Agenda:
1. Wstęp - kto i po co chciałby zaatakować naszą infrastrukturę
2. Przykłady w jaki sposób mógłby wyglądać atak – omówienie na konkretnych sytuacjach:
atak „z Internetu”
przejęcie stacji w LAN
przejęcie telefonu
atak lokalny na transmisje bezprzewodowe
atak lokalny na okablowanie, niezabezpieczone gniazdka, switche...
ataki na transmisję przez Internet - słabości VPN, łącza GSM, ...
3. Czy skuteczna separacja sieci przemysłowej jest możliwa? Czy zawsze jest zgodna z założeniami? Jak zidentyfikować nieoczywiste punkty styku i ocenić ich bezpieczeństwo?
4. Porady i wskazówki, jak minimalizować zagrożenie
3. 3
www.skk.com.pl
www.securing.pl
Sławomir Jasek
Ekspert ds. bezpieczeństwa
(SecuRing)
Konsultant bezpieczeństwa IT w firmie SecuRing. Od 2003 roku (kilkaset projektów).
Bezpieczeństwo aplikacji www, mobilnych, embedded, IoT, sieci i systemów.
Prelegenci
4. 4
www.skk.com.pl
www.securing.pl
Jakub Szarata
Dyrektor Działu Systemów
Sieciowych
Ekspert w zakresie systemów sieciowych. Posiada kilkunastoletnie doświadczenie we wdrożeniach i
modernizacjach sieci w przedsiębiorstwach produkcyjnych i magazynowych. Brał udział w wielu projektach dla
firm takich jak - Ceramika Paradyż, LOT, Grupa Polskie Składy Budowlane, DPD, Saint Gobain, Rhenus Logistics,
Suedzucker Polska.
Prelegenci
5. 5
Ryzyko – skutki ataku?
• Straty finansowe, utrata
wizerunku
• Brak dostępności,
dezorganizacja pracy
• Wypadek, utrata zdrowia lub
życia pracowników
• Kary, procesy sądowe
• ...
6. 6
www.skk.com.pl
www.securing.pl
Kto mógłby zaatakować?
„grubszy cwaniak” „script-kiddie”
Krzysztof Jarzyna
ze Szczecina
Dorwał się do narzędzi,
wali na oślep, zwykle nie
bardzo rozumiejąc co się dzieje.
Coś mu się przypadkiem udało
(lub nie), i afera gotowa.
Ma motywację, zasoby oraz
możliwości przeprowadzenia
ataku nakierowanego
7. 7
Motywacje ataku
• Czysta ludzka złośliwość.
• Dla sławy!
• Dla satysfakcji.
• "Cyberwojna", "hacktywizm".
• Dla pieniędzy.
• ...
nie zawsze finansowe
(CC) https://www.flickr.com/photos/viirok/2498157861
9. Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
Atak z Internetu
10. 10
www.skk.com.pl
www.securing.pl
• Interfejsy administracyjne, błędy konfiguracji, proste hasła...
• Usługi publicznie widoczne w Internecie (poczta, www, vpn...)
Trywialne do namierzenia przez automatyczne skanery, oraz do przejęcia - jeśli są nieaktualne,
źle skonfigurowane, z domyślnymi hasłami...
Atak z Internetu?
www.tenable.com
13. 13
www.skk.com.pl
www.securing.pl
Sieci VPN
• Kto i jak może się połączyć do VPN?
• Czy przypadkiem nie da się zgadnąć lub przechwycić hasła?
• Jakie usługi, VLAN-y są dostępne przez VPN?
• VPN łączący różne lokalizacje:
• Prawidłowa konfiguracja?
• Czy intruz nie może przerwać połączenia?
• Czy jest łącze zapasowe?
14. 14
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
VPN
?
VPN?
17. 17
www.skk.com.pl
www.securing.pl
Atak na stację w LAN
Atak masowy, przypadkowy
• Phishing, wroga strona, nieaktualne oprogramowanie,
wirusy, malware, załącznik, pendrive...
Ataki nakierowane
• Socjotechniczne na pracowników
• Wykorzystujące słabości konkretnych konfiguracji
18. 18
www.skk.com.pl
www.securing.pl
LAN – granice zaufania
• LAN już nie może być traktowany jako sieć zaufana
• Ujawnione przypadki ataku na największe firmy, również te
profesjonalnie zajmujące się bezpieczeństwem
https://blog.kaspersky.co.uk/kaspersky-statement-duqu-attack/
20. 20
Przejęcie telefonu
• Smartfon to zaawansowany
komputer
• Może być przejęty (brak
aktualizacji, instalacja
oprogramowania z niepewnych
źródeł)
• Jeśli zostanie podłączony do
firmowej sieci wifi – wówczas intruz
może się również do niej dostać
• Nowe aplikacje mobilne, interfejsy
do sterowania urządzeniami –
większe ryzyko
22. 22
www.skk.com.pl
www.securing.pl
Intruz w LAN – i co z tego?
• Atak masowy – np. szuka w historii przeglądarki
bankowości internetowej, próbuje ją przejąć
• Będzie chciał spieniężyć dostęp – np. zaatakuje
księgowość, spróbuje przekierować przelew na swoje
konto, przejąć dostęp do bankowości elektronicznej
• Będąc w sieci LAN może również wpłynąć na decyzje
biznesowe, zlecić rekonfigurację urządzeń, przekierować
dostawy, ukraść poufne dane, wpłynąć na nasz
wizerunek...
• Czy na pewno nie dostanie się do sieci przemysłowej?
23. 23
www.skk.com.pl
www.securing.pl
Np. stany magazynowe,
statystyki do BI/ERP
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna Logiczna separacja
"Druga noga" do sieci LAN
Wyjątki od separacji?
24. 24
www.skk.com.pl
www.securing.pl
Malware przemysłowe?
• Moduły trojanów automatycznie wyszukujące
wszystkie dostępne interfejsy sterowania urządzeniami
przemysłowymi.
• Ujawniono wiele przypadków wrogiego przejęcia
strony www producentów urządzeń, oraz podmiany
plików oprogramowania na wersje z trojanem.
Więcej informacji:
https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A
https://www.f-secure.com/weblog/archives/00002718.html
26. 26
Sieć przemysłowa
• IT: "To nie moja działka,
nie wiem co tam się
dzieje"
• Automatycy:
"Bezpieczeństwo sieci???"
27. 27
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna(?) separacja
Wifi w sieci przemysłowej
28. 28
To ile macie czytników?
• Prawdziwy przypadek u
jednego z Klientów:
telefony pracowników
podłączone do sieci
produkcyjnej.
29. 29
www.skk.com.pl
www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna(?) separacja
Dedykowane radio
np. 433, 868 Mhz
Bezprzewodowo = Wifi?
30. 30
www.skk.com.pl
www.securing.pl
Analiza zastrzeżonych sygnałów radiowych
• Już nie potrzeba drogiego,
specjalistycznego sprzętu.
• Karta TV USB ~ 40 PLN.
• Odbiera sygnał w wersji "surowej" na
wszystkich interesujących
częstotliwościach (52 – 2200 Mhz).
• Darmowe oprogramowanie potrafi
przetworzyć i zdekodować sygnał.
32. 32
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
INTERNET
inna lokalizacjaZdalne połączenie,
np. GSM
Zdalne interfejsy?
Zdalny dostęp serwisowy?
33. 33
www.skk.com.pl
www.securing.pl
• Automaty na bieżąco przeszukują cały Internet
• Skatalogowane, łatwe do wyszukiwania wyniki – wg typu urządzenia, kraju,
lokalizacji...
Publiczne interfejsy urządzeń?
42. 42
Dostęp fizyczny
Czy ktoś by zauważył taką dodatkową
wtyczkę z wbudowanym ruterem?
Czy ktoś by ją wyciągnął gdyby była
podpisana "IT, nie rozłączać"?
43. 43
Dostęp fizyczny
Czy ktoś by zauważył taką dodatkową
wtyczkę z wbudowanym ruterem?
Czy ktoś by ją wyciągnął gdyby była
podpisana "IT, nie rozłączać"?
44. 44
www.skk.com.pl
www.securing.pl
Co możemy zrobić?
• Skatalogowanie wszystkich zasobów, usług, łączy, procesów, przepływów danych.
• Modelowanie zagrożeń, analiza ryzyka.
• Skuteczna segmentacja przez wiele warstw zabezpieczeń.
• Wyłączenie nadmiarowych usług, konfiguracja dostępu zgodnie z zasadą
najmniejszych przywilejów.
• Identyfikacja i bieżące usuwanie podatności w poszczególnych komponentach
(aktualizacje, błędy w oprogramowaniu i konfiguracji).
• Działające bezpieczeństwo fizyczne.
• Przygotowanie na wypadek niedostępności (redundancja, backup...).
• Dostosowanie zabezpieczeń do potrzeb użytkowników.
• Podnoszenie świadomości pracowników.