Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.

(In)Seguridad Industrial 101

38 vues

Publié le

(In Spanish) Introduction to the problem of securing Industrial Control Systems and Industrial Network, along with some hints to the people that want to start in the field

Publié dans : Technologie
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

(In)Seguridad Industrial 101

  1. 1. (In)Seguridad Industrial 101 Mikel Iturbe Urretxa EuskalHack aurkezpena 2016-02-18 Donostia
  2. 2. $ whoami ● Doctorando en Mondragon Unibertsitatea ● Trabajando en la seguridad de redes industriales desde 2013 ● Detección y diagnosis de anomalías en redes industriales mediante el análisis de datos (In)Seguridad Industrial Mikel Iturbe Urretxa
  3. 3. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  4. 4. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  5. 5. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  6. 6. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr
  7. 7. Puesta en escena CC-BY-SA 3.0 Anula Grzesiak (In)Seguridad Industrial Mikel Iturbe Urretxa
  8. 8. Sistemas de control CC-BY-SA 3.0 Kreuzschnabel, Schmimi1848, Wolkenkratzer, Brian Cantoni, Hermann Luyken, Beroesz (In)Seguridad Industrial Mikel Iturbe Urretxa
  9. 9. Sistemas de control ● PCS, DCS, SCADA, ICS, IACS, PLC... © 2016 Little Bobby All Rights Reserved (In)Seguridad Industrial Mikel Iturbe Urretxa
  10. 10. Reparto: PLCs CC-BY 2.0 Robert Kevin Moore @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  11. 11. Reparto: PLCs CC-BY-SA 2.0 Ferruccio Zanone @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  12. 12. Reparto: HMI & SCADA CC-BY-ND 2.0 Green Mamba @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  13. 13. Reparto:Operadores © 2016 21st Century Fox All Rights Reserved (In)Seguridad Industrial Mikel Iturbe Urretxa
  14. 14. Guión: Protocolos ● Modbus, S7, MMS... – Diferentes protocolos, antiguos – Antes iban por líneas de serie y hoy en día van encima de TCP/IP – Autenticación, cifrado... (In)Seguridad Industrial Mikel Iturbe Urretxa
  15. 15. Personajes: ICS & IT Mi PC ABB PM856A-eA Memoria RAM 8 GB 16 MB Frecuencia del reloj del CPU 3,1 GHz 48 MHz Precio ~700€ ~2500€ (In)Seguridad Industrial Mikel Iturbe Urretxa
  16. 16. Problemas ● Las redes industriales están formadas por “ordenadores” especializados. ● Con hosts viejunos (años/décadas funcionando), que no se diseñaron para trabajar conectados a Internet. ● “Hay una segmentación absoluta entre la red de control y el exterior” más conocido como Air Gap. (In)Seguridad Industrial Mikel Iturbe Urretxa
  17. 17. Ya... Air Gap (In)Seguridad Industrial Mikel Iturbe Urretxa
  18. 18. Ya... Air Gap (In)Seguridad Industrial Mikel Iturbe Urretxa
  19. 19. ¿Y si son atacados? ● Aguas de Maroochy (Australia) – 142 estaciones de bombeo ● Ex-operador con material (soft y hard) robado ataca el sistema. ● >1 m de litros de aguas residuales sin tratar enviadas a ríos, parques... 2000 Slay, Jill, and Michael Miller. Lessons learned from the maroochy water breach. Springer US, 2007. CC-BY 2.0 USDA @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  20. 20. ¿Y si son atacados? ● Aurora. ● En un entorno de experimentación, investigadores consiguieron sabotear generadores de electricidad mediante inyeccion de paquetes. 2000 → 2007 Zeller, Mark. "Myth or reality—Does the Aurora vulnerability pose a risk to my generator?." Protective Relay Engineers, 2011 64th Annual Conference for. IEEE, 2011. (In)Seguridad Industrial Mikel Iturbe Urretxa
  21. 21. ¿Y si son atacados? ● Stuxnet – Malware dirigido a sabotear el programa nuclear iraní – 4 zero-days – Equipamientos de Siemens – Sabotaje de centrifugadoras de uranio haciendolas girar más rápidamente 2000 → 2007 → 2010 Langner, Ralph. "Stuxnet: Dissecting a cyberwarfare weapon." Security & Privacy, IEEE 9.3 (2011): 49-51. (In)Seguridad Industrial Mikel Iturbe Urretxa
  22. 22. ¿Y si son atacados? ● Incidente de la acería alemana – No hay muchos detalles ● Quién, cuándo, dónde... – Spear-Phising → Red IT → Red OT – No se pudo apagar un alto horno de forma controlada, causando daños “masivos” 2000 → 2007 → 2010 → 2014 De Maizière, Thomas. "Die Lage Der IT-Sicherheit in Deutschland 2014." Federal Office for Information Security (2014). (In)Seguridad Industrial Mikel Iturbe Urretxa
  23. 23. ¿Y si son atacados? ● Red ucraniana de electricidad – Durante el invierno de 2015-16 – Variante de BlackEnergy – Miles de personas sin electricidad durante periodos breves 2000 → 2007 → 2010 → 2014 → 2015/2016 (In)Seguridad Industrial Mikel Iturbe Urretxa
  24. 24. Y otros... ● Sabotaje industrial ● Espionaje – Flame – Duqu (In)Seguridad Industrial Mikel Iturbe Urretxa
  25. 25. Empieza... (In)Seguridad Industrial Mikel Iturbe Urretxa
  26. 26. First job (In)Seguridad Industrial Mikel Iturbe Urretxa
  27. 27. Reconocimiento (In)Seguridad Industrial Mikel Iturbe Urretxa
  28. 28. Reconocimiento (In)Seguridad Industrial Mikel Iturbe Urretxa
  29. 29. Moraleja NUNCA hay que realizar auditorías, tests de intrusiones... activas en una instalación en marcha. En serio, nunca. Pueden (y suelen) pasar cosas impredecibles. (In)Seguridad Industrial Mikel Iturbe Urretxa
  30. 30. Testbed (aka los experimentos, con gaseosa) (In)Seguridad Industrial Mikel Iturbe Urretxa
  31. 31. Testbed CC-BY-SA 2.0 Nick Ares @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  32. 32. Plantas Industriales ● http://www.ippe.com/Plants ● http://usedplants.com (In)Seguridad Industrial Mikel Iturbe Urretxa
  33. 33. Testbed (Plan B) CC-BY 2.0 Jason Rogers @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
  34. 34. Testbed ● Hardware: Equipamiento industrial – PLCs de segunda mano (In)Seguridad Industrial Mikel Iturbe Urretxa
  35. 35. Testbed ● Hardware: Switches (In)Seguridad Industrial Mikel Iturbe Urretxa
  36. 36. Testbed ● Juguetes – Bus Pirate – Taps – SDR – Convertores serial/usb/ethernet (In)Seguridad Industrial Mikel Iturbe Urretxa
  37. 37. Testbed ● Damn Vulnerable Chemical Process (DVCP) – Indispensable seguir el trabajo de Marina Krotofil y Jason Larsen – Modelos de Matlab/Simulink – TE: https://github.com/satejnik/DVCP-TE – VAM: https://github.com/satejnik/DVCP-VAM (In)Seguridad Industrial Mikel Iturbe Urretxa Krotofil, Marina, and Jason Larsen. "Rocking the pocket book: Hacking chemical plants." (2015).
  38. 38. Testbed (DVCP) (In)Seguridad Industrial Mikel Iturbe Urretxa
  39. 39. Testbed (DVCP) (In)Seguridad Industrial Mikel Iturbe Urretxa
  40. 40. Testbed (DVCP) ● Intrusiones a bajo nivel ● Entrenamiento ataques sofisticados – Disminuir la calidad/pureza del producto – Aumentar costes de producción ● Conocimientos de control (In)Seguridad Industrial Mikel Iturbe Urretxa
  41. 41. Testbed (Coms.) ● Muchos protocolos privados pero documentación pública y algunas implementaciones. ● Modbus – Pymodbus - Implementación completa Modbus. – Modsak - Modbus diagnostic program – Modbuspal - Simulador esclavo Modbus – Smod - Framework para Pentesting Modbus ● S7 – Wireshark dissector plugin – Snap7 - Implementación S7 (In)Seguridad Industrial Mikel Iturbe Urretxa
  42. 42. Testbed (Coms.) ● Protocolos privados sin documentación – Reversing ● Una vez especificado el protocolo... – Fuzzing! (In)Seguridad Industrial Mikel Iturbe Urretxa FOSDEM 2009 Reverse Engineering of Proprietary Protocols, Tools and Techniques
  43. 43. Honeypots ● Conpot – Siemens S7-200 – https://github.com/mushorg/conpot ● GridPot – Red eléctrica – https://github.com/sk4ld/gridpot ● Cosas a tener en cuenta – http://xiphosresearch.com/2015/12/09/OPSEC-For-Honeypots.html (In)Seguridad Industrial Mikel Iturbe Urretxa
  44. 44. Honeypots https://www.shodan.io/report/60xi7NDU (In)Seguridad Industrial Mikel Iturbe Urretxa
  45. 45. Demo: Embotelladora ● Demo – Modelo virtuaplant desarrollada por Jan Seidl. ● https://github.com/jseidl/virtuaplant – Pygame, Pymodbus, Pymunk... – Ataques (In)Seguridad Industrial Mikel Iturbe Urretxa
  46. 46. thnx miturbe@mondragon.edu mikel@hamahiru.org Clave GPG: 0x8141DED2 Twitter: @azken_tximinoa Github: @mikeliturbe http://iturbe.info (In)Seguridad Industrial Mikel Iturbe Urretxa

×