Анализ защищенности и расследование инцидентов АСУ ТП ITSF 2014

1. Анализ защищенности и
расследование инцидентов
АСУ ТП
Илья Карпов
ITSF 2014

2. О себе
― Илья Карпов
• Эксперт отдела анализа защищенности
• >5 лет работы с системами АСУ ТП
• Исследователь
• Участник SCADA StrangeLove (scadasl.org)
• Организатор конкурса Choo Choo Pwn и Critical Infrastructure
Attack на PHDays

3. Positive Technologies и АСУ ТП это…
― Исследования
Один из крупнейших исследовательских
центров в Европе
― Услуги
Анализ защищенности
Тестирование на проникновение
― Продукты
MaxPatrol (pentest, audit, compliance)
― Форум практической безопасности
Choo Choo Pwn (PHDays III)
Critical Infrastructure Attack (PHDdays IV)
Мы помогаем индустрии стать безопасной

4. Опыт тестов на проникновение
90% сетей АСУ ТП имеют доступ во внешние сети
― Ошибки настройки МСЭ/сетевого оборудования
― Шлюзы для интеграции с MES/ERP/OPC
― Внешние устройства (Phones/Modems/USB Flash/eSATA/1349/Optical, …)
― Удаленный доступ через RDP/VNC/VPN/Dialup
― Использование открытых промышленных протоколов без шифрования
трафика (Modbus, MMS, BACnet, IEC104, …)
80% систем АСУ ТП могут быть взломаны Metasploit
― Стандартные платформы (Windows, Linux, QNX, …)
― Стандартные протоколы (UDP, RPC, CIFS/SMB, Telnet, HTTP, …)
― Стандартные ошибки (отсутствие обновлений, слабые пароли, плохое
межсетевое экранирование, различные уязвимости приложений, …)

5. Опыт тестов на проникновение
70% HMI/инженерных станций используются как рабочее
место
― Обход «режима киоска»
― (Секретный) доступ в Интернет
― Игры/”кейгены”/трояны и другие полезные программы
― Зарядка мобильных устройств и использование GSM/GPRS/3G/4G
модемов
Безопасность АСУ ТП = Интернет в начале века
VS

6. Природа проблем (часть 1 из N, где N→∞)
― Быстрое развитие систем АСУ ТП
• От монолитных до распределенных сетевых с использованием
мобильных устройств
― Централизация (нарушения изоляции)
• MES, ERP, мобильные SCADA, сторонние компании и т.п.
― Требования к непрерывности процессов
• Отсутствие подходов к обновлению
― Жизненный цикл работы оборудования
― Плохое понимание работы системы
• Использование настроек по умолчанию или боязнь их изменить
― Большинство элементов АСУ ТП систем - это обычные
ОС/приложения/транспорты
• Как правило, очень старые

7. Природа проблем (часть 2 из N, где N→∞)
― Специфические (промышленные) протоколы/оборудование
• Зачастую просто не обладают функционалом по обеспечению
безопасности, либо не используются
― Антивирусное ПО
• На практике отсутствует, либо не обновляется
― Осведомленность в вопросах ИБ
• Очень низкая
― Халатное отношение к ИБ
• Использование систем не по назначению
― Аудит ИБ
• Отсутствует (редкие или после инцидентов)

8. Антивирусная защита

9. Природа проблем (часть 3 из N, где N→∞)
Вендор Интегратор Заказчик Эксплуатация
Изоляция *** ** * *
Обновление *** ** * *
Антивирусное
ПО
*** ** * *
Осведомленно
сть ИБ
**** *** ** *
Халатность в
вопросах ИБ
**** *** ** *

10. Природа проблем (часть 4 из N, где N→∞)
Вендор Интегратор Заказчик Эксплуатация
Изоляция Плохо Плохо Плохо Плохо
Обновление Плохо Плохо Плохо Плохо
Антивирусное
ПО
Плохо Плохо Плохо Плохо
Осведомленно
сть ИБ
Плохо Плохо Плохо Плохо
Халатность в
вопросах ИБ
Плохо Плохо Плохо Плохо
Данный слайд не отражает реального положения вещей

11. Исследования
― Поиск уязвимостей
• Обнаружение критичных векторов атак
• Повышение надежности оборудования и ПО
• Исследования промышленных протоколов
― Глубокое понимание функционирования систем
• Понимание сильных/слабых мест
• Создание checklist по конфигурациям
• Рекомендации по повышению защищенности со знанием всех
деталей и стандартов
― База знаний автоматизации (MaxPatrol)
• Процессы управления уязвимостями и контроля соответствия

12. N SCADA уязвимостей в год
За 2013 год на
OSVDB
опубликовано 170
уязвимостей в
различных SCADA-
системах и
некоторых
компонентах АСУ ТП.

13. N ICS (АСУ ТП) уязвимостей
На середину 2014
года на OSVDB
опубликовано
суммарно 810
уязвимостей систем и
компонентов АСУ ТП
http://SCADAhacker.com/

14. Анализ безопасности АСУ ТП: Результаты
― Обнаружено более 200 уязвимостей
—Client-side (XSS, CSRF etc)
—SQL/XPath injections
—Arbitrary file reading
—Username/passwords disclosure
—Remote code execution
—Weak encryption
—Hardcoded crypto keys
― Результаты
—Уязвимости частично или полностью устранены
производителями
—База знаний PT
—План совместных работ с Siemens Product CERT

15. Наши уязвимости в SCADA и PLC

16. Распределение по типам уязвимостей

17. Подсчет уязвимостей
• Осенью 2013-ого производителю отправлено 9
уязвимостей
– PT-EMR-DV-13002 World readable/writable *** (CVSSv2 6.8)
– PT-EMR-DV-13003 World readable *** (CVSSv2 6.8)
– PT-EMR-DV-13004 Weak cryptography used to store *** (CVSSv2 9.0)
– PT-EMR-DV-13005 Multiple SQL injection in *** (CVSSv2 10.0)
– PT-EMR-DV-13006 Weak cryptography used to *** (CVSSv2 6.8)
– PT-EMR-DV-13007 Memory corruption vuln in *** (CVSSv2 5.0)
– PT-EMR-DV-13008 Format string vulnerability in *** (CVSSv2 10.0)
– PT-EMR-DV-13009 Hardcoded access credentials: *** (CVSSv2 10.0)

18. Подсчет уязвимостей (2)
• Advisory (ICSA-14-133-02) Emerson DeltaV
v10-12 Vulnerabilities
– CVE-2014-2349 Configuration File Manipulation
Local Privilege Escalation (CVSSv2 6.2)
– CVE-2014-2350 Service Processes Default
Hardcoded Credentials (CVSSv2 2.4)
• Детали - http://ics-cert.us-
cert.gov/advisories/ICSA-14-133-02

19. Примеры найденных уязвимостей
DeltaV v10.3-12.3 (исправлено в последних обновлениях 12.3)
CVE-2014-2349 (CVSS v2 6.2)
Злоумышленник с правами пользователя в ОС Windows может прочесть или
изменить конфигурационные файлы в каталоге AMS и DeltaV и в каталогах базы
данных AMSDb и DeltaVDatabases.
CVE-2014-2350 (CVSS v2 2.4)
Для всех приложений Emerson, которые используют интерфейс командной строки
(СLI), используется простой пароль *******. Для подключения можно использовать
telnet и выполнять различные команды или изменять настройки.
> telnet <attackerhost> 706
> setpriv
“HARDCODED_PASSWORD” – зашитый пароль
> 4
> 2
> ctrl-f
filename, i.e. <Some IP address>file.txt

20. Примеры найденных уязвимостей (2)
https://ics-cert.us-cert.gov/advisories/ICSA-14-035-01
WinCC OA 3.11 (исправлено в 3.12 patch1)
Advisory (ICSA-14-035-01)
― CVE-2014-1698 Relative path traversal (CVSS v2 5.0)
Собственный веб-сервер WCCILPmon.exe позволяет получить с помощью обхода
каталога доступ к файловой системе и содержанию файлов. Отправив
специальный пакет по сети без аутентификации мы получаем:

21. Открытое хранение учетных записей и обход
пароля для редактирования проекта
Стандартная система
авторизации
WinCC OA 3.11-3.12
Учетные записи для
запуска и
редактирования
проекта

22. Примеры найденных уязвимостей (3)
SIMATIC S7-1200 CPU PLC (все прошивки до 4-ой версии)
Advisory (ICSA-14-079-02)
CVE-2014-2252 Improper resource shutdown or release (CVSS v2 6.1)
Специально сформированный пакет PROFINET вызовет ошибку на контроллере, что
приведет к его остановке.
Что такое специально сформированный пакет?
http://ics-cert.us-cert.gov/advisories/ICSA-14-079-02
Установка настроек IP-адреса, Маски подсети и
Шлюза в нули 0.0.0.0

23. Наши решения
― Аудит инфраструктуры АСУ ТП (Анализ защищенности)
—Тестирование на проникновение
—Интервьюирование
—Проверка на соответствие стандартам безопасности
― Анализ безопасности решений
― Разработка политик безопасности
стандартов конфигурации
― Анализ разрабатываемых
типовых решений
― Внедрение процессов
управления уязвимостями и
контроля соответствия

24. Стандарты, пример соответствия
―NERC CIP-007
• Анализ средств защиты
AREA SECURITY LEVEL
R1 – Ports and Services
Low
R2 – Security Patch Management
Low
R3 – Malicious Code Prevention
Medium
R4 – Security Event Monitoring
Low
R5 – System Access Control
Low

25. Наши подходы к системам АСУ ТП
― Понимание взаимосвязей между разными
компонентами всей информационной системы
• Описание моделей пользователей
(злоумышленников)
—Определение «местоположения»
—Права доступа
—Интерфейсы
― Понимание рисков и угроз
• Критичность компонентов
• Возможности защитных механизмов
• Понимание возможных действий
злоумышленника

26. От кого защищаемся
― Оператор
• SCADA, MES
― Инженер
― Внутренний
злоумышленник
• Мотивация
― Корпоративный
пользователь
― Злоумышленник
из интернета
― Другие компании

27. Типовые уязвимости систем АСУ ТП
― Канальный уровень
• Возможность прослушивания и подмена трафика
― Парольная политика
• Слабые пароли и отсутствие механизмов реализаций политик
• Плохо продуманная система защиты данных
― Отсутствие оперативных обновлений – сиюминутная
компрометация
• ОС, приложения, коммуникационное оборудование, PLC, HMI, и т.д.
― Конфигурационные ошибки
• ОС, приложения, коммуникационное оборудование, PLC, HMI, и т.д.
• Нецелесообразное использование средств защиты
• Использование незащищенных OPC-серверов
― Применимо для всего – отказ в обслуживании

28. Пример обхода режима киоска

29. Использование стандартных учетных записей

30. Expirion PKS (PLC C300 + Control Firewall)
An additional cyber security layer to
Experion's™ High Security Network
Architecture, the Experion™ Control Firewall,
further protects the controller network against
message flooding and denial of service attacks.
Обновление контроллера без авторизации

31. Инциденты
―Вредоносное ПО
―Халатность
―Инсайдеры
―Внешний нарушитель
―Кибер *
• терроризм, армии,
мошенники…

32. Как расследовать?
― События уровня технологического процесса
• Нет IT сущностей
• Трудоемкие в обработке
― Сбор событий только с серверов
• ПЛК, HMI и т.д. бесполезны (зачастую нет авторизации,
“разбросанные” логи)
― Только технологическая информация
• Нужно писать свое журналирование в проектах
― Небезопасные форматы вывода логов
• Высокий риск компрометации
—Нет контроля целостности или
централизованных серверов сбора
• Короткий период хранения по умолчанию

33. Проблемы на практике
― Сбор и обработка информации об инцидентах вручную
― Акцент на расследование технологических инцидентов
― Непродуманные на стадии проектирования функции
комплексного сбора и обработки логов системы
― Более полную информацию зачастую можно узнать только
из других подсистем (OC, антивирус, межсетевые экраны и
т.п.)
― Зачастую отключенная или не настроенная система
журналирования в компонентах АСУ ТП
― Отсутствие систем обнаружения вторжений
― Отсутствие планов расследования инцидентов
― Часто ограничен доступ к объектам АСУ ТП

34. Как решить все эти проблемы?
―Пока неизвестно или ждите …

35. Организация форума практической
информационной безопасности

36. Positive Hack Days – PHDays 2013-2014
Создано на базе реальных промышленных
систем автоматизации
(SCADA и PLC)
• Модель крана (перегрузка грузов)
• Модель железной дороги (система контроля и управления)
• Модель шлагбаума (ручное и автомат. управление движением)
• Модель управления энергосистемой города
(освещение и электропитание)
• Модель роботизированного манипулятора (свободное управление)
• Удаленное управление и диспетчеризация разных объектов
• Видеонаблюдение (интегрировано в SCADA системы)