Kuniyasu Suzaki, profile picture
Uploaded byKuniyasu Suzaki
PDF, PPTX1,756 views

Report for S4x14 (SCADA Security Scientific Symposium 2014)

制御システムで使われるSCADAに関するセキュリティの国際会議S4x14に参加してきました。その様子を報告します。

Embed presentation

Download as PDF, PPTX
あなた 知らな キ 世界あなたの知らないセキュリティの世界 S4x14報告S4x14報告 (2014/1/14‐17 ) @Miami International University http://www.cvent.com/events/s4x14/agenda‐5454e261d84146aebb78361954f3e5f8.aspxp // / / / g p 産業技術総合研究所産業技術総合研究所 須崎有康
What is S4x14?What is S4x14? は• S4x14 は “SCADA Scientific Security  Symposium 2014”の略です。 • つまりSCADAに関するセキュリティシ ンポジュウムです。 で、SCADAってご存知ですか?
What’s SCADA?!!What s SCADA?!! • SCADA は“Supervisory Control And  D t A i iti ” 略 すData Acquisition”の略です。 • なぞは解けましたね。 • えっ まだ?では具体的にどういうものかお• えっ、まだ?では具体的にどういうものかお 見せしましょう。
An example of SCADA • 制御システムで使われるデバイスの状態を• 制御システムで使われるデバイスの状態を 監視するツールです。 • 多くのツールが分かりやすいようにビジュア ルな表示をしています。ルな表示をしています。
What is SCADA’s problem?What is SCADA s problem? • SCADA は制御システムで使われています• SCADA は制御システムで使われています。 – 発電設備、ガスプラント、水管理システム、 etc. • SCADA製品はWindows上で動いています。それ ほど製品は多くありません。ほど製品は多くありません。 – RSView (Rockwell) I T h (W d )– InTouch (Wonderware) – iFix (GE) – FA‐Panel (国産:株式会社ロボティクスウェア) • 問題はSCADA が制御システムの攻撃エントリー問題はSCADA が制御システムの攻撃エントリ ポイントになってることです!
SCADA 攻撃の代表例 • イランのアフマドネジャフ大統領が核施設を公開した情 報から何のSCADAがどう使われているかが類推されまし報から何の がどう使われて るかが類推されまし た。これがSCADA への攻撃(Stuxnet)に繋がったと言われ ています。て ます。 攻撃者はこの仮面情報から何のSCADAがどう使われているか類推されたと言われています。
なぜSCADAが攻撃されるのか。 (某大佐のつぶやき 「脆弱だからさ 」)(某大佐のつぶやき:「脆弱だからさ。」) • 使っている通信プロトコルに脆弱性がある。 – OPC • WindowsのDCOMベースで脆弱であり、OPC‐UAに移行中。 – ModbusModbus • 産業用Modbus TCPプロトコルパケットの安全を確保するのは難しい – https://www.ibsjapan.co.jp/news/678.html • 「Modbus」プロトコルに関するバッファオーバーフローの脆弱性を紹介• 「Modbus」プロトコルに関するバッファオ バ フロ の脆弱性を紹介。 (サイバーディフェンス 福森さん) – http://www.itmedia.co.jp/enterprise/articles/1202/06/news009_2.html • SCADAは制御システム監視のため無停止で動いており• SCADAは制御システム監視のため無停止で動いており、 アップデートがされない。 – IPAレポートH24「狙われる脆弱性・・・SCADA システムの真の 問題とは問題とは?」 http://www.ipa.go.jp/files/000036076.pdf • 2つの大きな問題「パッチの不良率の高さ」と「パッチの提供率の低さ」 – NISCレポートH22「制御システムのオープン化が重要インフラの情NISCレポ トH22 制御システムのオ プン化が重要インフラの情 報セキュリティに与える影響の調査」 http://www.nisc.go.jp/inquiry/pdf/so_honbun.pdf
S4x14 プログラム • 1/14          OT (Operations Technology) Day • 1/15 16 S4x14 main symposium• 1/15‐16    S4x14 main symposium • 1/16           ICSage (Non‐technical Talks) Advanced Training:Advanced Training:  (1) Introduction to Hardware Hacking for ICS  ProfessionalsProfessionals (2) Response and Serial Fuzzing of ICS Protocol  Stacks • ICS Village 制御 機 を 意 参 者 攻撃を– 制御システム用の機器を用意し、参加者に攻撃を許したイベント。 – 福森さんのブログに体験記が書かれています。 「私が制御システム に根こそぎ侵入した方法」に根こそぎ侵入した方法」 • http://blog.f‐secure.jp/archives/50719640.html
OT (Operations Technology) DayOT (Operations Technology) Day • ここで発表しました• ここで発表しました。 • Title:Process Whitelisting And Resource Access  lControl For ICS Computers • スライド資料 http://www.slideshare.net/dgpeters/5‐suzaki113‐ 30731969 • 参加者が想定より多かったため、部屋を2つ借りて 午前・午後の2回発表させられました。前 発表 。 – スケジュールも当日知らされ、戸惑いました。また、自分 の裏のセッションが聞けないなど問題も。
OS LockdownOS Lockdown  • Lockdown for attacker.  • Legitimate applications work well, if necessary computing  resources are registered.   (1)  Process Creation ( ) (2) Computing Resources Access from a process
Example of OS LockdownExample of OS Lockdown Normal OS on HMI Lockdo n OS on HMINormal OS on HMI Lockdown OS on HMI  White List for Process Creation Applications have vulnerabilities, and  resources have no limitation to use.  (1) A creates B,D, and G.    (2) D creates E.  (3) E and G  cannot run at same time.  White List for Resource Access is opened by A and B. is opened by E and G A B C Attack creates malicious C process.  A B C Attack creates malicious C process. No rule for the process  creationA B C D E Attack creates G   t A B C D E creation Attack creates G   t No rule to access the file D E Attack accesses the green  file. process to  access the  disk. D E Attack accesses the green  file. G can be created by A and can access  to the disk However G cannot run process to  access the  disk. G G to the disk. However, G cannot run  along with E  at the same time to  protect same resource access.
Current Implementationp • Process White List is implemented in a Kernel of Windows. – It used hook function offered by Windows.y • PsSetCreateProcessNotifyRoutineEX() • Resource Access Control is implemented as Filter Manager. Parent  Process Child  Process PWC and RAC are implemented on  Windows OS as device driver User Space Kernel Space Request to create process (system Call) Request to access resources (system Call) E i API ocess ocessWindows OS as device driver.  Kernel Space Hook create process system call by  PsSetCreateProcessNotifyRoutine I/O Manger Executive API File White List for  Resource Access Executive API Process Manger Process white list module White List for Process Creation Child (SHA1)―Parent … Access is denied if target resource is listed and the access i t ll d Filter Manager (Resource Access  Control) File S stem Device Driver Network Device Creation is denied if  no statement on  Process White List. Return  “CreationStatus” to  allow or disallow  is not allowed.File System Device Driver Resource If process creation is allowed, a child process is created.
Sample: White List for  Child process SHA-1 of child process binary Parent process C ¥Wi d ¥S t 32¥ d34f33130393425d3d4 671 0d4488 d8d1b6 S t Process Creation C:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,System C:¥Windows¥System32¥autochk.exe,1bd90caff9f3ab1d3cb7136ce9146c1c2e69368b,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥csrss.exe,53bc9b2ae89fcad6197ec519ae588f926c88e460,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥wininit exe c7bba9840c44e7739fb314b7a3efe30e6b25cc48 C:¥Windows¥System32¥smss exeC:¥Windows¥System32¥wininit.exe,c7bba9840c44e7739fb314b7a3efe30e6b25cc48,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥csrss.exe,53bc9b2ae89fcad6197ec519ae588f926c88e460,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥services.exe,54a90c371155985420f455361a5b3ac897e6c96e,C:¥Windows¥System32¥wininit.exe C:¥Windows¥System32¥lsass.exe,d49245356dd4dc5e8f64037e4dc385355882a340,C:¥Windows¥System32¥wininit.exe C:¥Windows¥System32¥lsm.exe,e16beae2233832547bac23fbd82d5321cfc5d645,C:¥Windows¥System32¥wininit.exe C:¥Windows¥System32¥winlogon.exe,b8561be07a37c7414d6e059046ab0ad2c24bd2ad,C:¥Windows¥System32¥smss.exe Parent‐Child relation SHA‐1 of binary is used for  the integrity check.g y – It works as Tripwire.
S4x14 本会議 Commercial version of Nessus Commercial version of Snort • Attendee: 300人 • ICS-CERT, Idaho National Laboratory, Cert-Australia, many vendors • From Japan:  JPCERT/CC山田秀和さん、サイバーディ フェンス 福森大喜さん、丑丸逸人さん福森大喜さ 、 丸逸人さ
面白かった発表面白かった発表 • HoneyTrain Project (By Marina Krotofil of Compass Security and  Hamburg  University of Technology)University of Technology) – ニュルンブルク(ドイツ)の地下鉄のシミュレータを用意して、それ に攻撃するプロジェクト SCADA T B d' (NSTB)• SCADA Test Bed's (NSTB) (By Bri Rolston of Idaho National Labs ) – 米国アイダホ国研のSCADAテストベッドの報告 – ATAC: Attack Technology Analysis & CharacterizationATAC: Attack Technology Analysis & Characterization • Attack to HART (Highway Addressable Remote Transducer)  Protocol  (By Alexander Bolshev, Young Russian Researcher) HARTプロト ルではデバイス検索を行うので 偽の情報を返すこと– HARTプロトコルではデバイス検索を行うので、偽の情報を返すこと が出来る。これと使って偽のデバイスを含めることが出来る。 – 発表者は大学を出たばかりで若いが優秀。 • “PLCPwn”  a fake device (By Stephen Hilt, Digital Bond) – RaspberryPi が$10,000 する制御機器ControlLogix のコマンドを送 れるようにした。これを制御システムに入れてシャットダウンもできれるようにした。これを制御システムに入れてシャットダウンもでき る。
Advanced Training:  Introduction to Hardware  Hacking for ICS ProfessionalsHacking for ICS Professionals • 最終日の1日トレーニング。ハードウェアに対するハッキン グで参加者は攻撃対象のゲ ム機が貰えましたグで参加者は攻撃対象のゲーム機が貰えました。
ICSage 1/2 • 最終日の技術課題以外の報告会(各インデントなど)。 • Thomas Rid (King‘s College London)による講演あり• Thomas Rid (King s College London)による講演あり。 – 出版した本“Cyber War will not Take Place” の解説。 昼食時に無料で本が提供され サインして貰いました その他– 昼食時に無料で本が提供され、サインして貰いました。その他 の本やグッズももらえました。 • “SCADA and ME” は子供むけの啓蒙書SCADA and ME は子供むけの啓蒙書
ICSage 2/2 • Stuxnetを解析した Ralph Langner へのインビュー – Ralph Langner はJPCERET’s 制御システムセキュリティ カンファレンス 2014/2/5でも講演していました。別の話カン ァ ン / / でも講演して ました。別の話 題ですが。
ちょっと驚いたことちょっと驚いたこと 参加者を検索する ば• 参加者を検索するとHPはLinkedInばかり。 – No original HPg – No FaceBook 業界特有?• 業界特有?
S4xJapanp • 日本でもS4が行われます。 S4 J 10/14 1 @六本木アカデミ ヒルズ– S4xJapan 10/14,15 @六本木アカデミーヒルズ

More Related Content

PDF
CODE BLUE 2014 : サイバーエスピオナージを抑制するためにデバイスを無効化する ハイパーバイザー "DeviceDisEnabler" by...
byCODE BLUE
 
PDF
Bitvisorをベースとした既存Windowsのドライバメモリ保護
byKuniyasu Suzaki
 
PPTX
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
byCODE BLUE
 
PDF
Exploring the x64
byFFRI, Inc.
 
PDF
Iot safety and security
byKiyoshi Ogawa
 
PDF
システムコールフックを使用した攻撃検出
byFFRI, Inc.
 
PPTX
Windows 10 IoT Coreの脅威分析と実施すべきセキュリティ対策 by 和栗直英 - CODE BLUE 2015
byCODE BLUE
 
PDF
私立大学情報教育協会大学 情報セキュリティ研究講習会
byKuniyasu Suzaki
 
CODE BLUE 2014 : サイバーエスピオナージを抑制するためにデバイスを無効化する ハイパーバイザー "DeviceDisEnabler" by...
byCODE BLUE
 
Bitvisorをベースとした既存Windowsのドライバメモリ保護
byKuniyasu Suzaki
 
日本の組織をターゲットにした攻撃キャンペーンの詳細 by 朝長 秀誠 & 中村 祐 - CODE BLUE 2015
byCODE BLUE
 
Exploring the x64
byFFRI, Inc.
 
Iot safety and security
byKiyoshi Ogawa
 
システムコールフックを使用した攻撃検出
byFFRI, Inc.
 
Windows 10 IoT Coreの脅威分析と実施すべきセキュリティ対策 by 和栗直英 - CODE BLUE 2015
byCODE BLUE
 
私立大学情報教育協会大学 情報セキュリティ研究講習会
byKuniyasu Suzaki
 

What's hot

PDF
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
byAsuka Nakajima
 
PDF
技術紹介: S2E: Selective Symbolic Execution Engine
byAsuka Nakajima
 
PDF
Solnik secure enclaveprocessor-pacsec-final-jp
byPacSecJP
 
PDF
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
byFFRI, Inc.
 
PPTX
LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミン
byCODE BLUE
 
PDF
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
byKuniyasu Suzaki
 
PDF
Slide presented at FIT 2021 Top Conference (Reboot Oriented IoT, ACSAC2021)
byKuniyasu Suzaki
 
PDF
Qinghao vulnerabilities mining technology of cloud and virtualization platfo...
byPacSecJP
 
[JPCERT/CC POC Meeting] 研究紹介 + DLLハイジャックの脆弱性
byAsuka Nakajima
 
技術紹介: S2E: Selective Symbolic Execution Engine
byAsuka Nakajima
 
Solnik secure enclaveprocessor-pacsec-final-jp
byPacSecJP
 
Appearances are deceiving: Novel offensive techniques in Windows 10/11 on ARM
byFFRI, Inc.
 
LG vs. Samsung スマートTV: あなたを追跡できるのはどちら? by イ・サンミン
byCODE BLUE
 
3種類のTEE比較(Intel SGX, ARM TrustZone, RISC-V Keystone)
byKuniyasu Suzaki
 
Slide presented at FIT 2021 Top Conference (Reboot Oriented IoT, ACSAC2021)
byKuniyasu Suzaki
 
Qinghao vulnerabilities mining technology of cloud and virtualization platfo...
byPacSecJP
 

More from Kuniyasu Suzaki

PDF
仮想化技術によるマルウェア対策とその問題点
byKuniyasu Suzaki
 
PDF
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
byKuniyasu Suzaki
 
PDF
IETF111 RATS: Remote Attestation ProcedureS 報告
byKuniyasu Suzaki
 
PDF
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
byKuniyasu Suzaki
 
PDF
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
byKuniyasu Suzaki
 
PDF
OSセキュリティチュートリアル
byKuniyasu Suzaki
 
PDF
RISC-V-Day-Tokyo2018-suzaki
byKuniyasu Suzaki
 
PDF
Kernel Memory Protection by an Insertable Hypervisor which has VM Introspec...
byKuniyasu Suzaki
 
PDF
ACSAC2020 "Return-Oriented IoT" by Kuniyasu Suzaki
byKuniyasu Suzaki
 
PDF
Nested Virtual Machines and Proxies
byKuniyasu Suzaki
 
PDF
ACM SOSP11 & SOCC11 & PLOS11 Report
byKuniyasu Suzaki
 
PDF
Hardware-assisted Isolated Execution Environment to run trusted OS and applic...
byKuniyasu Suzaki
 
PDF
Io t security-suzki-20170224
byKuniyasu Suzaki
 
PDF
Slide used at ACM-SAC 2014 by Suzaki
byKuniyasu Suzaki
 
PDF
Security on cloud storage and IaaS (NSC: Taiwan - JST: Japan workshop)
byKuniyasu Suzaki
 
PDF
USENIX NSDI17 Memory Disaggregation
byKuniyasu Suzaki
 
PDF
”Bare-Metal Container" presented at HPCC2016
byKuniyasu Suzaki
 
PDF
BMC: Bare Metal Container @Open Source Summit Japan 2017
byKuniyasu Suzaki
 
PDF
EuroSec2012 "Effects of Memory Randomization, Sanitization and Page Cache on ...
byKuniyasu Suzaki
 
PDF
Technology Used in Virtual Machine (Jan 2008)
byKuniyasu Suzaki
 
仮想化技術によるマルウェア対策とその問題点
byKuniyasu Suzaki
 
RISC-Vのセキュリティ技術(TEE, Root of Trust, Remote Attestation)
byKuniyasu Suzaki
 
IETF111 RATS: Remote Attestation ProcedureS 報告
byKuniyasu Suzaki
 
遠隔デバイスとの信頼を築くための技術とその標準(TEEP RATS)
byKuniyasu Suzaki
 
TEE (Trusted Execution Environment)は第二の仮想化技術になるか?
byKuniyasu Suzaki
 
OSセキュリティチュートリアル
byKuniyasu Suzaki
 
RISC-V-Day-Tokyo2018-suzaki
byKuniyasu Suzaki
 
Kernel Memory Protection by an Insertable Hypervisor which has VM Introspec...
byKuniyasu Suzaki
 
ACSAC2020 "Return-Oriented IoT" by Kuniyasu Suzaki
byKuniyasu Suzaki
 
Nested Virtual Machines and Proxies
byKuniyasu Suzaki
 
ACM SOSP11 & SOCC11 & PLOS11 Report
byKuniyasu Suzaki
 
Hardware-assisted Isolated Execution Environment to run trusted OS and applic...
byKuniyasu Suzaki
 
Io t security-suzki-20170224
byKuniyasu Suzaki
 
Slide used at ACM-SAC 2014 by Suzaki
byKuniyasu Suzaki
 
Security on cloud storage and IaaS (NSC: Taiwan - JST: Japan workshop)
byKuniyasu Suzaki
 
USENIX NSDI17 Memory Disaggregation
byKuniyasu Suzaki
 
”Bare-Metal Container" presented at HPCC2016
byKuniyasu Suzaki
 
BMC: Bare Metal Container @Open Source Summit Japan 2017
byKuniyasu Suzaki
 
EuroSec2012 "Effects of Memory Randomization, Sanitization and Page Cache on ...
byKuniyasu Suzaki
 
Technology Used in Virtual Machine (Jan 2008)
byKuniyasu Suzaki
 

Report for S4x14 (SCADA Security Scientific Symposium 2014)

  • 1.
    あなた 知らな キ世界あなたの知らないセキュリティの世界 S4x14報告S4x14報告 (2014/1/14‐17 ) @Miami International University http://www.cvent.com/events/s4x14/agenda‐5454e261d84146aebb78361954f3e5f8.aspxp // / / / g p 産業技術総合研究所産業技術総合研究所 須崎有康
  • 2.
    What is S4x14?What is S4x14? は•S4x14 は “SCADA Scientific Security  Symposium 2014”の略です。 • つまりSCADAに関するセキュリティシ ンポジュウムです。 で、SCADAってご存知ですか?
  • 3.
    What’s SCADA?!!What s SCADA?!! •SCADA は“Supervisory Control And  D t A i iti ” 略 すData Acquisition”の略です。 • なぞは解けましたね。 • えっ まだ?では具体的にどういうものかお• えっ、まだ?では具体的にどういうものかお 見せしましょう。
  • 4.
    An example of SCADA • 制御システムで使われるデバイスの状態を• 制御システムで使われるデバイスの状態を 監視するツールです。 •多くのツールが分かりやすいようにビジュア ルな表示をしています。ルな表示をしています。
  • 5.
    What is SCADA’sproblem?What is SCADA s problem? • SCADA は制御システムで使われています• SCADA は制御システムで使われています。 – 発電設備、ガスプラント、水管理システム、 etc. • SCADA製品はWindows上で動いています。それ ほど製品は多くありません。ほど製品は多くありません。 – RSView (Rockwell) I T h (W d )– InTouch (Wonderware) – iFix (GE) – FA‐Panel (国産:株式会社ロボティクスウェア) • 問題はSCADA が制御システムの攻撃エントリー問題はSCADA が制御システムの攻撃エントリ ポイントになってることです!
  • 6.
    SCADA 攻撃の代表例 • イランのアフマドネジャフ大統領が核施設を公開した情 報から何のSCADAがどう使われているかが類推されまし報から何の がどう使われてるかが類推されまし た。これがSCADA への攻撃(Stuxnet)に繋がったと言われ ています。て ます。 攻撃者はこの仮面情報から何のSCADAがどう使われているか類推されたと言われています。
  • 7.
    なぜSCADAが攻撃されるのか。 (某大佐のつぶやき 「脆弱だからさ 」)(某大佐のつぶやき:「脆弱だからさ。」) •使っている通信プロトコルに脆弱性がある。 – OPC • WindowsのDCOMベースで脆弱であり、OPC‐UAに移行中。 – ModbusModbus • 産業用Modbus TCPプロトコルパケットの安全を確保するのは難しい – https://www.ibsjapan.co.jp/news/678.html • 「Modbus」プロトコルに関するバッファオーバーフローの脆弱性を紹介• 「Modbus」プロトコルに関するバッファオ バ フロ の脆弱性を紹介。 (サイバーディフェンス 福森さん) – http://www.itmedia.co.jp/enterprise/articles/1202/06/news009_2.html • SCADAは制御システム監視のため無停止で動いており• SCADAは制御システム監視のため無停止で動いており、 アップデートがされない。 – IPAレポートH24「狙われる脆弱性・・・SCADA システムの真の 問題とは問題とは?」 http://www.ipa.go.jp/files/000036076.pdf • 2つの大きな問題「パッチの不良率の高さ」と「パッチの提供率の低さ」 – NISCレポートH22「制御システムのオープン化が重要インフラの情NISCレポ トH22 制御システムのオ プン化が重要インフラの情 報セキュリティに与える影響の調査」 http://www.nisc.go.jp/inquiry/pdf/so_honbun.pdf
  • 8.
    S4x14 プログラム • 1/14          OT (Operations Technology) Day •1/15 16 S4x14 main symposium• 1/15‐16    S4x14 main symposium • 1/16           ICSage (Non‐technical Talks) Advanced Training:Advanced Training:  (1) Introduction to Hardware Hacking for ICS  ProfessionalsProfessionals (2) Response and Serial Fuzzing of ICS Protocol  Stacks • ICS Village 制御 機 を 意 参 者 攻撃を– 制御システム用の機器を用意し、参加者に攻撃を許したイベント。 – 福森さんのブログに体験記が書かれています。 「私が制御システム に根こそぎ侵入した方法」に根こそぎ侵入した方法」 • http://blog.f‐secure.jp/archives/50719640.html
  • 9.
    OT (Operations Technology)DayOT (Operations Technology) Day • ここで発表しました• ここで発表しました。 • Title:Process Whitelisting And Resource Access  lControl For ICS Computers • スライド資料 http://www.slideshare.net/dgpeters/5‐suzaki113‐ 30731969 • 参加者が想定より多かったため、部屋を2つ借りて 午前・午後の2回発表させられました。前 発表 。 – スケジュールも当日知らされ、戸惑いました。また、自分 の裏のセッションが聞けないなど問題も。
  • 10.
    OS LockdownOS Lockdown  • Lockdown for attacker.  •Legitimate applications work well, if necessary computing  resources are registered.   (1)  Process Creation ( ) (2) Computing Resources Access from a process
  • 11.
    Example of OSLockdownExample of OS Lockdown Normal OS on HMI Lockdo n OS on HMINormal OS on HMI Lockdown OS on HMI  White List for Process Creation Applications have vulnerabilities, and  resources have no limitation to use.  (1) A creates B,D, and G.    (2) D creates E.  (3) E and G  cannot run at same time.  White List for Resource Access is opened by A and B. is opened by E and G A B C Attack creates malicious C process.  A B C Attack creates malicious C process. No rule for the process  creationA B C D E Attack creates G   t A B C D E creation Attack creates G   t No rule to access the file D E Attack accesses the green  file. process to  access the  disk. D E Attack accesses the green  file. G can be created by A and can access  to the disk However G cannot run process to  access the  disk. G G to the disk. However, G cannot run  along with E  at the same time to  protect same resource access.
  • 12.
    Current Implementationp • Process White List is implemented in a Kernel of Windows. – It used hook function offered by Windows.y •PsSetCreateProcessNotifyRoutineEX() • Resource Access Control is implemented as Filter Manager. Parent  Process Child  Process PWC and RAC are implemented on  Windows OS as device driver User Space Kernel Space Request to create process (system Call) Request to access resources (system Call) E i API ocess ocessWindows OS as device driver.  Kernel Space Hook create process system call by  PsSetCreateProcessNotifyRoutine I/O Manger Executive API File White List for  Resource Access Executive API Process Manger Process white list module White List for Process Creation Child (SHA1)―Parent … Access is denied if target resource is listed and the access i t ll d Filter Manager (Resource Access  Control) File S stem Device Driver Network Device Creation is denied if  no statement on  Process White List. Return  “CreationStatus” to  allow or disallow  is not allowed.File System Device Driver Resource If process creation is allowed, a child process is created.
  • 13.
    Sample: White List for  Child process SHA-1of child process binary Parent process C ¥Wi d ¥S t 32¥ d34f33130393425d3d4 671 0d4488 d8d1b6 S t Process Creation C:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,System C:¥Windows¥System32¥autochk.exe,1bd90caff9f3ab1d3cb7136ce9146c1c2e69368b,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥csrss.exe,53bc9b2ae89fcad6197ec519ae588f926c88e460,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥wininit exe c7bba9840c44e7739fb314b7a3efe30e6b25cc48 C:¥Windows¥System32¥smss exeC:¥Windows¥System32¥wininit.exe,c7bba9840c44e7739fb314b7a3efe30e6b25cc48,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥csrss.exe,53bc9b2ae89fcad6197ec519ae588f926c88e460,C:¥Windows¥System32¥smss.exe C:¥Windows¥System32¥services.exe,54a90c371155985420f455361a5b3ac897e6c96e,C:¥Windows¥System32¥wininit.exe C:¥Windows¥System32¥lsass.exe,d49245356dd4dc5e8f64037e4dc385355882a340,C:¥Windows¥System32¥wininit.exe C:¥Windows¥System32¥lsm.exe,e16beae2233832547bac23fbd82d5321cfc5d645,C:¥Windows¥System32¥wininit.exe C:¥Windows¥System32¥winlogon.exe,b8561be07a37c7414d6e059046ab0ad2c24bd2ad,C:¥Windows¥System32¥smss.exe Parent‐Child relation SHA‐1 of binary is used for  the integrity check.g y – It works as Tripwire.
  • 14.
    S4x14 本会議 Commercial version of Nessus Commercial version of Snort • Attendee: 300人 •ICS-CERT, Idaho National Laboratory, Cert-Australia, many vendors • From Japan:  JPCERT/CC山田秀和さん、サイバーディ フェンス 福森大喜さん、丑丸逸人さん福森大喜さ 、 丸逸人さ
  • 15.
    面白かった発表面白かった発表 • HoneyTrain Project (By Marina Krotofilof Compass Security and  Hamburg  University of Technology)University of Technology) – ニュルンブルク(ドイツ)の地下鉄のシミュレータを用意して、それ に攻撃するプロジェクト SCADA T B d' (NSTB)• SCADA Test Bed's (NSTB) (By Bri Rolston of Idaho National Labs ) – 米国アイダホ国研のSCADAテストベッドの報告 – ATAC: Attack Technology Analysis & CharacterizationATAC: Attack Technology Analysis & Characterization • Attack to HART (Highway Addressable Remote Transducer)  Protocol  (By Alexander Bolshev, Young Russian Researcher) HARTプロト ルではデバイス検索を行うので 偽の情報を返すこと– HARTプロトコルではデバイス検索を行うので、偽の情報を返すこと が出来る。これと使って偽のデバイスを含めることが出来る。 – 発表者は大学を出たばかりで若いが優秀。 • “PLCPwn”  a fake device (By Stephen Hilt, Digital Bond) – RaspberryPi が$10,000 する制御機器ControlLogix のコマンドを送 れるようにした。これを制御システムに入れてシャットダウンもできれるようにした。これを制御システムに入れてシャットダウンもでき る。
  • 16.
    Advanced Training:  Introduction to Hardware  Hacking for ICSProfessionalsHacking for ICS Professionals • 最終日の1日トレーニング。ハードウェアに対するハッキン グで参加者は攻撃対象のゲ ム機が貰えましたグで参加者は攻撃対象のゲーム機が貰えました。
  • 17.
    ICSage 1/2 • 最終日の技術課題以外の報告会(各インデントなど)。 •Thomas Rid (King‘s College London)による講演あり• Thomas Rid (King s College London)による講演あり。 – 出版した本“Cyber War will not Take Place” の解説。 昼食時に無料で本が提供され サインして貰いました その他– 昼食時に無料で本が提供され、サインして貰いました。その他 の本やグッズももらえました。 • “SCADA and ME” は子供むけの啓蒙書SCADA and ME は子供むけの啓蒙書
  • 18.
    ICSage 2/2 • Stuxnetを解析したRalph Langner へのインビュー – Ralph Langner はJPCERET’s 制御システムセキュリティ カンファレンス 2014/2/5でも講演していました。別の話カン ァ ン / / でも講演して ました。別の話 題ですが。
  • 19.
  • 20.
    S4xJapanp • 日本でもS4が行われます。 S4 J10/14 1 @六本木アカデミ ヒルズ– S4xJapan 10/14,15 @六本木アカデミーヒルズ