Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie

6 sposobów Na przejęcie kontroli nad siecią przemysłową

Darmowe webinarium, 8.12.2015

2

www.skk.com.pl www.securing.pl

Ryzyko, profile i cele intruzów

Wstęp

1

Jak minimalizować ryzyko

Podsumowanie

3

Omówienie rodzajów ataków na przykładach

Rodzaje ataków

2

Agenda

3


Sławomir Jasek

Ekspert ds. bezpieczeństwa (SecuRing)

Konsultant bezpieczeństwa IT w firmie SecuRing. Od 2003 roku (kilkaset projektów). Bezpieczeństwo aplikacji www, mobilnych, embedded, IoT, sieci i systemów.

Prelegenci

4


Jakub Szarata

Dyrektor Działu Systemów Sieciowych

Ekspert w zakresie systemów sieciowych. Posiada kilkunastoletnie doświadczenie we wdrożeniach i modernizacjach sieci w przedsiębiorstwach produkcyjnych i magazynowych. Brał udział w wielu projektach dla firm takich jak - Ceramika Paradyż, LOT, Grupa Polskie Składy Budowlane, DPD, Saint Gobain, Rhenus Logistics,

Suedzucker Polska.

Prelegenci

5

Ryzyko – skutki ataku?

• Straty finansowe, utrata wizerunku

• Brak dostępności, dezorganizacja pracy

• Wypadek, utrata zdrowia lub życia pracowników

• Kary, procesy sądowe

• ...

6


Kto mógłby zaatakować?

„grubszy cwaniak” „script-kiddie” Krzysztof Jarzyna ze Szczecina

Dorwał się do narzędzi, wali na oślep, zwykle nie bardzo rozumiejąc co się dzieje.

Coś mu się przypadkiem udało (lub nie), i afera gotowa.

Ma motywację, zasoby oraz możliwości przeprowadzenia ataku nakierowanego

7

Motywacje ataku

• Czysta ludzka złośliwość.

• Dla sławy!

• Dla satysfakcji.

• "Cyberwojna", "hacktywizm".

• Dla pieniędzy.

• ...

nie zawsze finansowe

(CC) https://www.flickr.com/photos/viirok/2498157861

8


Human Machine Interface

Elementy wykonawcze, czujniki.

INTERNET

Remote Terminal Unit

LAN

Serwery

Supervisory Control System, Historian DB...

Ruter/firewall

Fizyczna separacja

Typowa architektura



INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

Atak z Internetu

10


• Interfejsy administracyjne, błędy konfiguracji, proste hasła...

• Usługi publicznie widoczne w Internecie (poczta, www, vpn...)

Trywialne do namierzenia przez automatyczne skanery, oraz do przejęcia - jeśli są nieaktualne, źle skonfigurowane, z domyślnymi hasłami...

Atak z Internetu?

www.tenable.com

11



INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

Dodatkowy ruter?

12




INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

VPN

VPN?

13


Sieci VPN

• Kto i jak może się połączyć do VPN?

• Czy przypadkiem nie da się zgadnąć lub przechwycić hasła?

• Jakie usługi, VLAN-y są dostępne przez VPN?

• VPN łączący różne lokalizacje: • Prawidłowa konfiguracja?

• Czy intruz nie może przerwać połączenia?

• Czy jest łącze zapasowe?

14



INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

VPN

?

VPN?

15


Backdoor

• Prawdziwy przypadek u jednego z Klientów

16




INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

Atak na stację w LAN

17


Atak na stację w LAN

Atak masowy, przypadkowy

• Phishing, wroga strona, nieaktualne oprogramowanie, wirusy, malware, załącznik, pendrive...

Ataki nakierowane

• Socjotechniczne na pracowników

• Wykorzystujące słabości konkretnych konfiguracji

18


LAN – granice zaufania

• LAN już nie może być traktowany jako sieć zaufana

• Ujawnione przypadki ataku na największe firmy, również te profesjonalnie zajmujące się bezpieczeństwem

https://blog.kaspersky.co.uk/kaspersky-statement-duqu-attack/

19




INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

Sieci bezprzewodowe

20

Przejęcie telefonu

• Smartfon to zaawansowany komputer

• Może być przejęty (brak aktualizacji, instalacja oprogramowania z niepewnych źródeł)

• Jeśli zostanie podłączony do firmowej sieci wifi – wówczas intruz może się również do niej dostać

• Nowe aplikacje mobilne, interfejsy do sterowania urządzeniami – większe ryzyko

21




INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

Przejęty telefon

22


Intruz w LAN – i co z tego?

• Atak masowy – np. szuka w historii przeglądarki bankowości internetowej, próbuje ją przejąć

• Będzie chciał spieniężyć dostęp – np. zaatakuje księgowość, spróbuje przekierować przelew na swoje konto, przejąć dostęp do bankowości elektronicznej

• Będąc w sieci LAN może również wpłynąć na decyzje biznesowe, zlecić rekonfigurację urządzeń, przekierować dostawy, ukraść poufne dane, wpłynąć na nasz wizerunek...

• Czy na pewno nie dostanie się do sieci przemysłowej?

23


Np. stany magazynowe, statystyki do BI/ERP



INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna Logiczna separacja

"Druga noga" do sieci LAN

Wyjątki od separacji?

24


Malware przemysłowe?

• Moduły trojanów automatycznie wyszukujące wszystkie dostępne interfejsy sterowania urządzeniami przemysłowymi.

• Ujawniono wiele przypadków wrogiego przejęcia strony www producentów urządzeń, oraz podmiany plików oprogramowania na wersje z trojanem.

Więcej informacji: https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A https://www.f-secure.com/weblog/archives/00002718.html

25


Separacja dla zdeterminowanego intruza i tak możliwa do obejścia

http://www.cnet.com/news/stuxnet-delivered-to-iranian-nuclear-plant-on-thumb-drive/

26

Sieć przemysłowa

• IT: "To nie moja działka, nie wiem co tam się dzieje"

• Automatycy: "Bezpieczeństwo sieci???"

27



INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna(?) separacja

Wifi w sieci przemysłowej

28

To ile macie czytników?

• Prawdziwy przypadek u jednego z Klientów: telefony pracowników podłączone do sieci produkcyjnej.

29




INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna(?) separacja

Dedykowane radio np. 433, 868 Mhz

Bezprzewodowo = Wifi?

30


Analiza zastrzeżonych sygnałów radiowych

• Już nie potrzeba drogiego, specjalistycznego sprzętu.

• Karta TV USB ~ 40 PLN.

• Odbiera sygnał w wersji "surowej" na wszystkich interesujących częstotliwościach (52 – 2200 Mhz).

• Darmowe oprogramowanie potrafi przetworzyć i zdekodować sygnał.

31


Publiczna lista częstotliwości

http://www.uke.gov.pl/pozwolenia-radiowe-dla-klasycznych-sieci-radiokomunikacji-ruchomej-ladowej-5458

32



INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

INTERNET

inna lokalizacja Zdalne połączenie, np. GSM

Zdalne interfejsy?

Zdalny dostęp serwisowy?

33


• Automaty na bieżąco przeszukują cały Internet

• Skatalogowane, łatwe do wyszukiwania wyniki – wg typu urządzenia, kraju, lokalizacji...

Publiczne interfejsy urządzeń?

34


Publiczne interfejsy urządzeń?

http://www.tripwire.com/state-of-security/incident-detection/dhs-confirms-u-s-public-utilitys-control-system-was-hacked/

http://www.pcworld.com/article/244359/water_utility_hacked_are_our_scada_systems_at_risk_.html

https://threatpost.com/ics-cert-confirms-public-utility-compromised-recently/106202/

35


Czujnik dostępny zdalnie z Internetu. Łatwy do namierzenia przez skaner automatyczny przeszukujący cały Internet. "To tylko czujnik"? Intruz może: • zmienić wskazania -> braknie paliwa • zasymulować wyciek -> zamknięcie stacji

http://arstechnica.com/security/2015/01/internet-attack-could-shut-down-us-gasoline-stations/ https://community.rapid7.com/community/infosec/blog/2015/01/22/the-internet-of-gas-station-tank-gauges

Czujniki na stacjach benzynowych

36


Interfejsy Modbus-TCP

37



38



39


Podatności w urządzeniach

40




INTERNET


LAN

Serwery


Ruter/firewall

Fizyczna separacja

Terminale?

41 Dostęp fizyczny

Czy dostęp do szafek, przewodów, urządzeń jest odpowiednio ograniczony?

42 Dostęp fizyczny

Czy ktoś by zauważył taką dodatkową wtyczkę z wbudowanym ruterem? Czy ktoś by ją wyciągnął gdyby była podpisana "IT, nie rozłączać"?

43 Dostęp fizyczny

Czy ktoś by zauważył taką dodatkową wtyczkę z wbudowanym ruterem? Czy ktoś by ją wyciągnął gdyby była podpisana "IT, nie rozłączać"?

44


Co możemy zrobić?

• Skatalogowanie wszystkich zasobów, usług, łączy, procesów, przepływów danych. • Modelowanie zagrożeń, analiza ryzyka. • Skuteczna segmentacja przez wiele warstw zabezpieczeń. • Wyłączenie nadmiarowych usług, konfiguracja dostępu zgodnie z zasadą

najmniejszych przywilejów. • Identyfikacja i bieżące usuwanie podatności w poszczególnych komponentach

(aktualizacje, błędy w oprogramowaniu i konfiguracji). • Działające bezpieczeństwo fizyczne. • Przygotowanie na wypadek niedostępności (redundancja, backup...). • Dostosowanie zabezpieczeń do potrzeb użytkowników. • Podnoszenie świadomości pracowników.

Pytania?

46


Prowadzący Sławomir Jasek: [email protected]

Jakub Szarata: [email protected]

Kontakt SKK S.A.

12 29 32 700

[email protected]

Dziękujemy za uwagę

Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie

Technology

Transcript of Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie