning.nu
2 00:00:30,000 --> 00:00:40,760
Hej och välkomna! Jag heter Mattias Hidåge och ikväll så kommer vi lyssna på en intervju som är inspelad på Black Hat EU i Amsterdam mellan 12 och 15 mars i år.
3 00:00:41,980 --> 00:00:45,360
Och intervjun handlar om en kille som heter Justin Searle.
4 00:01:00,000 --> 00:01:01,080
Vad är det du lär dig i den här kursen?
5 00:01:01,240 --> 00:01:11,660
Ja, jag har varit i säkerhetsområdet i 13 år nu och i de senaste 5-6 åren har jag specialiserats i att göra penetration-testning av kontrollsystem.
6 00:01:11,900 --> 00:01:17,220
I särskilt kontrollsystem som beror på elektriska utställningar i energi-spacet.
7 00:01:17,760 --> 00:01:23,040
Så jag arbetar med de utställningarna, arbetar med de olika vändare som skapar produkter och säljer till de utställningarna.
8 00:01:24,380 --> 00:01:29,040
Och jag försöker hjälpa dem att hitta och rädda förmågorna innan attackerarna tar fördel av dem.
9 00:01:29,340 --> 00:01:29,940
Coolt.
10 00:01:30,000 --> 00:01:38,000
Jättebra kurs, jag har verkligen gillat den, särskilt RF-kursen där jag äntligen får hållet på Gnu-radion.
11 00:01:38,000 --> 00:01:44,500
Och jag hörde att du faktiskt förändrar den här två-dag-kursen till en fem-dag-kurs också?
12 00:01:44,500 --> 00:01:54,000
Ja, så den första fem-dag-versionen av den här kursen kommer att säljas tillbaka till Houston, Texas i Storbritannien i juni.
13 00:01:54,000 --> 00:01:58,000
Jag tror att det är den första eller andra veckan i juni som vi kommer att sälja den här kursen.
14 00:01:58,000 --> 00:02:00,000
Och sen, beroende på vad som händer,
15 00:02:00,000 --> 00:02:04,000
så har jag säkert den här kursskedjuren åtminstone 12 gånger i år.
16 00:02:04,000 --> 00:02:09,000
Några av dem är fem-dag-versioner, några är tre-dag-versioner och några är två-dag-versioner.
17 00:02:09,000 --> 00:02:11,000
Okej, visst, visst.
18 00:02:11,000 --> 00:02:19,000
Den är baserad på en ny, ännu inte utsläppen version av Samurai WTF, eller hur?
19 00:02:19,000 --> 00:02:25,000
Nej, så nära. Den är baserad på Samurai WTF, men den kommer att bli en ny sister-distribution.
20 00:02:25,000 --> 00:02:28,000
Vi kallar den Samurai STFU.
21 00:02:28,000 --> 00:02:32,000
Så det är en säkerhetsfråga för utställningar.
22 00:02:32,000 --> 00:02:35,000
Så när kommer ni att släppa den, verkligen?
23 00:02:38,000 --> 00:02:42,000
Jag har varit på vägen i fem veckor nu, och internet-förhållanden har inte varit vänliga,
24 00:02:42,000 --> 00:02:46,000
och sjukdomar i Indien har inte varit hjälpiga.
25 00:02:46,000 --> 00:02:51,000
Men målet är att få den postad nästa vecka, för jag har försökt att få den ut för flera veckor,
26 00:02:51,000 --> 00:02:54,000
och jag fortsätter att missa utsläppen, och jag fortsätter att ge folk.
27 00:02:54,000 --> 00:02:56,000
Så det är hög tid att jag får den postad och uppladdad.
28 00:02:56,000 --> 00:02:57,000
Så i en månad eller två?
29 00:02:57,000 --> 00:02:59,000
Så i en månad eller två.
30 00:02:59,000 --> 00:03:01,000
Förhoppningsvis innan då.
31 00:03:01,000 --> 00:03:05,000
Så jag har den verkligen till den nivån där…
32 00:03:05,000 --> 00:03:08,000
Jag menar, för klasset, vi använde en version av den för klasset,
33 00:03:08,000 --> 00:03:12,000
och jag tror att den här versionen vi har utan att använda klasset,
34 00:03:12,000 --> 00:03:14,000
jag tror att den är tillräckligt bra för version 1.
35 00:03:14,000 --> 00:03:16,000
Det finns bara några fler utsläpp som jag måste göra.
36 00:03:16,000 --> 00:03:19,000
Och jag är verkligen nöjd med att få den postad nästa vecka.
37 00:03:19,000 --> 00:03:21,000
Så snart jag kommer hem till mitt yrke,
38 00:03:21,000 --> 00:03:24,000
och har en bra och snabb band som jag kan tro på,
39 00:03:24,000 --> 00:03:26,000
så får jag den här uppladdad och postad online.
40 00:03:27,000 --> 00:03:31,000
Till det här området med träningskursen,
41 00:03:31,000 --> 00:03:35,000
det har varit mycket tal om cybersäkerhet i medierna,
42 00:03:35,000 --> 00:03:39,000
om Smart Grid och SCADA-system.
43 00:03:39,000 --> 00:03:42,000
Har vi verkligen en problem i världen när det gäller de här frågorna?
44 00:03:42,000 --> 00:03:47,000
Ja, jag menar, frågan är om vi har en problem med säkerhet i någon IT-system.
45 00:03:47,000 --> 00:03:50,000
Och jag tror att vi alla kan verkligen säga ja.
46 00:03:50,000 --> 00:03:53,000
Någon IT-system som någon av oss använder och gillar,
47 00:03:53,000 --> 00:03:54,000
eller arbetar med,
48 00:03:54,000 --> 00:03:56,000
vi har många säkerhetsförmågor.
49 00:03:56,000 --> 00:03:59,000
Från Windows-operativsystemen och alla förmågor vi har där,
50 00:03:59,000 --> 00:04:04,000
till SCADA-griden, den elektriska griden och den kraft vi har.
51 00:04:04,000 --> 00:04:06,000
Så jag tror att det finns en stor problem.
52 00:04:06,000 --> 00:04:10,000
Och jag tror att med den kritiska infrastrukturen
53 00:04:10,000 --> 00:04:12,000
och alla dessa ICS-utrustning som vi har,
54 00:04:12,000 --> 00:04:15,000
som kontrollerar världen runt oss,
55 00:04:15,000 --> 00:04:19,000
så blir risken verkligen riktig.
56 00:04:19,000 --> 00:04:21,000
För det är inte bara något som kommer att förlora mina data,
57 00:04:21,000 --> 00:04:23,000
utan det kommer att påverka mitt liv,
58 00:04:23,000 --> 00:04:25,000
och ta kraft bort från mig, eller gränser eller gas.
59 00:04:26,000 --> 00:04:30,000
Eller från min möjlighet att använda det.
60 00:04:30,000 --> 00:04:33,000
Så jag tror att risken är extremt hög.
61 00:04:33,000 --> 00:04:35,000
Och när vi tittar på säkerhetsförmågorna,
62 00:04:35,000 --> 00:04:37,000
så är de väldigt reella,
63 00:04:37,000 --> 00:04:39,000
precis som i alla IT-segment.
64 00:04:39,000 --> 00:04:45,000
Och säkerheten som är byggd i de här produkterna
65 00:04:45,000 --> 00:04:47,000
är nästan inte existent.
66 00:04:47,000 --> 00:04:49,000
Det som skyddar de flesta av oss är,
67 00:04:49,000 --> 00:04:51,000
nummer ett, att de vanligtvis finns i nätverkssegment
68 00:04:51,000 --> 00:04:53,000
som de flesta människor inte kan komma till.
69 00:04:53,000 --> 00:04:54,000
Och nummer två,
70 00:04:54,000 --> 00:04:57,000
den oskyldiga delen av de här systemen.
71 00:04:57,000 --> 00:04:59,000
Det finns inte så många verktyg eller kunskap
72 00:04:59,000 --> 00:05:01,000
om hur man kan spela runt med dem.
73 00:05:01,000 --> 00:05:03,000
Men det är allt förändrat,
74 00:05:03,000 --> 00:05:05,000
som vi har sett i medierna de senaste åren.
75 00:05:05,000 --> 00:05:07,000
Det är väldigt riktigt.
76 00:05:07,000 --> 00:05:09,000
Människorna kan komma från internet
77 00:05:09,000 --> 00:05:11,000
till de företagsnätverken i de här företagen,
78 00:05:11,000 --> 00:05:13,000
och sedan flytta från den företagsnätverken
79 00:05:13,000 --> 00:05:15,000
till kontrollnätverken,
80 00:05:15,000 --> 00:05:17,000
och få tillgång till det här verktyget,
81 00:05:17,000 --> 00:05:19,000
som vi har sett med Stuxnet och även Worms,
82 00:05:19,000 --> 00:05:21,000
som inte har en enskild människa
83 00:05:21,000 --> 00:05:23,000
som manuellt kontrollerar det på samma tid.
84 00:05:24,000 --> 00:05:26,000
Jag tycker att det är väldigt riktigt.
85 00:05:26,000 --> 00:05:28,000
Men är det den största risken
86 00:05:28,000 --> 00:05:31,000
som verktygskompanierna är oroliga för?
87 00:05:31,000 --> 00:05:33,000
Eller är det den utländska staten
88 00:05:33,000 --> 00:05:35,000
eller terroristattacken som försöker
89 00:05:35,000 --> 00:05:37,000
sabotera kritisk infrastruktur?
90 00:05:37,000 --> 00:05:39,000
Eller tittar de också på
91 00:05:39,000 --> 00:05:41,000
ägare som försöker
92 00:05:41,000 --> 00:05:43,000
förlora bilsystemet?
93 00:05:43,000 --> 00:05:45,000
Jag tror att det finns
94 00:05:45,000 --> 00:05:47,000
en stor skillnad i
95 00:05:47,000 --> 00:05:49,000
påverkan på de två.
96 00:05:49,000 --> 00:05:51,000
Ja, det finns en stor skillnad
97 00:05:51,000 --> 00:05:53,000
i påverkan och risk på båda.
98 00:05:53,000 --> 00:05:55,000
Men det finns också en stor
99 00:05:55,000 --> 00:05:57,000
påverkan på möjligheten.
100 00:05:57,000 --> 00:05:59,000
Vi vet från erfarenheter inom
101 00:05:59,000 --> 00:06:01,000
energisektorn att människor
102 00:06:01,000 --> 00:06:03,000
över hela världen, tusentals,
103 00:06:03,000 --> 00:06:05,000
på en daglig basis,
104 00:06:05,000 --> 00:06:07,000
gör olika saker för att
105 00:06:07,000 --> 00:06:09,000
ställa kraft och skapa utrymme
106 00:06:09,000 --> 00:06:11,000
från utländerna.
107 00:06:11,000 --> 00:06:13,000
Så det är något som utländerna
108 00:06:13,000 --> 00:06:15,000
är oroliga för.
109 00:06:15,000 --> 00:06:17,000
Det är något som användarna
110 00:06:17,000 --> 00:06:19,000
som skapar produkter för utländerna
111 00:06:19,000 --> 00:06:21,000
är oroliga för och försöker bygga
112 00:06:21,000 --> 00:06:22,000
försäkringar på deras produkter.
113 00:06:22,000 --> 00:06:24,000
För att
114 00:06:24,000 --> 00:06:26,000
om en land
115 00:06:26,000 --> 00:06:28,000
kommer att attackera en annan land
116 00:06:28,000 --> 00:06:30,000
om de kan knacka ut utländska resurser
117 00:06:30,000 --> 00:06:32,000
och energi för hela landet
118 00:06:32,000 --> 00:06:34,000
så kommer det att förbättra attacken.
119 00:06:34,000 --> 00:06:36,000
Så ja, det är en stor
120 00:06:36,000 --> 00:06:38,000
påverkan också.
121 00:06:38,000 --> 00:06:40,000
Men det är de två scenarierna
122 00:06:40,000 --> 00:06:42,000
som de tittar på?
123 00:06:42,000 --> 00:06:44,000
Det är rätt. Bortsett från de två scenarierna
124 00:06:44,000 --> 00:06:46,000
har man bara någon
125 00:06:46,000 --> 00:06:48,000
ung ungdom eller hobbyist som
126 00:06:48,000 --> 00:06:50,000
spelar med systemet, vilket också är en påverkan.
127 00:06:50,000 --> 00:06:52,000
Men i slutändan tror jag att
128 00:06:52,000 --> 00:06:54,000
de riktiga oroarna är på den dagliga
129 00:06:54,000 --> 00:06:56,000
utländska problemen
130 00:06:56,000 --> 00:06:58,000
samt nation- och statens problem.
131 00:06:58,000 --> 00:07:00,000
De försöker förbättra
132 00:07:00,000 --> 00:07:02,000
en del av de stora attackerna
133 00:07:02,000 --> 00:07:04,000
och försöker ha olika typer av
134 00:07:04,000 --> 00:07:06,000
tekniker eller mekanismer
135 00:07:06,000 --> 00:07:08,000
eller alert eller tamper-mekanismer
136 00:07:08,000 --> 00:07:10,000
för att försöka förbättra utländskan.
137 00:07:10,000 --> 00:07:12,000
Och om de håller på med de två användningscasen
138 00:07:12,000 --> 00:07:14,000
så händer en del av hobbyisterna
139 00:07:14,000 --> 00:07:16,000
automatiskt.
140 00:07:16,000 --> 00:07:18,000
Och kanske hobbyisterna är mer
141 00:07:18,000 --> 00:07:20,000
oroliga.
142 00:07:20,000 --> 00:07:22,000
Det är en stor
143 00:07:22,000 --> 00:07:24,000
utmaning.
144 00:07:24,000 --> 00:07:26,000
För om de hittar något
145 00:07:26,000 --> 00:07:28,000
så kommer de troligen att avslöja det
146 00:07:28,000 --> 00:07:30,000
och det kommer att finnas mycket
147 00:07:30,000 --> 00:07:32,000
skit i nyheterna och sådant.
148 00:07:32,000 --> 00:07:34,000
Men de kommer nog inte att använda det
149 00:07:34,000 --> 00:07:36,000
i någon stor del.
150 00:07:36,000 --> 00:07:38,000
Under kursen nämnde du att
151 00:07:38,000 --> 00:07:40,000
Zigbee är en av de tekniker
152 00:07:40,000 --> 00:07:42,000
som kan användas.
153 00:07:42,000 --> 00:07:44,000
Men den är oftast användad
154 00:07:44,000 --> 00:07:46,000
när smart meter
155 00:07:46,000 --> 00:07:48,000
pratar med applikationer
156 00:07:48,000 --> 00:07:50,000
i huvudet. Och det är inte så vanligt
157 00:07:50,000 --> 00:07:52,000
att använda det i NAN,
158 00:07:52,000 --> 00:07:54,000
när smart meter
159 00:07:54,000 --> 00:07:56,000
börjar tala tillbaka till bakgrunden.
160 00:07:56,000 --> 00:07:58,000
Korrekt.
161 00:07:58,000 --> 00:08:00,000
I Gothenburg har vi
162 00:08:00,000 --> 00:08:02,000
sett en deployment
163 00:08:02,000 --> 00:08:04,000
av ett system där de faktiskt
164 00:08:04,000 --> 00:08:06,000
använder Zigbee i NAN.
165 00:08:06,000 --> 00:08:08,000
Vilka är dina
166 00:08:08,000 --> 00:08:10,000
pro-tips
167 00:08:10,000 --> 00:08:12,000
för den här
168 00:08:12,000 --> 00:08:14,000
implementeringen?
169 00:08:14,000 --> 00:08:16,000
Min första fråga är om de använder
170 00:08:16,000 --> 00:08:18,000
Zigbee på meter-till-meter-sidan
171 00:08:18,000 --> 00:08:20,000
så att nätverksnätet
172 00:08:20,000 --> 00:08:22,000
kan kommunicera tillbaka till
173 00:08:22,000 --> 00:08:24,000
nätverksnätet.
174 00:08:24,000 --> 00:08:26,000
Min första fråga är
175 00:08:26,000 --> 00:08:28,000
vad gör de för att säkra det?
176 00:08:28,000 --> 00:08:30,000
Använder de bara normalt
177 00:08:30,000 --> 00:08:32,000
Zigbee-kommunikation och bara
178 00:08:32,000 --> 00:08:34,000
en deltagande Zigbee-nätverk
179 00:08:34,000 --> 00:08:36,000
för att skydda den?
180 00:08:36,000 --> 00:08:38,000
Eller använder de någon applikation
181 00:08:38,000 --> 00:08:40,000
som har större säkerhets-
182 00:08:40,000 --> 00:08:42,000
möjligheter?
183 00:08:42,000 --> 00:08:44,000
Inom Zigbee finns flera
184 00:08:44,000 --> 00:08:46,000
applikationer
185 00:08:46,000 --> 00:08:48,000
som man kan ha på Zigbee.
186 00:08:48,000 --> 00:08:50,000
En av de mest vanliga,
187 00:08:50,000 --> 00:08:52,000
man kallar dem profiler.
188 00:08:52,000 --> 00:08:54,000
Den mest vanliga med säkerhet
189 00:08:54,000 --> 00:08:56,000
för energisektorn är Smart Energy Profile.
190 00:08:56,000 --> 00:08:58,000
Den ger
191 00:08:58,000 --> 00:09:00,000
större säkerhet
192 00:09:00,000 --> 00:09:02,000
i att den har
193 00:09:02,000 --> 00:09:04,000
ECC
194 00:09:04,000 --> 00:09:06,000
en asymetrisk
195 00:09:06,000 --> 00:09:08,000
kryptografi som är byggd in i
196 00:09:08,000 --> 00:09:10,000
Smart Energy Profile där varje
197 00:09:10,000 --> 00:09:12,000
Zigbee-applikation har sin egen
198 00:09:12,000 --> 00:09:14,000
unika key. Så säkerheten
199 00:09:14,000 --> 00:09:16,000
i det är mycket högre än om
200 00:09:16,000 --> 00:09:18,000
man bara pratar om en vanlig
201 00:09:18,000 --> 00:09:20,000
Zigbee, som använder
202 00:09:20,000 --> 00:09:22,000
AES-128, som är
203 00:09:22,000 --> 00:09:24,000
fantastiskt. Men det är en
204 00:09:24,000 --> 00:09:26,000
enskild, deltagande key
205 00:09:26,000 --> 00:09:28,000
inom infrastrukturen i Zigbee-nätverket.
206 00:09:28,000 --> 00:09:30,000
Det är min första fråga.
207 00:09:30,000 --> 00:09:32,000
Om man bara använder Zigbee
208 00:09:32,000 --> 00:09:34,000
och har en enskild, deltagande key
209 00:09:34,000 --> 00:09:36,000
så är det trivulärt för någon av oss
210 00:09:36,000 --> 00:09:38,000
att få kontroll över en av de
211 00:09:38,000 --> 00:09:40,000
medarbetare som pratar med Zigbee
212 00:09:40,000 --> 00:09:42,000
och återhämta den keyen
213 00:09:42,000 --> 00:09:44,000
från den och använda den
214 00:09:44,000 --> 00:09:46,000
för att kunna kommunicera med
215 00:09:46,000 --> 00:09:48,000
den enda säkerhetskontrollen för protokollet.
216 00:09:48,000 --> 00:09:50,000
Det är ganska riskerat
217 00:09:50,000 --> 00:09:52,000
och ganska skrämmande.
218 00:09:52,000 --> 00:09:54,000
Något som vi måste titta in i.
219 00:09:54,000 --> 00:09:56,000
Ja, du borde definitivt ha något bättre än
220 00:09:56,000 --> 00:09:58,000
den enskilda Zigbee-keyn, att kontrollera
221 00:09:58,000 --> 00:10:00,000
den kommunikationen.
222 00:10:00,000 --> 00:10:02,000
Det ser ut som att hela Skada
223 00:10:02,000 --> 00:10:04,000
och
224 00:10:04,000 --> 00:10:06,000
kontrollsystemet har
225 00:10:06,000 --> 00:10:08,000
ett problem, för de
226 00:10:08,000 --> 00:10:10,000
använder deras tillverkning i
227 00:10:10,000 --> 00:10:12,000
ett väldigt hostilt område, och jag pratar inte om
228 00:10:12,000 --> 00:10:14,000
regn eller snö.
229 00:10:14,000 --> 00:10:16,000
De använder deras tillverkning där
230 00:10:16,000 --> 00:10:18,000
folk kan komma till dem.
231 00:10:18,000 --> 00:10:20,000
Det är ett problem i och för sig.
232 00:10:20,000 --> 00:10:22,000
Det finns också minskade resurser.
233 00:10:22,000 --> 00:10:24,000
Du kan inte göra något med
234 00:10:24,000 --> 00:10:26,000
vilken säkerhetsfaktor du vill ha med dem.
235 00:10:26,000 --> 00:10:28,000
De har inte de kapaciteterna
236 00:10:28,000 --> 00:10:30,000
för att utföra dem.
237 00:10:30,000 --> 00:10:32,000
Och det är väldigt svårt att patcha.
238 00:10:32,000 --> 00:10:34,000
Även om du kanske kan
239 00:10:34,000 --> 00:10:36,000
göra firmware över luften eller bortom.
240 00:10:36,000 --> 00:10:38,000
I vissa fall
241 00:10:38,000 --> 00:10:40,000
är det inte möjligt att patcha.
242 00:10:40,000 --> 00:10:42,000
Kanske har du en tajmlig
243 00:10:42,000 --> 00:10:44,000
kritisk system.
244 00:10:44,000 --> 00:10:46,000
Du kan inte tillverka med
245 00:10:46,000 --> 00:10:48,000
en millisekund mellan
246 00:10:48,000 --> 00:10:50,000
version 1 och version 2.
247 00:10:50,000 --> 00:10:52,000
Kanske är dina kunder inte intresserade
248 00:10:52,000 --> 00:10:54,000
av att patcha. De behöver
249 00:10:54,000 --> 00:10:56,000
ha en firmor
250 00:10:56,000 --> 00:10:58,000
utan förlossningar från dag 1.
251 00:10:58,000 --> 00:11:00,000
För de patchar inte
252 00:11:00,000 --> 00:11:02,000
i 25 år.
253 00:11:02,000 --> 00:11:04,000
Hur skulle du
254 00:11:04,000 --> 00:11:06,000
rekommendera en vändare
255 00:11:06,000 --> 00:11:08,000
att sätta upp sin
256 00:11:08,000 --> 00:11:10,000
arkitektur och
257 00:11:10,000 --> 00:11:12,000
utvecklings- och testningsteam för att
258 00:11:12,000 --> 00:11:14,000
uppnå dessa behov?
259 00:11:14,000 --> 00:11:16,000
De är ganska unika.
260 00:11:16,000 --> 00:11:18,000
Det är inte en
261 00:11:18,000 --> 00:11:20,000
lätt fix som alla kan göra.
262 00:11:20,000 --> 00:11:22,000
Ofta måste du
263 00:11:22,000 --> 00:11:24,000
titta på
264 00:11:24,000 --> 00:11:26,000
den exakta produkten,
265 00:11:26,000 --> 00:11:28,000
hur den används,
266 00:11:28,000 --> 00:11:30,000
vad som är tillgängligt för den.
267 00:11:30,000 --> 00:11:32,000
För många av dessa appar som har
268 00:11:32,000 --> 00:11:34,000
intelligens och kommunikation
269 00:11:34,000 --> 00:11:36,000
har möjligheten att uppdatera
270 00:11:36,000 --> 00:11:38,000
firmors behov från en teknologisk perspektiv.
271 00:11:38,000 --> 00:11:40,000
Och det blir väldigt snabbt
272 00:11:40,000 --> 00:11:42,000
en verkligen nödvändighet
273 00:11:42,000 --> 00:11:44,000
från en säkerhetsperspektiv.
274 00:11:44,000 --> 00:11:46,000
En sida-story som är en bra
275 00:11:46,000 --> 00:11:48,000
exempel på det här är
276 00:11:48,000 --> 00:11:50,000
5-6 år sedan när jag började arbeta
277 00:11:50,000 --> 00:11:52,000
med smart meter-vändare
278 00:11:52,000 --> 00:11:54,000
inom energisektorn.
279 00:11:54,000 --> 00:11:56,000
Det här är en av de nya teknologierna
280 00:11:56,000 --> 00:11:58,000
som kom ut.
281 00:11:58,000 --> 00:12:00,000
En ny smart grid-system
282 00:12:00,000 --> 00:12:02,000
som gav nya möjligheter
283 00:12:02,000 --> 00:12:04,000
till en nödvändighet.
284 00:12:04,000 --> 00:12:06,000
De första nödvändiga nödvändiga nödvändiga
285 00:12:06,000 --> 00:12:08,000
nödvändiga nödvändiga nödvändiga
286 00:12:08,000 --> 00:12:10,000
nödvändiga nödvändiga
287 00:12:10,000 --> 00:12:12,000
nödvändiga nödvändiga
288 00:12:12,000 --> 00:12:14,000
nödvändiga nödvändiga
289 00:12:14,000 --> 00:12:16,000
nödvändiga nödvändiga
290 00:12:16,000 --> 00:12:18,000
nödvändiga nödvändiga
291 00:12:18,000 --> 00:12:20,000
nödvändiga nödvändiga
292 00:12:20,000 --> 00:12:22,000
nödvändiga nödvändiga
293 00:12:22,000 --> 00:12:24,000
nödvändiga nödvändiga
294 00:12:24,000 --> 00:12:26,000
nödvändiga
295 00:12:26,000 --> 00:12:28,000
nödvändiga
296 00:12:28,000 --> 00:12:30,000
nödvändiga
297 00:12:30,000 --> 00:12:32,000
nödvändiga
298 00:12:32,000 --> 00:12:34,000
nödvändiga
299 00:12:34,000 --> 00:12:36,000
nödvändiga
300 00:12:36,000 --> 00:12:38,000
nödvändiga
301 00:12:38,000 --> 00:12:40,000
nödvändiga
302 00:12:40,000 --> 00:12:42,000
nödvändiga
303 00:12:42,000 --> 00:12:47,300
smart meter vendors are sending down updates either technological or security related
304 00:12:47,300 --> 00:12:51,620
down on a once a month or once every other month basis.
305 00:12:52,660 --> 00:12:57,060
Much greater than that whole two to three year time period they were declaring before.
306 00:12:57,720 --> 00:13:02,380
And the ability to do a software or firmware update on these devices to meet the current needs
307 00:13:02,380 --> 00:13:08,880
is something that for meters deployed five years ago already don’t support the new cryptography
308 00:13:08,880 --> 00:13:12,200
that many of the vendors have now moved to in the later generations.
309 00:13:12,940 --> 00:13:19,060
And so the first generations can’t be updated software or firmware to the newest generation capabilities
310 00:13:19,060 --> 00:13:24,500
because of changes in the hardware requirements and resources to do the greater cryptography
311 00:13:24,500 --> 00:13:26,100
and security models they’re using now.
312 00:13:26,720 --> 00:13:29,660
Interesting. So one patch a month?
313 00:13:29,660 --> 00:13:35,580
In some cases, yeah. Especially when a utility is in the process of deploying these meters
314 00:13:35,580 --> 00:13:38,660
and for the first six, seven, eight months as they’re deploying them.
315 00:13:38,880 --> 00:13:42,640
They’re working out the bugs and so they’re sending updates much more frequently
316 00:13:42,640 --> 00:13:45,420
than they originally thought they would ever need to send those updates.
317 00:13:45,540 --> 00:13:51,180
We actually talked about patching the firmware for your heating system at home in the last podcast.
318 00:13:51,640 --> 00:13:57,100
This is sort of it. We’re getting to patch Tuesday for your home, for your smart meter, for your appliances.
319 00:13:57,840 --> 00:14:02,220
Oh yeah, and I’ve worked. I’ve done security assessments for smart appliances in our home
320 00:14:02,220 --> 00:14:03,660
and we’re going to have the same problem there.
321 00:14:03,660 --> 00:14:08,540
They all have the capability of sending firmwares down to these new smart appliances that we have.
322 00:14:08,880 --> 00:14:12,920
And the other thing that’s causing the patches, I mentioned security,
323 00:14:13,040 --> 00:14:16,880
but right now the greater concern is the technological capabilities
324 00:14:16,880 --> 00:14:20,020
is because the vendors keep on adding these new features
325 00:14:20,020 --> 00:14:23,460
and customers keep on requesting these new feature sets of these brand new products
326 00:14:23,460 --> 00:14:27,060
that are barely hitting the market and the vendors are adding them
327 00:14:27,060 --> 00:14:29,820
which are requiring more and more patches to add that capability.
328 00:14:29,880 --> 00:14:31,060
Attack vectors increase?
329 00:14:31,060 --> 00:14:33,820
Of course. Add functionality, you’re adding attack vectors.
330 00:14:34,960 --> 00:14:38,060
So basically, if you’re a vendor producing…
331 00:14:38,880 --> 00:14:45,380
ICS systems that cannot be patched due to production requirements and timing and stuff,
332 00:14:45,380 --> 00:14:47,380
then you’re dead.
333 00:14:47,380 --> 00:14:51,120
I think in the future that’s going to become more realistic.
334 00:14:51,120 --> 00:14:58,040
Right now, the reality is that most control system devices, even if it can be patched,
335 00:14:58,040 --> 00:15:01,040
aren’t being patched. Even if the vendor provides a patch,
336 00:15:01,040 --> 00:15:06,320
the utilities and the asset owners may not hear or be informed about the patch
337 00:15:06,320 --> 00:15:08,320
or if they are, they may choose not to deploy it
338 00:15:08,320 --> 00:15:10,320
because of the risk of damaging the system.
339 00:15:10,320 --> 00:15:16,320
It’s one thing to deploy a Microsoft patch to a workstation of a company,
340 00:15:16,320 --> 00:15:20,320
a random workstation of a 12,000 individual company,
341 00:15:20,320 --> 00:15:24,320
but it’s quite another thing to patch your substation
342 00:15:24,320 --> 00:15:28,320
that’s controlling the power for Stockholm.
343 00:15:28,320 --> 00:15:32,320
You know, the risk profile is slightly different there.
344 00:15:32,320 --> 00:15:38,320
And I guess the test system, isn’t that available as well?
345 00:15:38,320 --> 00:15:40,320
Yes, that’s a common problem.
346 00:15:40,320 --> 00:15:42,320
If you think of the challenges for anybody that works in IT,
347 00:15:42,320 --> 00:15:44,320
especially that does testing in IT,
348 00:15:44,320 --> 00:15:47,320
if trying to do a pen test of a web application,
349 00:15:47,320 --> 00:15:50,320
the fact that I have to do it 90% of the time in production,
350 00:15:50,320 --> 00:15:55,320
and that even if they do provide a testing environment for me to do the testing,
351 00:15:55,320 --> 00:15:57,320
that it’s a broken testing environment,
352 00:15:57,320 --> 00:15:59,320
if they can’t do it right in IT,
353 00:15:59,320 --> 00:16:03,320
where the complexity of the software might be more complex,
354 00:16:03,320 --> 00:16:06,320
but the complexity of the configuration,
355 00:16:06,320 --> 00:16:08,320
of the esoteric knowledge,
356 00:16:08,320 --> 00:16:11,320
is so much more common in web,
357 00:16:11,320 --> 00:16:13,320
if they can’t do it there,
358 00:16:13,320 --> 00:16:17,320
a complex system that’s been custom designed for a single client,
359 00:16:17,320 --> 00:16:18,320
for a single purpose,
360 00:16:18,320 --> 00:16:20,320
trying to do that inside of testing.
361 00:16:20,320 --> 00:16:23,320
We normally refuse to test in production.
362 00:16:23,320 --> 00:16:26,320
Really? Even for web pen testing?
363 00:16:26,320 --> 00:16:31,320
Wow, because literally 90% of every web pen test I’ve ever done in my life,
364 00:16:31,320 --> 00:16:35,320
over the last 13 years that I’ve been working in security,
365 00:16:35,320 --> 00:16:38,320
90% of the time it’s production.
366 00:16:38,320 --> 00:16:41,320
Normally you don’t wreck the system,
367 00:16:41,320 --> 00:16:43,320
but you will taint the system.
368 00:16:43,320 --> 00:16:46,320
You corrupt the database. It’s a given in web pen testing.
369 00:16:46,320 --> 00:16:49,320
Exactly. And the customer won’t understand that.
370 00:16:49,320 --> 00:16:51,320
We could tell him over and over again,
371 00:16:51,320 --> 00:16:56,320
he won’t understand until he really sees the fact that the database is corrupt,
372 00:16:56,320 --> 00:16:58,320
and then he will get angry.
373 00:16:58,320 --> 00:17:01,320
So he says, no, he can sign like 10 papers,
374 00:17:01,320 --> 00:17:03,320
we won’t test in production.
375 00:17:03,320 --> 00:17:07,320
We need at least a staging environment or a testing system.
376 00:17:08,320 --> 00:17:12,320
Okay, so we’re going to stay for the next two days in Black Hat?
377 00:17:12,320 --> 00:17:14,320
I’ll be here for most of it, yes.
378 00:17:14,320 --> 00:17:17,320
So what’s your briefing tomorrow?
379 00:17:17,320 --> 00:17:19,320
What are you most excited to see?
380 00:17:19,320 --> 00:17:22,320
Actually, it’s one of the workshops we’re doing tomorrow.
381 00:17:22,320 --> 00:17:24,320
It’s on the Canvas protocol.
382 00:17:24,320 --> 00:17:27,320
See you there. That’s one of my favorites.
383 00:17:27,320 --> 00:17:30,320
I’m really disappointed because that means I’m going to miss
384 00:17:30,320 --> 00:17:34,320
Don Andrew Bailey’s talk about M2M risk assessment.
385 00:17:34,320 --> 00:17:36,320
Yes, that would be great.
386 00:17:36,320 --> 00:17:40,320
But the Vehicle Network Workshop, that’s number one for me.
387 00:17:40,320 --> 00:17:42,320
Yes, excellent.
388 00:17:42,320 --> 00:17:45,320
Thank you for this interview, and we’ll see you tomorrow then.
389 00:17:45,320 --> 00:17:47,320
All right, sounds good. See you.