L’avvento dell’era digitale ha portato le imprese a fronteggiare una crescita esponenziale sia delle opportunità di sviluppo che dei rischi e dei pericoli connessi con l’impiego delle reti. Oggi sono pochissime le realtà industriali che conoscono bene i diversi tipi di minaccia da cui difendersi e sono consapevoli dei rischi a cui sono esposte. Non solo: spesso le imprese produttive ritengono che la Cyber Security sia un argomento che riguarda solo altre realtà. La crescita vertiginosa dei fenomeni di hacking registrati nell’ultimo periodo nel mondo industriale conferma tuttavia la notevole vulnerabilità delle aziende e i rischi per la loro produzione. Gli obiettivi Il convegno offre alle aziende e agli operatori un’occasione di confronto sul tema “Industrial Cyber Security”, per aumentare la consapevolezza relativa ai rischi e orientarli nel percorso di implementazione delle misure necessarie a prevenire i pericoli insiti nella rete e ad ostacolare gli attacchi informatici. Durante l’incontro saranno descritte le diverse minacce esistenti in ambito industriale, presentati gli aspetti fondamentali del Cyber Crime e proposte misure efficaci per proteggere la produttività degli impianti e la riservatezza dei dati.

1. Benvenuti

2. Francesco Faenzi
Head of Cyber Security Business
Platform, Lutech SpA
f.faenzi@lutech.it
Attacchi informatici
Sessione demo di Live Hacking & Difesa

3. Attacco & Difesa
Strumenti & Persone
Scenario "Wifi": Attacco & Difesa (sessione live)
Scenario "VPN": Attacco & Difesa (sessione live)
Lesson Learned
Soluzioni
Agenda

4. Introduzione

5. Attacco
Live Hacking Etico
Difesa
Passiva: rilevamento intrusione, contestualizzazione,
allarme
Attiva: prevenzione intrusione
Scenario 1: abuso del Wifi “in fabbrica” e successiva
intrusione fino al fermo impianto
Scenario 2: abuso della VPN di gestione remota e
successiva intrusione fino alla perdita di controllo
dell'impianto
Introduzione
Attacco & Difesa in 2 scenari

7. Strumenti in opera:
Attacco: tecnologie facilmente reperibili e a costo zero
Rilevamento: Threat Management System di Lutech
Difesa attiva: Soluzioni di Cyber Security di Phoenix
Contact
Attori:
Cristiano Maruti: l'attaccante
Mirco Gentili: il difensore
Emanuele Temi: il difensore e il co-narratore
Introduzione
Persone & Strumenti

8. Scenario "Wifi"

9. Il Wifi è ormai onnipresente e necessario per ragioni di
business, di efficienza ecc che impongono una crescente
digitalizzazione del mondo Industriale
Il segnale Wifi è rilevabile anche fuori dall'impianto e in sua
prossimità
Scenario "Wifi"
Contesto

10. Scenario "Wifi"
Contesto

11. Scenario "Wifi" > Attacco
Ascolto passivo

12. Scenario "Wifi" > Attacco
Accesso operatore (1/2)

13. Scenario "Wifi" > Attacco
Accesso operatore (1/2)

15. Scansione passiva delle reti Wifi dell'area della fabbrica,
dall'esterno dell'edificio

16. Scansione passiva delle reti Wifi con un analizzatore di
segnali Wifi

17. Identificazione di una rete Wifi di particolare interesse, il cui
nome (colonna ESSID) fa pensare di aver trovato proprio la
rete della fabbrica

18. Intercettazione passiva del traffico cifrato di autenticazione
(cosiddetto "WPA handshake") al Wifi "SSIDSonda" da
parte di un qualsiasi PC di un operatore ("STATION")

19. Crack del traffico cifrato, in modalità offline, e
identificazione della password di accesso al Wifi ("KEY
FOUND!")

20. Abuso del Wifi si declina in "cracking offline tramite
bruteforce delle password di accesso al Wifi":
Il tool usato utilizza la CPU provando 2/3.000 password al
secondo
Si posso usare altri tool:
 In grado di sfruttare la GPU, arrivando a 20.000 password al secondo
 In cloud, in grado di raggiungere 250.000 password al secondo
Scenario "Wifi" > Attacco
Focus on

26. Scenario "Wifi" > Attacco
Attacco finale

28. Identificazione del PLC (in rete Wifi) che comanda la
"macchina rossa"

29. Avvio del tool di attacco

30. Esecuzione del tool di attacco
Prima dell'ultimo comando, l'attaccante potrebbe chiedere
una richiesta di riscatto, tenendo "sotto scacco" la vittima
Il riscatto non è accettato, quindi viene bloccata la macchina

31. Motivazioni molteplici, tra cui sono preminenti quelle legate
al profitto personale o di un'organizzazione criminale
Facile reperibilità di strumenti di attacco
Strumenti programmabili
Disponibilità di guide online e Youtube video
Diffusione (in)controllata del Wifi come esempio di una
digitalizzazione accelerata del mondo Industriale
Incuranza delle logiche di Cyber Security By Design e di
separazione delle reti Wifi e Industriale
Scenario "Wifi" > Attacco
Lesson Learned

32. Rilevamento in tempo reale dell'attacco in corso, con Lutech
Threat Management System
Ingaggio del team di prevenzione, con informazioni
contestualizzate sulla sorgente dell'attacco
Implementazione di soluzione mGuard di Phoenix Contact
per impedire la conclusione con successo dell'attacco
Scenario "Wifi" > Difesa

33. Scenario "Wifi" > Difesa
Rilevamento con TMS

34. Lutech TMS ha identificato un comando anomalo, eseguito
da indirizzo IP / stazione operatore anomala, ad orario
anomalo

35. Scenario "Wifi" > Difesa
Installazione mGuard

36. Creazione della separazione di rete da Wifi e rete LAN dove
risiede il PLC che istruisce la "macchina rossa"

37. Scenario "Wifi" > Difesa
Attacco senza successo

39. Esecuzione del tool di attacco
Tuttavia, questa volta, non accade nulla alla "macchina
rossa", che anzi procede indisturbata

40. Scenario "VPN"

41. Utilizzo di Virtual Private Network per la manutenzione
remota dei macchinari da parte del produttore
Scenario "VPN"
Contesto

42. Scenario "VPN" > Attacco
Riutilizzo credenziali VPN

43. Lo scenario di attacco è basato sul riutilizzo di username
aziendale e stessa password sottratte a centinaia di milioni
di utenti di vari servizi online (Linkedin, ecc.)
Scenario "VPN" > Attacco
Focus on

47. Le username e password recuperate come visto sono ormai
circolanti regolarmente nell'hacker underground
Vengono inserite in programmi fruibili di SCADA Access as
a service (SAaaS) dal Cloud e che provano costantemente
accessi remoti su scala Internet, riutilizzando appunto le
credenziali di cui sopra
Le connessioni di accesso remoto stabilite con successo
vengono anche rivendute
Scenario "VPN" > Attacco
Focus on

49. Scenario "VPN" > Attacco
Accesso con attacco alla stazione ingegneria

50. Scenario "VPN" > Attacco
Modifica programma PLC e Disservizio

52. Una volta entrato in VPN ed avendo identificato in rete la
postazione operatore con un Terminale Remoto attivo,
l'attaccante lancia un attacco bruteforce per crackare la
password di accesso a tale PC

53. Il crack della password ha successo

54. Questo permette l'accesso alla postazione, al software PC
Worx, con un programma di gestione del PLC caricato e con
l'abilitazione al comando di "svuotamento" della linea di
produzione
La linea di produzione si svuota …

55. Scenario "VPN" > Attacco
Lesson Learned
Impatti sottostimati dell'ecosistema digitale e
dell'immersione nel Cyberspace
Controlli su organizzazione del lavoro e comportatenti del
personale (commistione sfera privata e lavorativa)
Controlli tecnologici (riutilizzo password)

56. Rilevamento in tempo reale dell'attacco in corso, con Lutech
Threat Management System
Ingaggio del team di prevenzione, con informazioni
contestualizzate sulla sorgente dell'attacco
Configurazione di soluzione mGuard di Phoenix Contact
per impedire la conclusione con successo dell'attacco
L'utilizzo congiunto delle due soluzioni è automatizzabile
Scenario "VPN" > Difesa

57. Scenario "Wifi" > Difesa
Rilevamento con TMS

58. Lutech TMS ha identificato i tentativi ripetuti, prolungati,
evidentemente automatizzati di cracking della password del
Terminale Operatore

59. Scenario "VPN" > Difesa
Da TMS a mGuard e Blocco attacco (1/3)

60. Scenario "VPN" > Difesa
Da TMS a mGuard e Blocco attacco (2/3)

61. Scenario "VPN" > Difesa
Da TMS a mGuard e Blocco attacco (3/3)

63. L'attaccante perde l'accesso VPN alla rete

64. Conclusione

65. Motivazione principale: il profitto "facile"
Facile reperibilità di strumenti di attacco e programmabili
Disponibilità di guide online e Youtube video
Digitalizzazione accelerata del mondo Industriale e
sottostima delle logiche di Cyber Security By Design, anche
semplici (divide et impera)
Controlli su organizzazione del lavoro e comportatenti del
personale (commistione sfera privata e lavorativa)
Controlli base tecnologici mancanti (riutilizzo password
comuni)
Approccio alla difesa Maginot Line e consapevolezza
assente delle proprie difese e del proprio grado di
esposizione
Lesson Learned

66. Oltre la Lesson Learned
If it's software is hackable
If it's connected it's exposed
- Joshua Corman,
- Director | Cyber Statecraft Initiative |
- at Atlantic Council

71. Oltre la Lesson Learned: StuxNet

72. Non è questione di se,
Ma di quando
Oltre la Lesson Learned

73. Progettare con lo scopo che non vi sia mai
alcun guasto silente o – altrimenti detto –
mai alcuna sorpresa non mitigabile
Principi di Cybersecurity by Design (1/2)

74. Principi di Cybersecurity by Design (2/2)
Rendere più costoso il successo di un
attaccante

75. Soluzioni
Assenza di sorprese non mitigabili
Aumento dei costi per gli attaccanti
Cyber Threat Intelligence
Data Breach & Attack
Detection, Investigation &
Reaction
Cyber Security Testing
/ Ethical Hacking

76. Francesco Faenzi
Head of Cyber Security Business
Platform, Lutech SpA
f.faenzi@lutech.it
Grazie