Agenda: 1. Wstęp - kto i po co chciałby zaatakować naszą infrastrukturę 2. Przykłady w jaki sposób mógłby wyglądać atak – omówienie na konkretnych sytuacjach: atak „z Internetu” przejęcie stacji w LAN przejęcie telefonu atak lokalny na transmisje bezprzewodowe atak lokalny na okablowanie, niezabezpieczone gniazdka, switche... ataki na transmisję przez Internet - słabości VPN, łącza GSM, ... 3. Czy skuteczna separacja sieci przemysłowej jest możliwa? Czy zawsze jest zgodna z założeniami? Jak zidentyfikować nieoczywiste punkty styku i ocenić ich bezpieczeństwo? 4. Porady i wskazówki, jak minimalizować zagrożenie

1. 6 sposobówNa przejęcie kontroli nad siecią przemysłową
Darmowe webinarium, 8.12.2015

2. 2
www.skk.com.pl
www.securing.pl
Ryzyko, profile i cele
intruzów
Wstęp
1
Jak minimalizować
ryzyko
Podsumowanie
3
Omówienie rodzajów
ataków na przykładach
Rodzaje ataków
2
Agenda

3. 3
www.skk.com.pl
www.securing.pl
Sławomir Jasek
Ekspert ds. bezpieczeństwa
(SecuRing)
Konsultant bezpieczeństwa IT w firmie SecuRing. Od 2003 roku (kilkaset projektów).
Bezpieczeństwo aplikacji www, mobilnych, embedded, IoT, sieci i systemów.
Prelegenci

4. 4
www.skk.com.pl
www.securing.pl
Jakub Szarata
Dyrektor Działu Systemów
Sieciowych
Ekspert w zakresie systemów sieciowych. Posiada kilkunastoletnie doświadczenie we wdrożeniach i
modernizacjach sieci w przedsiębiorstwach produkcyjnych i magazynowych. Brał udział w wielu projektach dla
firm takich jak - Ceramika Paradyż, LOT, Grupa Polskie Składy Budowlane, DPD, Saint Gobain, Rhenus Logistics,
Suedzucker Polska.
Prelegenci

5. 5
Ryzyko – skutki ataku?
• Straty finansowe, utrata
wizerunku
• Brak dostępności,
dezorganizacja pracy
• Wypadek, utrata zdrowia lub
życia pracowników
• Kary, procesy sądowe
• ...

6. 6
www.skk.com.pl
www.securing.pl
Kto mógłby zaatakować?
„grubszy cwaniak” „script-kiddie”
Krzysztof Jarzyna
ze Szczecina
Dorwał się do narzędzi,
wali na oślep, zwykle nie
bardzo rozumiejąc co się dzieje.
Coś mu się przypadkiem udało
(lub nie), i afera gotowa.
Ma motywację, zasoby oraz
możliwości przeprowadzenia
ataku nakierowanego

7. 7
Motywacje ataku
• Czysta ludzka złośliwość.
• Dla sławy!
• Dla satysfakcji.
• "Cyberwojna", "hacktywizm".
• Dla pieniędzy.
• ...
nie zawsze finansowe
(CC) https://www.flickr.com/photos/viirok/2498157861

8. 8
www.skk.com.pl
www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
Typowa architektura

9. Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
Atak z Internetu

10. 10
www.skk.com.pl
www.securing.pl
• Interfejsy administracyjne, błędy konfiguracji, proste hasła...
• Usługi publicznie widoczne w Internecie (poczta, www, vpn...)
Trywialne do namierzenia przez automatyczne skanery, oraz do przejęcia - jeśli są nieaktualne,
źle skonfigurowane, z domyślnymi hasłami...
Atak z Internetu?
www.tenable.com

11. 11
www.skk.com.pl
www.securing.pl
Human Machine Interface
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
Dodatkowy ruter?

12. 12
www.skk.com.pl
www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
VPN
VPN?

13. 13
www.skk.com.pl
www.securing.pl
Sieci VPN
• Kto i jak może się połączyć do VPN?
• Czy przypadkiem nie da się zgadnąć lub przechwycić hasła?
• Jakie usługi, VLAN-y są dostępne przez VPN?
• VPN łączący różne lokalizacje:
• Prawidłowa konfiguracja?
• Czy intruz nie może przerwać połączenia?
• Czy jest łącze zapasowe?

14. 14
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
VPN
?
VPN?

15. 15
www.skk.com.pl
www.securing.pl
Backdoor
• Prawdziwy przypadek u jednego z
Klientów

16. 16
www.skk.com.pl
www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
Atak na stację w LAN

17. 17
www.skk.com.pl
www.securing.pl
Atak na stację w LAN
Atak masowy, przypadkowy
• Phishing, wroga strona, nieaktualne oprogramowanie,
wirusy, malware, załącznik, pendrive...
Ataki nakierowane
• Socjotechniczne na pracowników
• Wykorzystujące słabości konkretnych konfiguracji

18. 18
www.skk.com.pl
www.securing.pl
LAN – granice zaufania
• LAN już nie może być traktowany jako sieć zaufana
• Ujawnione przypadki ataku na największe firmy, również te
profesjonalnie zajmujące się bezpieczeństwem
https://blog.kaspersky.co.uk/kaspersky-statement-duqu-attack/

19. 19
www.skk.com.pl
www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
Sieci bezprzewodowe

20. 20
Przejęcie telefonu
• Smartfon to zaawansowany
komputer
• Może być przejęty (brak
aktualizacji, instalacja
oprogramowania z niepewnych
źródeł)
• Jeśli zostanie podłączony do
firmowej sieci wifi – wówczas intruz
może się również do niej dostać
• Nowe aplikacje mobilne, interfejsy
do sterowania urządzeniami –
większe ryzyko

21. 21
www.skk.com.pl
www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
Przejęty telefon

22. 22
www.skk.com.pl
www.securing.pl
Intruz w LAN – i co z tego?
• Atak masowy – np. szuka w historii przeglądarki
bankowości internetowej, próbuje ją przejąć
• Będzie chciał spieniężyć dostęp – np. zaatakuje
księgowość, spróbuje przekierować przelew na swoje
konto, przejąć dostęp do bankowości elektronicznej
• Będąc w sieci LAN może również wpłynąć na decyzje
biznesowe, zlecić rekonfigurację urządzeń, przekierować
dostawy, ukraść poufne dane, wpłynąć na nasz
wizerunek...
• Czy na pewno nie dostanie się do sieci przemysłowej?

23. 23
www.skk.com.pl
www.securing.pl
Np. stany magazynowe,
statystyki do BI/ERP
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna Logiczna separacja
"Druga noga" do sieci LAN
Wyjątki od separacji?

24. 24
www.skk.com.pl
www.securing.pl
Malware przemysłowe?
• Moduły trojanów automatycznie wyszukujące
wszystkie dostępne interfejsy sterowania urządzeniami
przemysłowymi.
• Ujawniono wiele przypadków wrogiego przejęcia
strony www producentów urządzeń, oraz podmiany
plików oprogramowania na wersje z trojanem.
Więcej informacji:
https://ics-cert.us-cert.gov/alerts/ICS-ALERT-14-176-02A
https://www.f-secure.com/weblog/archives/00002718.html

25. 25
www.skk.com.pl
www.securing.pl
Separacja
dla zdeterminowanego intruza i tak możliwa do obejścia
http://www.cnet.com/news/stuxnet-delivered-to-iranian-nuclear-plant-on-thumb-drive/

26. 26
Sieć przemysłowa
• IT: "To nie moja działka,
nie wiem co tam się
dzieje"
• Automatycy:
"Bezpieczeństwo sieci???"

27. 27
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna(?) separacja
Wifi w sieci przemysłowej

28. 28
To ile macie czytników?
• Prawdziwy przypadek u
jednego z Klientów:
telefony pracowników
podłączone do sieci
produkcyjnej.

29. 29
www.skk.com.pl
www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna(?) separacja
Dedykowane radio
np. 433, 868 Mhz
Bezprzewodowo = Wifi?

30. 30
www.skk.com.pl
www.securing.pl
Analiza zastrzeżonych sygnałów radiowych
• Już nie potrzeba drogiego,
specjalistycznego sprzętu.
• Karta TV USB ~ 40 PLN.
• Odbiera sygnał w wersji "surowej" na
wszystkich interesujących
częstotliwościach (52 – 2200 Mhz).
• Darmowe oprogramowanie potrafi
przetworzyć i zdekodować sygnał.

31. 31
www.skk.com.pl
www.securing.pl
Publiczna lista częstotliwości
http://www.uke.gov.pl/pozwolenia-radiowe-dla-klasycznych-sieci-radiokomunikacji-ruchomej-ladowej-5458

32. 32
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
INTERNET
inna lokalizacjaZdalne połączenie,
np. GSM
Zdalne interfejsy?
Zdalny dostęp serwisowy?

33. 33
www.skk.com.pl
www.securing.pl
• Automaty na bieżąco przeszukują cały Internet
• Skatalogowane, łatwe do wyszukiwania wyniki – wg typu urządzenia, kraju,
lokalizacji...
Publiczne interfejsy urządzeń?

34. 34
www.skk.com.pl
www.securing.pl
Publiczne interfejsy urządzeń?
http://www.tripwire.com/state-of-security/incident-detection/dhs-confirms-u-s-public-utilitys-control-system-was-hacked/
http://www.pcworld.com/article/244359/water_utility_hacked_are_our_scada_systems_at_risk_.html
https://threatpost.com/ics-cert-confirms-public-utility-compromised-recently/106202/

35. 35
www.skk.com.pl
www.securing.pl
Czujnik dostępny zdalnie z Internetu. Łatwy do namierzenia
przez skaner automatyczny przeszukujący cały Internet.
"To tylko czujnik"? Intruz może:
• zmienić wskazania -> braknie paliwa
• zasymulować wyciek -> zamknięcie stacji
http://arstechnica.com/security/2015/01/internet-attack-could-shut-down-us-gasoline-stations/
https://community.rapid7.com/community/infosec/blog/2015/01/22/the-internet-of-gas-station-tank-gauges
Czujniki na stacjach benzynowych

36. 36
www.skk.com.pl
www.securing.pl
Interfejsy Modbus-TCP

37. 37
www.skk.com.pl
www.securing.pl
Interfejsy Modbus-TCP

38. 38
www.skk.com.pl
www.securing.pl
Interfejsy Modbus-TCP

39. 39
www.skk.com.pl
www.securing.pl
Podatności w urządzeniach

40. 40
www.skk.com.pl
www.securing.pl
Human Machine Interface
Elementy wykonawcze, czujniki.
INTERNET
Remote Terminal Unit
LAN
Serwery
Supervisory Control System,
Historian DB...
Ruter/firewall
Fizyczna separacja
Terminale?

41. 41
Dostęp fizyczny
Czy dostęp do szafek, przewodów,
urządzeń jest odpowiednio ograniczony?

42. 42
Dostęp fizyczny
Czy ktoś by zauważył taką dodatkową
wtyczkę z wbudowanym ruterem?
Czy ktoś by ją wyciągnął gdyby była
podpisana "IT, nie rozłączać"?

43. 43
Dostęp fizyczny
Czy ktoś by zauważył taką dodatkową
wtyczkę z wbudowanym ruterem?
Czy ktoś by ją wyciągnął gdyby była
podpisana "IT, nie rozłączać"?

44. 44
www.skk.com.pl
www.securing.pl
Co możemy zrobić?
• Skatalogowanie wszystkich zasobów, usług, łączy, procesów, przepływów danych.
• Modelowanie zagrożeń, analiza ryzyka.
• Skuteczna segmentacja przez wiele warstw zabezpieczeń.
• Wyłączenie nadmiarowych usług, konfiguracja dostępu zgodnie z zasadą
najmniejszych przywilejów.
• Identyfikacja i bieżące usuwanie podatności w poszczególnych komponentach
(aktualizacje, błędy w oprogramowaniu i konfiguracji).
• Działające bezpieczeństwo fizyczne.
• Przygotowanie na wypadek niedostępności (redundancja, backup...).
• Dostosowanie zabezpieczeń do potrzeb użytkowników.
• Podnoszenie świadomości pracowników.

45. Pytania?

46. 46
www.skk.com.pl
www.securing.pl
Prowadzący
Sławomir Jasek: slawomir.jasek@securing.pl
Jakub Szarata: jakub.szarata@skk.com.pl
Kontakt
SKK S.A.
12 29 32 700
zapytanie@skk.com.pl
Dziękujemy za uwagę