Twee weken tot Aspect


Het schiet op, Aspect 2019 start in minder dan twee weken. Op 22 oktober hebben we de introductiedag! Het programma staat vast, voor zover er geen sprekers het vliegtuig gaan missen….We testen nu de App.

Architecturen voor Cybersecure Systemen

Architecturen voor Cybersecure Systemen
Open netwerken

Een van de meest voorkomende aanbevelingen en strategieën op het gebied van Cybersecurity is het scheiden van de applicatie en de communicatie lagen. De gedachte daarachter is dat als het lukt de communicatie laag “transparant te maken” voor de applicatie, je bij een security incident in de communicatie laag die laag kunt vervangen zonder de functionele eigenschappen en dus de (spoorweg)veiligheid van de applicatie aan te tasten. In theorie moeten dan ook de safety case en de certificaten voor de applicatie onafhankelijk van de communicatie laag zijn.
Dit principe paste men voor het eerst toe in ERTMS in de communicatie tussen baan en trein. De
Euroradio laag moest de datacommunicatie tussen baan en trein door middel van cryptografie beschermen tegen vervalsingen van berichten en daarmee onafhankelijk maken van het GSM-R kanaal.
In 2013 zien we dit principe terug in het KISA (Kommunikations Infrastruktur fur Sicherheitskritische Anwendungen) concept van Deutsche Bahn (DB Netze om precies te zijn):
kisa-architectuur
KISA concept, (c) DB Netze, uit 'Kan man sich geschlossene Netze noch leisten?", 2013


De communicatie tussen de Betriebszentrale (Traffic Management Systeem) en de Unterzentrale (bijv. een interlocking of een RBC) verloopt via een open netwerk en wordt beschermd en bewaakt door het KISA Sicherheitscenter. De gedachte daarbij is dat je de beste netwerkencryptie koopt die je kunt betalen (“military grade”). Ooit zal die wel worden gekraakt en dan moet je die zo snel mogelijk vervangen door een betere die er tegen die tijd dan hopelijk is. Het TMS, de Interlocking en het RBC worden niet vervangen, alleen de modems en routers waarmee ze aan het netwerk hangen.
Ook vandaag de dag worden deze aanbevelingen gedaan voor ERTMS, bijv naar aanleiding van de kritiek van het het Bureau Informatie Technologie (BIT) op de zwakke cybersecurity analyse van ERTMS.
Bij de implementatie van Euroradio en GSM-R in ERTMS is het niet echt gelukt deze strakke scheiding met standaard interfaces aan te houden. Daarbij komt dat deze architectuur wel beschermt tegen vervalsing, intrusion en dergelijke risico’s, maar niet tegen denial of service aanvallen. Om het treinverkeer stil te leggen is het immers helemaal niet nodig berichtenverkeer te onderscheppen of te vervalsen. Als de communicatie tussen baan en trein wordt onderbroken stopt na een enkele minuut de trein vanzelf. Dat is nu juist een gevolg van veiligheidsvoorwaarde in het ontwerp van het ERTMS systeem. Met een simpele jamming aanval leg je het radioverkeer plat. Dat is in 2015 al beschreven en gedemonstreerd in het UIC Secret project. Elke GSM-R mast is dus een “attack vector” voor kwaadwilligen.
Een ander bezwaar is dat deze architectuur aanbevelingen alleen realiseerbaar is in moderne systeemarchitecturen die op IT platformen en open communicatie standaarden zijn gebaseerd. Maar voor oudere systemen met niet-standaard communicatie verbindingen, denk in Nederland aan EBS en VPI, lukt dat niet zomaar. En toch zullen die ook steeds meer over open netwerken moeten gaan communiceren, al was het maar omdat als die eigen, specifieke en zogenaamd gesloten, netwerken niet meer te betalen en onderhouden zullen worden, of al zijn.

Links en literatuur:
http://www.secret-project.eu/IMG/pdf/white_paper_security_of_railway-against_em_attacks.pdf
http://www.cyrail.eu/IMG/pdf/final_recommendations_cyrail.pdf
https://www.commoncriteriaportal.org/files/ppfiles/pp0085a_pdf.pdf
Kann man sich geschlossene Netze noch leisten?, 13. Internationaler SIGNAL+DRAHT – Kongress, 2013




Signal Audible Fixe

Appareils de Sécurité et Signaux de Chemins de Fer
signal audible fixe
Het spoorwegmuseum verkocht tijdens de Modeltrain Expo 2019 overtollige boeken uit haar bibliotheek. Ik pikte er voor 1 euro een boekje uit 1878 op. Een vertaling in het frans van twee hoofdstukken uit “Railway Appliances” van John Wolfe Barry. Het zal wel een vorm van adverteren op de Belgische markt geweest zijn.
Het boekje beschrijft allerlei seinen en beveiligingsapapratuur, waaronder knalseinen als waarschuwing bij mist, en beschrijft dan dat er proeven gedaan worden met middelen die bij het passeren van een onveilig sein op de locomotief met de fluit of een bel de machinist kunnen waarschuwen. Een hele vroege vorm van ATB dus. Het kan een waardevolle aanvulling zijn op optische seinen, meent de auteur, maar het is onwaarschijnlijk dat ze die ooit zullen vervangen, want optische seinen zijn toch veel robuuster en simpeler. En ook hier de constatering dat je om effectief te zijn, er wel eerst de hele vloot en de locomotieven van andere maatschappijen die op jouw net komen mee moet uitrusten.

Een Braam gevonden

Soms is de informatie die je zoekt dichterbij dan je denkt. Zoals in de boekenkast. In “Spoorwegongevallen in Nederland” 1839-1993 heeft Jongerius in het stukje “ATB anno 1900” een heel stuk gewijd aan de beproeving bij de Staatsspoorwegen van het Stelsel van Braam en ook aan de proeven met het Drivers Cab Signal trouwens. Hoofdstuk 7, blz 84 ev. voor de liefhebber van zacht fruit in het seinwezen.
vroeg patent
In de octrooien databases vind je uit de periode 1901-1913 ongeveer 33 patenten voor de onderdelen van dit systeem in Frankrijk, Duitsland, Spanje, Zwitserland, Groot-Brittannië en de VS. Een aantal betreft verbeteringen van die onderdelen. Ze staan op naam van “Jacques-Pierre de Braam” die de Nederlandse nationaliteit heeft. Merkwaardig dat “de Braam” terwijl het systeem het “système van Braam” wordt genoemd. Misschien beter voor de zaken in Frankrijk, of chiquer die verfransing?
ste-generale-des-appareils-de-securite-pour-les-chemins-de-fer-systeme-van-braam
Van Braam richtte zijn bedrijf, “Société Générale des Appareils de Sécurité de Chemins de Fer, Systéme van Braam” in 1902 op en in 1924 ging het failliet, de proeven hadden niet tot acceptatie en bredere invoering van het système geleid. De elektrische en inductieve train stop systemen, zoals de crocodile, de GWR ATC en Indusi hadden het gewonnen van de storingsgevoelige mechanische systemen.

ATB anno 1900

van braam-jongerius
De meest uitgebreide beschrijving van de toepassingen in Nederland van het systeem van Braam en het Drivers Cab Signal tot nu toe vinden we bij R.T. Jongerius in "Spoorwegongevallen in Nederland 1839-1993". Hoofdstuk 7, "ATB anno 1900" blz. 84-90.