Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporaciones

250 views

Published on

Presentación realizada en el congreso Navaja Negra 2016 sobre como vulnerar edificios inteligentes para realizar ataques contra ciudades, los propios edificios o las organizaciones.

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Vulnerando Entornos Critios: Smart-Cities, Smart-Buildings y Grandes Corporaciones

  1. 1. Vulnerando Entornos Críticos Smart-Cities, Smart-Buildings y Grandes Corporaciones Eduardo Arriols Nuñez
  2. 2. Sin Complicaciones
  3. 3. Demos Acotadas
  4. 4. Eduardo Arriols Nuñez Red Team Manager en Entelgy Profesor universitario de grado y post-grado Investigador de seguridad y ponente en congresos de seguridad OSCP, OSWP, CSX, CEH, CHFI, ECSA, … eduardo_arriols@innotecsystem.com @_Hykeos Whoami 12
  5. 5. 1. Smart-Cities 2. Smart-Buildings 3. Explotación 4. Post-Explotación 5. Conclusiones
  6. 6. Smart-Cities
  7. 7. Evolución e Interconexión
  8. 8. ¿Ciudades Inteligentes?
  9. 9. Estructura General
  10. 10. Smart-Buildings
  11. 11. Vector de Ataque
  12. 12. Building Management System - BMS
  13. 13. Esquema Típico de Red
  14. 14. Creación de un Smart-Building FabricantesImplantadores
  15. 15. Explotación
  16. 16. Sistemas Objetivo Versiones 1 y 2
  17. 17. Sistemas Objetivo
  18. 18. Sistemas Objetivo
  19. 19. Vector de Ataque
  20. 20. Identificación de usuarios por defecto que según la versión de manual aparecían o no en el documento (backdoor) • guest / ***** • test / **** • demo / **** • admin / ***** (Directamente administrador) En versiones mas modernas existen otros usuarios ampliamente utilizados por defecto • default / ******* • tridium / ******* • … Vector de Ataque 1
  21. 21. Vector de Ataque Se utiliza el acceso como el usuario identificado que únicamente tiene permisos de lectura. Esto impide la posibilidad de realizar acciones sobre el edifico. 2
  22. 22. Se analiza el sistema y se identifica la ruta del archivo de configuración (Existen varios). El usuario tiene acceso de lectura a los archivos de configuración donde se encuentran los usuarios y su contraseña cifrada. Vector de Ataque 3
  23. 23. Se identifica el directorio donde se encuentran todas las librerías (no publicas) que utiliza el sistema. Entre las librerías, existe una que contiene funciones para cifrar y descifrar. Vector de Ataque 4 Obtención de librerías no publicas
  24. 24. Vector de Ataque Creación de un simple script que haga uso de la librería para descifrar las claves cifradas. 5
  25. 25. Acceso como usuario administrador al sistema BMS Tridium Niagara y control completo del edificio. Vector de Ataque IMPORTANTE  Versiones afectadas 1 y 2 (3 y 4 NO! Por ahora…) 6
  26. 26. Una vez se tiene acceso al software podemos realizar otras muchas acciones sobre el sistema, algunas son: - Acceso backups - Acceso direccionamiento internos y JACE conectados - Acceso a librerías, herramientas, licencias, … - Acceso a archivos de configuración Vector de Ataque 7
  27. 27. Uso de herramientas como Shodan y ZoomEye para localizar dispositivos. Localizando Sistemas Vulnerables
  28. 28. Tipos de Entidades Afectadas Empresas Privadas
  29. 29. Tipos de Entidades Afectadas Entidades Bancarias
  30. 30. Tipos de Entidades Afectadas Hospitales
  31. 31. Tipos de Entidades Afectadas Universidades y Colegios
  32. 32. Tipos de Entidades Afectadas Centros Comerciales y Concesionarios
  33. 33. Tipos de Entidades Afectadas Aeropuertos
  34. 34. Tipos de Entidades Afectadas Centrales Eléctricas
  35. 35. Tipos de Entidades Afectadas Cárceles
  36. 36. Tipos de Entidades Afectadas Departamentos de Policía
  37. 37. Tipos de Entidades Afectadas Edificios Públicos / Gubernamentales
  38. 38. DEMO
  39. 39. Post-Explotación
  40. 40. Alteración de las Señales
  41. 41. Automatizaciones de Acciones - Obtención de información (Tipo de sistema, módulos desplegados, usuarios y credenciales, organización, etc) Autenticación realizada mediante cookie en Base64 (user@pass) - Realización de acciones sobre el edificio en cuestión - Alteración de las señales de determinados módulos - Posibilidad de ‘congelar’ el edificio en un estado - Automatizar acciones simultaneas sobre equipos en un mismo área geográfica
  42. 42. Acceso a la Red Industrial* Parte de los sistemas conectados tienen además habilitado el servicio RDP, nateado contra la maquina que aloja el sistema BMS. En la mayoría de casos probados, alguno de los usuarios existentes en el software BMS es capaz de autenticarse por RDP.
  43. 43. Comprometiendo la Organización* Cuando el edificio pertenece enteramente a una organización puede encontrarse conectado a la red interna de dicha organización con el objetivo de que sea gente interna quien tenga control de el.
  44. 44. Origen de la Vulnerabilidad
  45. 45. ¿Mas Sistemas Accesibles? V1 y v2 AX y v4
  46. 46. Conclusiones
  47. 47. Conclusiones
  48. 48. Conclusiones Nuevos ataques Nuevas amenazas
  49. 49. Conclusiones
  50. 50. ¿Preguntas? Eduardo Arriols Nuñez eduardo_arriols@innotecsystem.com @_Hykeos

×