Die Hard 10.0: Ein Drehbuch für Industrielles Hacking

Transcription

www.limessecurity.com
Die Hard 10.0:
Ein Drehbuch für Industrielles Hacking
1
Kompetenz und Erfahrung made in Austria
Die Cyber Security Experten für Industrie & Software







2
Unsere Dienstleistungen
Unabhängig davon, ob sie ein Maschinenbauer, Betreiber, Hersteller oder
Stromversorger sind: Limes Security hat die richtige Dienstleistung für Sie.
Industrieller Pentest
Proaktive Erkennung und Behandlung von Sicherheitsschwachstellen in
Unternehmen bevor diese zum Problem werden
Industrielles Sicherheitsprogramm
Erstellung eines technischen Sicherheitskonzeptes sowie Unterstützung beim
Aufbau eines ganzen Sicherheitsprogrammes
Industrielles Sicherheitstraining
Durchführung von Sicherheitstrainings für Mitarbeiter, um erfolgreich gegen
Cyber-Risiken im täglichen Betrieb vorgehen zu können
https://icons8.com
3
DIE ENTWICKLUNG VON
INDUSTRIELLER SICHERHEIT
4
Industriesicherheit vor 2010
Die Welt der Industriesysteme wirkte wie ein friedlicher & ruhiger Ort. Und das aus
mehreren Gründen:

Automatisierungstechniker schirmten ihre Systeme vor der Unternehmens-IT und den
Technikern der Netzwerksicherheit ab

Kein Außenstehender hatte Interesse an den proprietären Softwaresystemen im
Automatisierungsbereich

Die Verwendung von Standardsoftwarekomponenten war bekannt, wurde aber nicht als
Sicherheitsproblem wahrgenommen

Der Glaube, dass Industriesysteme (physisch) isoliert sind

Physische Sicherheit

Gängige Sicherheitspraktiken aus der IT-Welt wurden im
Industriebereich nicht angewendet

Es gab nur einige wenige bekannte Sicherheitsvorfälle im
Industriebereich
5
Berühmte Aussagen aus der Industrie die
wir vor 2010 hörten
“Security? Sie sprechen besser mit dem Werksschutz”
“Wir brauchen keine Firewalls weil wir wissen wo welches Kabel hingeht”
“Wir brauchen keine Security weil wir keine Windows-Systeme haben”
“Security Tests? Sie sind falsch hier, ich bringe Sie zur IT-Abteilung”
“Was ist eine IP-Adresse und ist es schlimm dass unsere SPS eine haben?”
“Warum sollte man Schwachstellen in SPSen patchen? Die hängt doch
sowieso niemand direkt an das unsichere Internet”
“Es besteht keine Gefahr einer Manipulation weil der Systembediener nicht
auf das Betriebssystem draufkommt”
“Sie machen also Security? Sie fressen sicher auch kleine Kinder zum
Frühstück!”
6
Beispiel eines berühmten Incidents
Polnische Stadt Lodz

Ein polnischer Teenager studierte
das System der Strassenbahn

Er stellte fest dass die Signale mit
Infrarot-Technik umgesetzt wurden

Er adaptierte eine TVFernbedienung, schaltete Weichen
um und erzeugte damit eine
Entgleisung einer
Strassenbahngarnitur
http://www.telegraph.co.uk/news/worldnews/1575293/Schoolboy-hacks-into-citys-tram-system.html
7
Nuclear explosion in hijacked
czech tv breakfast show
8
Maroochy Water Incident
 In 2000 Vitek Boden hacked into the ICS of waste management
system and issued radio commands to the sewage equipment.
 Reason for this: The attacker quit his job at Hunter Watertech
(which was an contractor of Maroochy Shire Council) and
applied for a job at Maroochy Shire Council, but the company
did not hire him.
 At least 46 times the attacker issued commands to manipulate
the sewage system using a notebook and wireless radio
equipment before he was caught.
 That caused 800,000 liters of raw sewage to be spilled out into
local parks and rivers.
 "Marine life died, the creek water turned black and the stench
was unbearable for residents," said a representative of the
Australian Environmental Protection Agency
9
Im Jahr 2010 kam Stuxnet
10
Worum ging es in Stuxnet?
 Professionell entwickelter Cyber-Angriff
 Ziel waren nur Industriesysteme mit SPSen des Typs SIMATIC S7
mit ganz spezifischer Konfiguration / Programmierung
 Erhielt große öffentliche Aufmerksamkeit durch
 die Verwendung von 0-day Schwachstellen
 die Fähigkeit “Air Gaps” zu überspringen
 die Fähigkeit physischen Schaden durch die Manipulation von
Softwarekomponenten anzurichten
 den Eindruck eines politische motivierten “cyber-warfare”
11
Chronik von Angriffen auf Industriesysteme (1)
1982
1997
2000
2003
12
2005
2007
Chronik von Angriffen auf Industriesysteme (2)
2010
2011
2012
2013
13
2014
Angriff auf ukrainisches Stromverteilnetz
 Am 23. Dezember 2015 meldeten Ukrainische EVUs Ausfälle der
Stromversorgung
 Ursache waren unberechtigte Zugriffe Dritter
 Insgesamt waren 3 EVUs betroffen
 Das Öffnen von Trennschaltern in mindestens 27 Umspannwerken
führte zu einem Stromausfall bei über 225.000 Kunden
 Der Ausfall dauerte mehrere Stunden
 Erster offiziell bestätigter Stromausfall als folge eines Cyberangriffs
14
Angriff auf ukrainisches Stromverteilnetz
Source: Analysis of the Cyber Attack on the Ukrainian Power Grid, E-ISAC
15
Warum nach Industrieschwachstellen suchen
Die Motivation von Forschern, die sich mit Sicherheitsschwachstellen in
Industriekomponenten beschäftigen, änderte sich mit der Zeit.

Gruppe 1: wollen die Welt durch die Meldung von
Sicherheitsschwachstellen sicherer zu machen

Gruppe 2: wollen durch die Entdeckung von
Schwachstellen Anerkennung erhalten

Gruppe 3: wollen durch das Entwicklung von
Angriffswerkzeugen für entdeckte Schwachstellen finanziell
profitieren
16
Industriesicherheit auf Konferenzen
Die Motivation von Forschern, die sich mit Sicherheitsschwachstellen in
Industriekomponenten beschäftigen, änderte sich mit der Zeit.

Große Anzahl an Präsentationen über Industriesicherheit auf
zB.: Blackhat, Derbycon, Defcon

Titel umfassen
 “How to own an industrial facility from 40 miles away”
 “Why Control System Cyber-Security Sucks”
 “Internet-facing PLCs – a new back orifice”

Eigene Konferenzen über Industriesicherheit und Hacking von
Industriekomponenten entstehen
17
Reaktion der Hersteller
Quelle: http://www.siemens.com/innovation/pool/innovations/
technologiefokus/it-software/siemens_vulnerability_handling.pdf
Quelle: http://www.ge.com/security
18
Klassische Sicherheitsmethoden
Bewährte Sicherheitsmethoden aus dem IT-Bereich werden von Herstellern langsam
für den Einsatz im Industriebereich angepasst.
 Virtual Private Networking Lösungen (VPN)
 Intrusion Detection Systeme (IDS)
 Virenscanner
 Application Whitelisting
 Security Information Event Management (SIEM) Systeme
 Sicherheitsservices (Risikoanalysen, Pentests)
Viele Lieferanten beginnen strategische Kooperationen mit Anbietern von
Sicherheitsdienstleistungen.
19
Geeignete Angriffswerkzeuge
Der Fokus auf SPS Schwachstellen brachte Sicherheitsforscher dazu, geeignete
Angriffswerkzeuge ausschließlich für Industriesysteme zu entwickeln.

Tools zum Erkennen & Fingerprinten (z.B. modscan, Nessus)

Verschiedene Metasploit Module
 Modbus Client
 Dillon Beresford’s SIMATIC Module
 Digitalbond’s Project Basecamp Module

SCADASTRANGELOVE’s Toolset
 S7 Offline Authentication Bruteforcer
Quelle: Digitalbond.com GE DE20 Metasploit Modul
 IEC Protokoll & Profinet Erkennungswerkzeuge

SCADACS’s PLCINJECT

…
20
Suchmaschinen für Industriekomponenten
Industriekomponenten werden nicht nur unsicher entwickelt sondern auch unsicher
betrieben.
Quelle: SHODANHQ / Google
21
Ein neues Verständnis von Angriffsrisiken
Die Annahmen bezüglich Sicherheit in der IT-Welt haben sich geändert – die in der
Industriewelt auch.

Es wird in der IT-Welt mittlerweile davon ausgegangen, dass
Angreifer irgendwann definitiv einen Weg in das Netzwerk finden.

Neue Sicherheitsbemühungen zielen auf schnelle Erkennung eines
Angriffes ab (Indicators of Compromise)

Industrie hinkt in Sachen Sicherheit hinterher
 Fehlendes Spezialwissen im Sicherheitsbereich
 Fehlende Möglichkeiten Monitoring in Anlagennetzten umzusetzen
 Große Entfernung zum eigentlichen Industriekerngeschäft
26
Sicherheitsdruck nimmt zu
Regulierung und Branchensicherheitsstandards zeichnen sich ab.

Eigenes IT-Sicherheitsgesetz in Deutschland
 beinhaltet Meldepflicht für Sicherheitsvorfälle
 Beinhaltet branchenspezifische Sicherheitsvorgaben

In Österreich ist das Cybersicherheitsgesetz in Vorbereitung mit
ähnlicher Ausrichtung

Auf EU-Ebene ist Netz- und Informationssicherheitsrichtlinie
verabschiedet worden
27
DURCHFÜHRUNG EINER
RISIKOANALYSE
28
Risikoanalyse im Überblick
Threat & Risk Analysis
Systemver
ständnis
herstellen
Angreifer
ermitteln
Bedrohungen
identifizieren
Auswirkun
-gen
bestimmen
Bedrohungen
bewerten
Beobachtung und Re-Evaluierung
29
Risiko
ermitteln
1. Besseres Angreiferverständnis
30
2. Auswirkungen von Security-Problemen erfassen
31
3. Bedrohungen erfassen & Risiko bewerten
32
Hilfsmittel für Wahrscheinlichkeit: Exponiertheit
und Ausnutzbarkeit
33
Zusammenhang Risikoanalysen & Pentests
evaluation of risk
Risk
Analysis
( specific
requirements)
Pre
Assessment
Activities
Practical
Assessment /
Penetration Test
( specific
implementation)
evaluation
of risk
Standard
Assessment
( unspecific
requirements e.g.
from standards)
rerating
Taken from: A Manufacturer-Specific Security Assessment Methodology
for Critical Infrastructure Components, IFIP WG11.10 Conference
34
Post
Assessment
Activities &
Reporting
The Limes team on premise
Ein Spaziergang durch eine Industrieanlage
35
 The team of Limes used only reflective vests
as disguise and was able to act freely on the
entire premise.
 Even entering a control center without being
questioned was possible in order to
reconfigure an already implanted backdoor.
36
Backdoor Implant
The team was able to implant three devices during the
attack
37
Automation network
SSH tunnel
SSH server in
Limes headquarter
Raspberries
on site
 In order to gain remote access to the automation network, Limes implanted
several raspberries on site.
 Upon reboot the raspberries connected to the SSH server and opened a reverse
SSH tunnel using the UMTS/3G sticks. The connection to the server was
secured by certificate based authentication. To use the remote devices an
additional user/password authentication was required.
 The raspberries itself were no automated attack devices, their sole purpose was
to act as a backdoor.
38
3
9
Top 10 Industriebedrohungen 2014
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland stellt
eine Liste der zehn größten Bedrohungen für Industrieunternehmen bereit.
1.
Infektion mit Schadsoftware über Internet und Intranet
2.
Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
3.
Social Engineering
4.
Menschliches Fehlverhalten und Sabotage
5.
Einbruch über Fernwartungszugänge
6.
Internet-verbundene Steuerungskomponenten
7.
Technisches Fehlverhalten und höhere Gewalt
8.
Kompromittierung von Smartphones im Produktionsumfeld
9.
Kompromittierung von Extranet und Cloud-Komponenten
10. (D)DoS Angriffe
Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile&v=2
39
INDUSTRIELLE SECURITYSTANDARDS UND IHRE
ANWENDUNGSBEREICHE
40
BDEW Whitepaper: Anforderungsbereiche
BDEW Whitepaper
General
Requirements &
Housekeeping
Base System
1. General
1. System Hardening
2. Patching und Patch
Management
2. Anti Virus Software
3. Documentation
3. Autonomous User
Authentication
Networks/
Communication
Application
1. Secure Network
Design and
Communication
Standards
1. User Account
Management
2. Authorization of
Activities on User
and System Level
2. Documentation of
Network Design and
Configuration
3. Application
Protocols
3. Secure
Maintenance
Processes and
Remote Access
4. Web Applications
4. Wireless
Technologies:
Assessment and
Security
Requirements
6. Logging, Audit
Trails, Timestamps,
Alarm Concepts
5. Integrity Checks of
Relevant Data
7. Self-Test und
System Behavior
Deployment, Test
& Rollout
1. Secure
Development
Standards, Quality
Management and
Release Processes
2. Secure Data
Storage and
Transmission
3. Secure
Development, Test–
and Staging
Systems, Integrity
Checks
4. Secure Update and
Maintenance
Processes
5. Configuration and
Change
Management,
Rollback
6. Fixing Security
Vulnerabilities
7. Source Code
Escrow
41
Backup,
Recovery &
Disaster
Recovery
1. Backup: Concept,
Method,
Documentation,
Test
2. Disaster Recovery
IEC62443 Anforderungsbereiche
IEC 62443-1-3
System security
compliance metrics
Operators
IEC/TR 62443-1-2
Master glossary of terms
and abbreviations
IEC 62443-2-1
Establishing an IACS
security program
IEC 62443-2-2
Operating an IACS
security program
IEC 62443-2-3
Patch management in
the IACS environment
System
integrators
IEC 62443-1-1
Terminology, concepts
and models
IEC/TR 62443-3-1
Security technologies for
IACS
IEC 62443-3-2
Security assurance
levels for zones and
conduits
IEC 62443-3-3
System security
requirements and
security assurance levels
Component
vendors
General
IEC 62443-4-1
Product development
requirements
IEC 62443-4-2
Technical security
requirements for IACS
components
Requirements that operators of industrial
automation systems must meet:
• Security guidelines and processes,
• Risk management in terms of security
• Information and document mgmt.
• etc.
System-side requirements in terms of .
• Access protection, user control
• Data integrity and confidentiality
• Controlled data flow,
• etc.
Requirements that components of an
automation system must meet in terms of
• Product development processes
• Product functionalities
42
Bestehende industrielle Security-Standards /
Empfehlungen werden zu wenig genutzt
Standard
Zielgruppe
Hauptzweck
Geographischer/
Sector Fokus
Zertifizierbar
WIB
Hersteller /
Integratoren
Herstellerzertifizierung
Oil/Gas Industrie
Ja
BDEW
Hersteller /
Integratoren
Sicherheitsanforderungen
für Zulieferer
D, A, CH
(Energie- &
Wasserwirtschaft)
Nein
NERC CIP
Anlagenbetreiber
Steigerung der Resilienz
der Energieversorgungsinfrastruktur
USA, Kanada
Ja
IEC 62443
Hersteller /
Integratoren /
Anlagenbetreiber
Sicherheitsanforderungen
für sichere Produkte /
sichere Lösungen /
sicheren Betrieb
Industriesektor
Ja
ISO 27019
Anlagenbetrei
ber
ISMS-Aufbau für
Energieversorger
Energiesektor
Ja
NIST 80082
Anlagenbetreiber
43
Technische
Sicherheitsempfehlungen
U.S.
Nein
ABSCHLIEßENDE EMPFEHLUNGEN
FÜR DIE STÄRKUNG DER EIGENEN
INDUSTRIAL SECURITY
44
Stärkung der Sicherheitskompetenz:
Absicherung der
Netzwerkaußengrenzen
12 Schritte um Ihr Unternehmen sicherheitstechnisch besser zu positionieren.
Durchführen einer Risikoanalyse: Verständnis für
Risiken und Bedrohungen aufbauen
Ausarbeitung einer vollständigen Netzwerkassetliste:
Kenne alle Komponenten im Industrienetzwerk
Verständnis für Kommunikationsfluss: Matrix für
Entscheidungen um Netzwerkzugriffe
Planen der Netzwerksicherheit: Definition von Zonen
für das Industrienetzwerk
Netzwerkzugriffsschutz: Schutz vor unbekannten
Geräten im Netzwerk
Absichern des Fernzugriffs: Beaufsichtigung von
externen Zugängen für Hersteller und Zulieferer
46
Stärkung der Sicherheitskompetenz:
Berücksichtigung innerhalb
des Unternehmens
12 Schritte um Ihr Unternehmen sicherheitstechnisch besser zu positionieren.
Systemhärtung: Steigerung der Sicherheit von Assets
im Industrienetzwerk
Erstellung eines Patch Management Konzeptes:
Verminderung von bekannten Softwarerisiken
Einrichten einer Sicherheitsorganisation: Definition von
Rollen und Verantwortlichkeiten
Kaufen von sicheren Systemen: Sicherheit
verpflichtend in den Beschaffungsprozess einbinden
Überprüfen der Sicherheit: Regelmäßige Tests der
Unternehmensumgebung auf Schwachstellen
Vorbereitungen für den Ernstfall: Erstellung eines
Notfallplans bevor Sicherheitsvorfälle eintreten
47
StuxHACK
STUXnet Hacking Attack Challenge Kit
 Demonstrator zur Veranschaulichung von STUXNET
 Nachstellen des Angriffsszenarios
 Simulator für Industrial Security Trainings
 Originalgetreue Abbildung
– Siemens PLC’s
– Originale Exploits
– Zentrifugen
48
StuxHACK Aufbau
 Aufbau
– PLC‘s steuern die beiden
Zentrifugen
– HMI überwacht Zentrifugen RPM
– Roboterarm hilft beim
Überwinden der Air Gap
– Webcam in den „Control Room“
49
StuxHACK Challenge
 Vordringen in das „Industrial Network“
– Eindringen in die DMZ
– Überwinden der Firewall in das Office Network
– Durch den Roboterarm das Air Gap in das Industrial Network
überwinden
 Zentrifugen überlasten
– HMI manipulieren um immer „Normal Operation“ anzuzeigen
– Zentrifugen beschleunigen
50
What our spy found out about the
target site
„Internet“
Office Network
Webcam
Office PC
Monitoring PC
Attacker
DMZ
External Firewall
VPN Gateway
Programming Network
Web-Server
Programming PC
Monitoring
51
PLC1
PLC2
Internal
Firewall
Danke!
Fragen?
52
Für Anfragen kontaktieren Sie bitte
Web: www.limessecurity.com
Mail: [email protected]
53

Die Hard 10.0: Ein Drehbuch für Industrielles Hacking

Transcription

Similar documents

CSS TAGUNGSBERICHT Dritter DA-CH Workshop Schutz Kritischer

3M Kennzahlen-Portal Entscheidungen

Sicherheitskomponenten für Industrie 4.0

- Wibaklidama

img - HSR - Institutional Repository

Produktenorm EN 1090 im Überblick

PDF deutsch - SMS Elotherm GmbH

Internet-facing PLCs

scip ag

EC-Council Flyer - Compliance

Hochschule Macromedia wächst schneller als der Wettbewerb