Ασφαλής διακίνηση και επεξεργασία ροών δεδομένων στον κυβερνοχώρο

Abstract

In this PhD thesis, the security enhancement of SCADA (Supervisory Control and Data Acquisition) systems is presented, which constitute- and frame- critical industrial and energy infrastructures. SCADAs monitor and control operations, detect malfunctions and often take corrective measures. However, their connection to the Internet makes them vulnerable to various attacks, such as data interception, malicious modifications, measurement corruption and denial of service (DoS) attacks. The research focuses on the use of cryptographic mechanisms with the aim of encrypting data, identifying devices and ensuring communication integrity. Due to the limited computing resources in sensors and embedded systems, Elliptic Curve Cryptography (ECC) is proposed, which offers a high level of security with smaller key sizes and lower power and memory requirements, in contrast to conventional systems, such as RSA. In this context, the ECC library was integrated with Modbus, a popular SCADA communication protocol, and experimental tests were carried out to evaluate its effectiveness in real-world conditions. Furthermore, the research examined the growing importance of data flows on the World Wide Web, especially when industrial infrastructures use microservices for data processing, movement and storage. The need to ensure confidentiality and identification of transacting parties is raised. For this purpose, modern cryptographic tools are used that are building blocks for complex schemes, with an emphasis on Secure Multi-Party Computation (MPC). Linear Algebra is integrated with MPC to ensure privacy in computational processes, as a key tool in sensitive data processing. Specifically, the research examines the implementation of the BLAS (Basic Linear Algebra Subprograms) interface in MPC, with the aim of almost immediately replacing the widespread CBLAS interface. Existing MPC frameworks (Level 1) were evaluated. Security challenges in Web data flows always focus on the confidentiality-integrity-availability triad. The data flow from sources to sinks is analyzed, as well as security measures that include information flow control policies, encryption, access control, and network surveillance. Emphasis is placed on common threats, such as SQL Injection and Cross-Site Scripting (XSS) attacks. A new method for detecting such attacks without a firewall is proposed, leveraging custom Nginx Reverse Proxy and Suricata NIDS/IPS protocols, thus reducing network costs and enhancing security.

Στην παρούσα διδακτορική διατριβή, παρουσιάζεται η ενίσχυση της ασφάλειας των συστημάτων SCADA (Supervisory Control and Data Acquisition, Συστήματα Εποπτικού Ελέγχου και Συλλογής Δεδομένων), τα οποία αποτελούν- αλλά και πλαισιώνουν- κρίσιμες βιομηχανικές και ενεργειακές υποδομές. Τα SCADA παρακολουθούν και ελέγχουν λειτουργίες, ανιχνεύουν δυσλειτουργίες και συχνά λαμβάνουν διορθωτικά μέτρα. Ωστόσο, η σύνδεση τους με το Διαδίκτυο τα καθιστά ευάλωτα σε ποικίλες επιθέσεις, όπως υποκλοπή δεδομένων, κακόβουλες τροποποιήσεις, αλλοίωση μετρήσεων και επιθέσεις άρνησης υπηρεσίας (DoS). Η έρευνα επικεντρώνεται στη χρήση κρυπτογραφικών μηχανισμών με στόχο την κρυπτογράφηση δεδομένων, την ταυτοποίηση συσκευών και τη διασφάλιση της ακεραιότητας επικοινωνίας. Λόγω των περιορισμένων υπολογιστικών πόρων σε αισθητήρες και ενσωματωμένα συστήματα, προτείνεται η Κρυπτογραφία Ελλειπτικών Καμπυλών (ECC), η οποία προσφέρει υψηλό επίπεδο ασφάλειας με μικρότερα μεγέθη κλειδιών και χαμηλότερες απαιτήσεις σε ισχύ και μνήμη, σε αντίθεση με συμβατικά συστήματα, όπως το RSA. Στο πλαίσιο αυτό, ενσωματώθηκε η βιβλιοθήκη ECC με το Modbus, ένα δημοφιλές πρωτόκολλο επικοινωνίας των SCADA, και πραγματοποιήθηκαν πειραματικές δοκιμές για την αξιολόγηση της αποτελεσματικότητας του σε πραγματικές συνθήκες. Περαιτέρω, η έρευνα εξέτασε την αυξανόμενη σημασία των ροών δεδομένων στον Παγκόσμιο Ιστό, ειδικά όταν οι βιομηχανικές υποδομές χρησιμοποιούν μικροϋπηρεσίες για την επεξεργασία, διακίνηση και αποθήκευση δεδομένων. Τίθεται η ανάγκη διασφάλισης εμπιστευτικότητας και ταυτοποίησης συναλλασσόμενων μερών. Για τον σκοπό αυτό, χρησιμοποιούνται σύγχρονα κρυπτογραφικά εργαλεία που αποτελούν δομικά στοιχεία για πολύπλοκα σχήματα, με έμφαση στον Ασφαλή Πολυμερή Υπολογισμό (Multi-Party Computation, MPC). Η Γραμμική Άλγεβρα ενσωματώνεται με το MPC ώστε να εξασφαλίζεται ιδιωτικότητα στις υπολογιστικές διαδικασίες, ως βασικό εργαλείο σε επεξεργασίας ευαίσθητων δεδομένων. Συγκεκριμένα, η έρευνα εξετάζει την εφαρμογή της διεπαφής BLAS (Basic Linear Algebra Subprograms) στον MPC, με στόχο να αντικαταστήσει σχεδόν άμεσα τη διαδεδομένη διεπαφή CBLAS. Αξιολογήθηκαν υπάρχοντα πλαίσια MPC (Επιπέδου 1). Οι προκλήσεις ασφάλειας στις ροές δεδομένων του Ιστού, εστιάζουν πάντα στο τρίπτυχο εμπιστευτικότητα-ακεραιότητα-διαθεσιμότητα. Αναλύεται η ροή δεδομένων από πηγές σε απορροές, καθώς και τα μέτρα ασφάλειας που περιλαμβάνουν πολιτικές ελέγχου ροής πληροφοριών, κρυπτογράφηση, έλεγχο πρόσβασης και επιτήρηση δικτύου. Ιδιαίτερη έμφαση δίνεται σε κοινές απειλές, όπως οι επιθέσεις SQL Injection και Cross-Site Scripting (XSS). Προτάθηκε μια νέα μέθοδος ανίχνευσης τέτοιων επιθέσεων χωρίς τείχος προστασίας, αξιοποιώντας προσαρμοσμένα πρωτόκολλα Nginx Reverse Proxy και Suricata NIDS/IPS, μειώνοντας έτσι το κόστος δικτύου και ενισχύοντας την ασφάλεια.