(In)Seguridad Industrial 101
•0 likes•575 views
Report
Share
Download to read offline
Introducción a la seguridad en redes industriales, con introducción a este tipo de redes, diferencias con IT, recursos para iniciarse en la seguridad en este campo. Charla dada en la presentación de la asociación Euskalhack.
More Related Content
Similar to (In)Seguridad Industrial 101
Similar to (In)Seguridad Industrial 101(20)
Recently uploaded
Recently uploaded(20)
(In)Seguridad Industrial 101
- 1. (In)Seguridad Industrial 101 Mikel Iturbe Urretxa EuskalHack aurkezpena 2016-02-18 Donostia
- 2. $ whoami ● Doctorando en Mondragon Unibertsitatea ● Trabajando en la seguridad de redes industriales desde 2013 ● Detección y diagnosis de anomalías en redes industriales mediante el análisis de datos (In)Seguridad Industrial Mikel Iturbe Urretxa
- 3. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 4. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 5. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 6. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr
- 7. Puesta en escena CC-BY-SA 3.0 Anula Grzesiak (In)Seguridad Industrial Mikel Iturbe Urretxa
- 8. Sistemas de control CC-BY-SA 3.0 Kreuzschnabel, Schmimi1848, Wolkenkratzer, Brian Cantoni, Hermann Luyken, Beroesz (In)Seguridad Industrial Mikel Iturbe Urretxa
- 9. Sistemas de control ● PCS, DCS, SCADA, ICS, IACS, PLC... © 2016 Little Bobby All Rights Reserved (In)Seguridad Industrial Mikel Iturbe Urretxa
- 10. Reparto: PLCs CC-BY 2.0 Robert Kevin Moore @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 11. Reparto: PLCs CC-BY-SA 2.0 Ferruccio Zanone @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 12. Reparto: HMI & SCADA CC-BY-ND 2.0 Green Mamba @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 13. Reparto:Operadores © 2016 21st Century Fox All Rights Reserved (In)Seguridad Industrial Mikel Iturbe Urretxa
- 14. Guión: Protocolos ● Modbus, S7, MMS... – Diferentes protocolos, antiguos – Antes iban por líneas de serie y hoy en día van encima de TCP/IP – Autenticación, cifrado... (In)Seguridad Industrial Mikel Iturbe Urretxa
- 15. Personajes: ICS & IT Mi PC ABB PM856A-eA Memoria RAM 8 GB 16 MB Frecuencia del reloj del CPU 3,1 GHz 48 MHz Precio ~700€ ~2500€ (In)Seguridad Industrial Mikel Iturbe Urretxa
- 16. Problemas ● Las redes industriales están formadas por “ordenadores” especializados. ● Con hosts viejunos (años/décadas funcionando), que no se diseñaron para trabajar conectados a Internet. ● “Hay una segmentación absoluta entre la red de control y el exterior” más conocido como Air Gap. (In)Seguridad Industrial Mikel Iturbe Urretxa
- 17. Ya... Air Gap (In)Seguridad Industrial Mikel Iturbe Urretxa
- 18. Ya... Air Gap (In)Seguridad Industrial Mikel Iturbe Urretxa
- 19. ¿Y si son atacados? ● Aguas de Maroochy (Australia) – 142 estaciones de bombeo ● Ex-operador con material (soft y hard) robado ataca el sistema. ● >1 m de litros de aguas residuales sin tratar enviadas a ríos, parques... 2000 Slay, Jill, and Michael Miller. Lessons learned from the maroochy water breach. Springer US, 2007. CC-BY 2.0 USDA @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 20. ¿Y si son atacados? ● Aurora. ● En un entorno de experimentación, investigadores consiguieron sabotear generadores de electricidad mediante inyeccion de paquetes. 2000 → 2007 Zeller, Mark. "Myth or reality—Does the Aurora vulnerability pose a risk to my generator?." Protective Relay Engineers, 2011 64th Annual Conference for. IEEE, 2011. (In)Seguridad Industrial Mikel Iturbe Urretxa
- 21. ¿Y si son atacados? ● Stuxnet – Malware dirigido a sabotear el programa nuclear iraní – 4 zero-days – Equipamientos de Siemens – Sabotaje de centrifugadoras de uranio haciendolas girar más rápidamente 2000 → 2007 → 2010 Langner, Ralph. "Stuxnet: Dissecting a cyberwarfare weapon." Security & Privacy, IEEE 9.3 (2011): 49-51. (In)Seguridad Industrial Mikel Iturbe Urretxa
- 22. ¿Y si son atacados? ● Incidente de la acería alemana – No hay muchos detalles ● Quién, cuándo, dónde... – Spear-Phising → Red IT → Red OT – No se pudo apagar un alto horno de forma controlada, causando daños “masivos” 2000 → 2007 → 2010 → 2014 De Maizière, Thomas. "Die Lage Der IT-Sicherheit in Deutschland 2014." Federal Office for Information Security (2014). (In)Seguridad Industrial Mikel Iturbe Urretxa
- 23. ¿Y si son atacados? ● Red ucraniana de electricidad – Durante el invierno de 2015-16 – Variante de BlackEnergy – Miles de personas sin electricidad durante periodos breves 2000 → 2007 → 2010 → 2014 → 2015/2016 (In)Seguridad Industrial Mikel Iturbe Urretxa
- 24. Y otros... ● Sabotaje industrial ● Espionaje – Flame – Duqu (In)Seguridad Industrial Mikel Iturbe Urretxa
- 25. Empieza... (In)Seguridad Industrial Mikel Iturbe Urretxa
- 26. First job (In)Seguridad Industrial Mikel Iturbe Urretxa
- 29. Moraleja NUNCA hay que realizar auditorías, tests de intrusiones... activas en una instalación en marcha. En serio, nunca. Pueden (y suelen) pasar cosas impredecibles. (In)Seguridad Industrial Mikel Iturbe Urretxa
- 30. Testbed (aka los experimentos, con gaseosa) (In)Seguridad Industrial Mikel Iturbe Urretxa
- 31. Testbed CC-BY-SA 2.0 Nick Ares @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 32. Plantas Industriales ● http://www.ippe.com/Plants ● http://usedplants.com (In)Seguridad Industrial Mikel Iturbe Urretxa
- 33. Testbed (Plan B) CC-BY 2.0 Jason Rogers @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 34. Testbed ● Hardware: Equipamiento industrial – PLCs de segunda mano (In)Seguridad Industrial Mikel Iturbe Urretxa
- 35. Testbed ● Hardware: Switches (In)Seguridad Industrial Mikel Iturbe Urretxa
- 36. Testbed ● Juguetes – Bus Pirate – Taps – SDR – Convertores serial/usb/ethernet (In)Seguridad Industrial Mikel Iturbe Urretxa
- 37. Testbed ● Damn Vulnerable Chemical Process (DVCP) – Indispensable seguir el trabajo de Marina Krotofil y Jason Larsen – Modelos de Matlab/Simulink – TE: https://github.com/satejnik/DVCP-TE – VAM: https://github.com/satejnik/DVCP-VAM (In)Seguridad Industrial Mikel Iturbe Urretxa Krotofil, Marina, and Jason Larsen. "Rocking the pocket book: Hacking chemical plants." (2015).
- 38. Testbed (DVCP) (In)Seguridad Industrial Mikel Iturbe Urretxa
- 39. Testbed (DVCP) (In)Seguridad Industrial Mikel Iturbe Urretxa
- 40. Testbed (DVCP) ● Intrusiones a bajo nivel ● Entrenamiento ataques sofisticados – Disminuir la calidad/pureza del producto – Aumentar costes de producción ● Conocimientos de control (In)Seguridad Industrial Mikel Iturbe Urretxa
- 41. Testbed (Coms.) ● Muchos protocolos privados pero documentación pública y algunas implementaciones. ● Modbus – Pymodbus - Implementación completa Modbus. – Modsak - Modbus diagnostic program – Modbuspal - Simulador esclavo Modbus – Smod - Framework para Pentesting Modbus ● S7 – Wireshark dissector plugin – Snap7 - Implementación S7 (In)Seguridad Industrial Mikel Iturbe Urretxa
- 42. Testbed (Coms.) ● Protocolos privados sin documentación – Reversing ● Una vez especificado el protocolo... – Fuzzing! (In)Seguridad Industrial Mikel Iturbe Urretxa FOSDEM 2009 Reverse Engineering of Proprietary Protocols, Tools and Techniques
- 43. Honeypots ● Conpot – Siemens S7-200 – https://github.com/mushorg/conpot ● GridPot – Red eléctrica – https://github.com/sk4ld/gridpot ● Cosas a tener en cuenta – http://xiphosresearch.com/2015/12/09/OPSEC-For-Honeypots.html (In)Seguridad Industrial Mikel Iturbe Urretxa
- 45. Demo: Embotelladora ● Demo – Modelo virtuaplant desarrollada por Jan Seidl. ● https://github.com/jseidl/virtuaplant – Pygame, Pymodbus, Pymunk... – Ataques (In)Seguridad Industrial Mikel Iturbe Urretxa
- 46. thnx miturbe@mondragon.edu mikel@hamahiru.org Clave GPG: 0x8141DED2 Twitter: @azken_tximinoa Github: @mikeliturbe http://iturbe.info (In)Seguridad Industrial Mikel Iturbe Urretxa