Post on 15-Apr-2017
6 sposobów Na przejęcie kontroli nad siecią przemysłową
Darmowe webinarium, 8.12.2015
2
www.skk.com.pl www.securing.pl
Ryzyko, profile i cele intruzów
Wstęp
1
Jak minimalizować ryzyko
Podsumowanie
3
Omówienie rodzajów ataków na przykładach
Rodzaje ataków
2
Agenda
3
www.skk.com.pl www.securing.pl
Sławomir Jasek
Ekspert ds. bezpieczeństwa (SecuRing)
Konsultant bezpieczeństwa IT w firmie SecuRing. Od 2003 roku (kilkaset projektów). Bezpieczeństwo aplikacji www, mobilnych, embedded, IoT, sieci i systemów.
Prelegenci
4
www.skk.com.pl www.securing.pl
Jakub Szarata
Dyrektor Działu Systemów Sieciowych
Ekspert w zakresie systemów sieciowych. Posiada kilkunastoletnie doświadczenie we wdrożeniach i modernizacjach sieci w przedsiębiorstwach produkcyjnych i magazynowych. Brał udział w wielu projektach dla firm takich jak - Ceramika Paradyż, LOT, Grupa Polskie Składy Budowlane, DPD, Saint Gobain, Rhenus Logistics,
Suedzucker Polska.
Prelegenci
5
Ryzyko – skutki ataku?
• Straty finansowe, utrata wizerunku
• Brak dostępności, dezorganizacja pracy
• Wypadek, utrata zdrowia lub życia pracowników
• Kary, procesy sądowe
• ...
6
www.skk.com.pl www.securing.pl
Kto mógłby zaatakować?
„grubszy cwaniak” „script-kiddie” Krzysztof Jarzyna ze Szczecina
Dorwał się do narzędzi, wali na oślep, zwykle nie bardzo rozumiejąc co się dzieje.
Coś mu się przypadkiem udało (lub nie), i afera gotowa.
Ma motywację, zasoby oraz możliwości przeprowadzenia ataku nakierowanego
7
Motywacje ataku
• Czysta ludzka złośliwość.
• Dla sławy!
• Dla satysfakcji.
• "Cyberwojna", "hacktywizm".
• Dla pieniędzy.
• ...
nie zawsze finansowe
(CC) https://www.flickr.com/photos/viirok/2498157861
8
www.skk.com.pl www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
Typowa architektura
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
Atak z Internetu
10
www.skk.com.pl www.securing.pl
• Interfejsy administracyjne, błędy konfiguracji, proste hasła...
• Usługi publicznie widoczne w Internecie (poczta, www, vpn...)
Trywialne do namierzenia przez automatyczne skanery, oraz do przejęcia - jeśli są nieaktualne, źle skonfigurowane, z domyślnymi hasłami...
Atak z Internetu?
www.tenable.com
11
www.skk.com.pl www.securing.pl
Human Machine Interface
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
Dodatkowy ruter?
12
www.skk.com.pl www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
VPN
VPN?
13
www.skk.com.pl www.securing.pl
Sieci VPN
• Kto i jak może się połączyć do VPN?
• Czy przypadkiem nie da się zgadnąć lub przechwycić hasła?
• Jakie usługi, VLAN-y są dostępne przez VPN?
• VPN łączący różne lokalizacje: • Prawidłowa konfiguracja?
• Czy intruz nie może przerwać połączenia?
• Czy jest łącze zapasowe?
14
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
VPN
?
VPN?
15
www.skk.com.pl www.securing.pl
Backdoor
• Prawdziwy przypadek u jednego z Klientów
16
www.skk.com.pl www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
Atak na stację w LAN
17
www.skk.com.pl www.securing.pl
Atak na stację w LAN
Atak masowy, przypadkowy
• Phishing, wroga strona, nieaktualne oprogramowanie, wirusy, malware, załącznik, pendrive...
Ataki nakierowane
• Socjotechniczne na pracowników
• Wykorzystujące słabości konkretnych konfiguracji
18
www.skk.com.pl www.securing.pl
LAN – granice zaufania
• LAN już nie może być traktowany jako sieć zaufana
• Ujawnione przypadki ataku na największe firmy, również te profesjonalnie zajmujące się bezpieczeństwem
https://blog.kaspersky.co.uk/kaspersky-statement-duqu-attack/
19
www.skk.com.pl www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
Sieci bezprzewodowe
20
Przejęcie telefonu
• Smartfon to zaawansowany komputer
• Może być przejęty (brak aktualizacji, instalacja oprogramowania z niepewnych źródeł)
• Jeśli zostanie podłączony do firmowej sieci wifi – wówczas intruz może się również do niej dostać
• Nowe aplikacje mobilne, interfejsy do sterowania urządzeniami – większe ryzyko
21
www.skk.com.pl www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
Przejęty telefon
22
www.skk.com.pl www.securing.pl
Intruz w LAN – i co z tego?
• Atak masowy – np. szuka w historii przeglądarki bankowości internetowej, próbuje ją przejąć
• Będzie chciał spieniężyć dostęp – np. zaatakuje księgowość, spróbuje przekierować przelew na swoje konto, przejąć dostęp do bankowości elektronicznej
• Będąc w sieci LAN może również wpłynąć na decyzje biznesowe, zlecić rekonfigurację urządzeń, przekierować dostawy, ukraść poufne dane, wpłynąć na nasz wizerunek...
• Czy na pewno nie dostanie się do sieci przemysłowej?
23
www.skk.com.pl www.securing.pl
Np. stany magazynowe, statystyki do BI/ERP
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna Logiczna separacja
"Druga noga" do sieci LAN
Wyjątki od separacji?
24
www.skk.com.pl www.securing.pl
Malware przemysłowe?
• Moduły trojanów automatycznie wyszukujące wszystkie dostępne interfejsy sterowania urządzeniami przemysłowymi.
• Ujawniono wiele przypadków wrogiego przejęcia strony www producentów urządzeń, oraz podmiany plików oprogramowania na wersje z trojanem.
Więcej informacji: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A https://www.f-secure.com/weblog/archives/00002718.html
25
www.skk.com.pl www.securing.pl
Separacja dla zdeterminowanego intruza i tak możliwa do obejścia
http://www.cnet.com/news/stuxnet-delivered-to-iranian-nuclear-plant-on-thumb-drive/
26
Sieć przemysłowa
• IT: "To nie moja działka, nie wiem co tam się dzieje"
• Automatycy: "Bezpieczeństwo sieci???"
27
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna(?) separacja
Wifi w sieci przemysłowej
28
To ile macie czytników?
• Prawdziwy przypadek u jednego z Klientów: telefony pracowników podłączone do sieci produkcyjnej.
29
www.skk.com.pl www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna(?) separacja
Dedykowane radio np. 433, 868 Mhz
Bezprzewodowo = Wifi?
30
www.skk.com.pl www.securing.pl
Analiza zastrzeżonych sygnałów radiowych
• Już nie potrzeba drogiego, specjalistycznego sprzętu.
• Karta TV USB ~ 40 PLN.
• Odbiera sygnał w wersji "surowej" na wszystkich interesujących częstotliwościach (52 – 2200 Mhz).
• Darmowe oprogramowanie potrafi przetworzyć i zdekodować sygnał.
31
www.skk.com.pl www.securing.pl
Publiczna lista częstotliwości
http://www.uke.gov.pl/pozwolenia-radiowe-dla-klasycznych-sieci-radiokomunikacji-ruchomej-ladowej-5458
32
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
INTERNET
inna lokalizacja Zdalne połączenie, np. GSM
Zdalne interfejsy?
Zdalny dostęp serwisowy?
33
www.skk.com.pl www.securing.pl
• Automaty na bieżąco przeszukują cały Internet
• Skatalogowane, łatwe do wyszukiwania wyniki – wg typu urządzenia, kraju, lokalizacji...
Publiczne interfejsy urządzeń?
34
www.skk.com.pl www.securing.pl
Publiczne interfejsy urządzeń?
http://www.tripwire.com/state-of-security/incident-detection/dhs-confirms-u-s-public-utilitys-control-system-was-hacked/
http://www.pcworld.com/article/244359/water_utility_hacked_are_our_scada_systems_at_risk_.html
https://threatpost.com/ics-cert-confirms-public-utility-compromised-recently/106202/
35
www.skk.com.pl www.securing.pl
Czujnik dostępny zdalnie z Internetu. Łatwy do namierzenia przez skaner automatyczny przeszukujący cały Internet. "To tylko czujnik"? Intruz może: • zmienić wskazania -> braknie paliwa • zasymulować wyciek -> zamknięcie stacji
http://arstechnica.com/security/2015/01/internet-attack-could-shut-down-us-gasoline-stations/ https://community.rapid7.com/community/infosec/blog/2015/01/22/the-internet-of-gas-station-tank-gauges
Czujniki na stacjach benzynowych
36
www.skk.com.pl www.securing.pl
Interfejsy Modbus-TCP
37
www.skk.com.pl www.securing.pl
Interfejsy Modbus-TCP
38
www.skk.com.pl www.securing.pl
Interfejsy Modbus-TCP
39
www.skk.com.pl www.securing.pl
Podatności w urządzeniach
40
www.skk.com.pl www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System, Historian DB...
Ruter/firewall
Fizyczna separacja
Terminale?
41 Dostęp fizyczny
Czy dostęp do szafek, przewodów, urządzeń jest odpowiednio ograniczony?
42 Dostęp fizyczny
Czy ktoś by zauważył taką dodatkową wtyczkę z wbudowanym ruterem? Czy ktoś by ją wyciągnął gdyby była podpisana "IT, nie rozłączać"?
43 Dostęp fizyczny
Czy ktoś by zauważył taką dodatkową wtyczkę z wbudowanym ruterem? Czy ktoś by ją wyciągnął gdyby była podpisana "IT, nie rozłączać"?
44
www.skk.com.pl www.securing.pl
Co możemy zrobić?
• Skatalogowanie wszystkich zasobów, usług, łączy, procesów, przepływów danych. • Modelowanie zagrożeń, analiza ryzyka. • Skuteczna segmentacja przez wiele warstw zabezpieczeń. • Wyłączenie nadmiarowych usług, konfiguracja dostępu zgodnie z zasadą
najmniejszych przywilejów. • Identyfikacja i bieżące usuwanie podatności w poszczególnych komponentach
(aktualizacje, błędy w oprogramowaniu i konfiguracji). • Działające bezpieczeństwo fizyczne. • Przygotowanie na wypadek niedostępności (redundancja, backup...). • Dostosowanie zabezpieczeń do potrzeb użytkowników. • Podnoszenie świadomości pracowników.
Pytania?
46
www.skk.com.pl www.securing.pl
Prowadzący Sławomir Jasek: slawomir.jasek@securing.pl
Jakub Szarata: jakub.szarata@skk.com.pl
Kontakt SKK S.A.
12 29 32 700
zapytanie@skk.com.pl
Dziękujemy za uwagę