Auswaertiges Amt - Dokumente Polnischer Grausamkeit (1940, 459 S., Scan)
Die Hard 10.0: Ein Drehbuch für Industrielles Hacking · 7 Beispiel eines berühmten Incidents...
Transcript of Die Hard 10.0: Ein Drehbuch für Industrielles Hacking · 7 Beispiel eines berühmten Incidents...
2
www.limessecurity.com
Kompetenz und Erfahrung made in Austria
Die Cyber Security Experten für Industrie & Software
3
www.limessecurity.com
Unsere Dienstleistungen
Unabhängig davon, ob sie ein Maschinenbauer, Betreiber, Hersteller oder
Stromversorger sind: Limes Security hat die richtige Dienstleistung für Sie.
https://icons8.com
Industrieller Pentest
Proaktive Erkennung und Behandlung von Sicherheitsschwachstellen in
Unternehmen bevor diese zum Problem werden
Industrielles Sicherheitsprogramm
Erstellung eines technischen Sicherheitskonzeptes sowie Unterstützung beim
Aufbau eines ganzen Sicherheitsprogrammes
Industrielles Sicherheitstraining
Durchführung von Sicherheitstrainings für Mitarbeiter, um erfolgreich gegen
Cyber-Risiken im täglichen Betrieb vorgehen zu können
5
www.limessecurity.com
Automatisierungstechniker schirmten ihre Systeme vor der Unternehmens-IT und den
Technikern der Netzwerksicherheit ab
Kein Außenstehender hatte Interesse an den proprietären Softwaresystemen im
Automatisierungsbereich
Die Verwendung von Standardsoftwarekomponenten war bekannt, wurde aber nicht als
Sicherheitsproblem wahrgenommen
Der Glaube, dass Industriesysteme (physisch) isoliert sind
Physische Sicherheit
Gängige Sicherheitspraktiken aus der IT-Welt wurden im
Industriebereich nicht angewendet
Es gab nur einige wenige bekannte Sicherheitsvorfälle im
Industriebereich
Industriesicherheit vor 2010
Die Welt der Industriesysteme wirkte wie ein friedlicher & ruhiger Ort. Und das aus
mehreren Gründen:
6
www.limessecurity.com
Berühmte Aussagen aus der Industrie die
wir vor 2010 hörten
“Security? Sie sprechen besser mit dem Werksschutz”
“Wir brauchen keine Firewalls weil wir wissen wo welches Kabel hingeht”
“Wir brauchen keine Security weil wir keine Windows-Systeme haben”
“Security Tests? Sie sind falsch hier, ich bringe Sie zur IT-Abteilung”
“Was ist eine IP-Adresse und ist es schlimm dass unsere SPS eine haben?”
“Warum sollte man Schwachstellen in SPSen patchen? Die hängt doch
sowieso niemand direkt an das unsichere Internet”
“Es besteht keine Gefahr einer Manipulation weil der Systembediener nicht
auf das Betriebssystem draufkommt”
“Sie machen also Security? Sie fressen sicher auch kleine Kinder zum
Frühstück!”
7
www.limessecurity.com
Beispiel eines berühmten Incidents
Polnische Stadt Lodz
Ein polnischer Teenager studierte
das System der Strassenbahn
Er stellte fest dass die Signale mit
Infrarot-Technik umgesetzt wurden
Er adaptierte eine TV-
Fernbedienung, schaltete Weichen
um und erzeugte damit eine
Entgleisung einer
Strassenbahngarnitur
http://www.telegraph.co.uk/news/worldnews/1575293/Schoolboy-hacks-into-citys-tram-system.html
9
www.limessecurity.com
Maroochy Water Incident
In 2000 Vitek Boden hacked into the ICS of waste management
system and issued radio commands to the sewage equipment.
Reason for this: The attacker quit his job at Hunter Watertech
(which was an contractor of Maroochy Shire Council) and
applied for a job at Maroochy Shire Council, but the company
did not hire him.
At least 46 times the attacker issued commands to manipulate
the sewage system using a notebook and wireless radio
equipment before he was caught.
That caused 800,000 liters of raw sewage to be spilled out into
local parks and rivers.
"Marine life died, the creek water turned black and the stench
was unbearable for residents," said a representative of the
Australian Environmental Protection Agency
11
www.limessecurity.com
Professionell entwickelter Cyber-Angriff
Ziel waren nur Industriesysteme mit SPSen des Typs SIMATIC S7
mit ganz spezifischer Konfiguration / Programmierung
Erhielt große öffentliche Aufmerksamkeit durch
die Verwendung von 0-day Schwachstellen
die Fähigkeit “Air Gaps” zu überspringen
die Fähigkeit physischen Schaden durch die Manipulation von
Softwarekomponenten anzurichten
den Eindruck eines politische motivierten “cyber-warfare”
Worum ging es in Stuxnet?
12
www.limessecurity.com
1982 1997 2000 2003 2005 2007
Chronik von Angriffen auf Industriesysteme (1)
14
www.limessecurity.com
Angriff auf ukrainisches Stromverteilnetz
Am 23. Dezember 2015 meldeten Ukrainische EVUs Ausfälle der
Stromversorgung
Ursache waren unberechtigte Zugriffe Dritter
Insgesamt waren 3 EVUs betroffen
Das Öffnen von Trennschaltern in mindestens 27 Umspannwerken
führte zu einem Stromausfall bei über 225.000 Kunden
Der Ausfall dauerte mehrere Stunden
Erster offiziell bestätigter Stromausfall als folge eines Cyberangriffs
15
www.limessecurity.com
Angriff auf ukrainisches Stromverteilnetz
Source: Analysis of the Cyber Attack on the Ukrainian Power Grid, E-ISAC
16
www.limessecurity.com
Gruppe 1: wollen die Welt durch die Meldung von
Sicherheitsschwachstellen sicherer zu machen
Gruppe 2: wollen durch die Entdeckung von
Schwachstellen Anerkennung erhalten
Gruppe 3: wollen durch das Entwicklung von
Angriffswerkzeugen für entdeckte Schwachstellen finanziell
profitieren
Warum nach Industrieschwachstellen suchen
Die Motivation von Forschern, die sich mit Sicherheitsschwachstellen in
Industriekomponenten beschäftigen, änderte sich mit der Zeit.
17
www.limessecurity.com
Große Anzahl an Präsentationen über Industriesicherheit auf
zB.: Blackhat, Derbycon, Defcon
Titel umfassen
“How to own an industrial facility from 40 miles away”
“Why Control System Cyber-Security Sucks”
“Internet-facing PLCs – a new back orifice”
Eigene Konferenzen über Industriesicherheit und Hacking von
Industriekomponenten entstehen
Industriesicherheit auf Konferenzen
Die Motivation von Forschern, die sich mit Sicherheitsschwachstellen in
Industriekomponenten beschäftigen, änderte sich mit der Zeit.
18
www.limessecurity.com
Quelle: http://www.siemens.com/innovation/pool/innovations/
technologiefokus/it-software/siemens_vulnerability_handling.pdfQuelle: http://www.ge.com/security
Reaktion der Hersteller
19
www.limessecurity.com
Virtual Private Networking Lösungen (VPN)
Intrusion Detection Systeme (IDS)
Virenscanner
Application Whitelisting
Security Information Event Management (SIEM) Systeme
Sicherheitsservices (Risikoanalysen, Pentests)
Viele Lieferanten beginnen strategische Kooperationen mit Anbietern von
Sicherheitsdienstleistungen.
Klassische Sicherheitsmethoden
Bewährte Sicherheitsmethoden aus dem IT-Bereich werden von Herstellern langsam
für den Einsatz im Industriebereich angepasst.
20
www.limessecurity.com
Tools zum Erkennen & Fingerprinten (z.B. modscan, Nessus)
Verschiedene Metasploit Module
Modbus Client
Dillon Beresford’s SIMATIC Module
Digitalbond’s Project Basecamp Module
SCADASTRANGELOVE’s Toolset
S7 Offline Authentication Bruteforcer
IEC Protokoll & Profinet Erkennungswerkzeuge
SCADACS’s PLCINJECT
…
Quelle: Digitalbond.com GE DE20 Metasploit Modul
Geeignete Angriffswerkzeuge
Der Fokus auf SPS Schwachstellen brachte Sicherheitsforscher dazu, geeignete
Angriffswerkzeuge ausschließlich für Industriesysteme zu entwickeln.
21
www.limessecurity.com
Quelle: SHODANHQ / Google
Suchmaschinen für Industriekomponenten
Industriekomponenten werden nicht nur unsicher entwickelt sondern auch unsicher
betrieben.
26
www.limessecurity.com
Es wird in der IT-Welt mittlerweile davon ausgegangen, dass
Angreifer irgendwann definitiv einen Weg in das Netzwerk finden.
Neue Sicherheitsbemühungen zielen auf schnelle Erkennung eines
Angriffes ab (Indicators of Compromise)
Industrie hinkt in Sachen Sicherheit hinterher
Fehlendes Spezialwissen im Sicherheitsbereich
Fehlende Möglichkeiten Monitoring in Anlagennetzten umzusetzen
Große Entfernung zum eigentlichen Industriekerngeschäft
Ein neues Verständnis von Angriffsrisiken
Die Annahmen bezüglich Sicherheit in der IT-Welt haben sich geändert – die in der
Industriewelt auch.
27
www.limessecurity.com
Eigenes IT-Sicherheitsgesetz in Deutschland
beinhaltet Meldepflicht für Sicherheitsvorfälle
Beinhaltet branchenspezifische Sicherheitsvorgaben
In Österreich ist das Cybersicherheitsgesetz in Vorbereitung mit
ähnlicher Ausrichtung
Auf EU-Ebene ist Netz- und Informationssicherheitsrichtlinie
verabschiedet worden
Sicherheitsdruck nimmt zu
Regulierung und Branchensicherheitsstandards zeichnen sich ab.
29
www.limessecurity.com
Threat & Risk Analysis
Auswirkun
-gen
bestimmen
Risiko
ermitteln
Systemver
ständnis
herstellen
Bedrohun-
gen
identifi-
zieren
Bedrohun-
gen
bewerten
Beobachtung und Re-Evaluierung
Angreifer
ermitteln
Risikoanalyse im Überblick
34
www.limessecurity.com
Risk
Analysis
( specific
requirements)
Standard
Assessment
( unspecific
requirements e.g.
from standards)
Practical
Assessment /
Penetration Test
( specific
implementation)
Pre
Assessment
Activities
Post
Assessment
Activities &
Reporting
rerating
evaluation of risk
evaluation
of risk
Taken from: A Manufacturer-Specific Security Assessment Methodology
for Critical Infrastructure Components, IFIP WG11.10 Conference
Zusammenhang Risikoanalysen & Pentests
36
www.limessecurity.com
The team of Limes used only reflective vests
as disguise and was able to act freely on the
entire premise.
Even entering a control center without being
questioned was possible in order to
reconfigure an already implanted backdoor.
37
www.limessecurity.com
Backdoor Implant
The team was able to implant three devices during the
attack
38
www.limessecurity.com
Automation network
Raspberries
on site
SSH server in
Limes headquarter
SSH tunnel
In order to gain remote access to the automation network, Limes implanted
several raspberries on site.
Upon reboot the raspberries connected to the SSH server and opened a reverse
SSH tunnel using the UMTS/3G sticks. The connection to the server was
secured by certificate based authentication. To use the remote devices an
additional user/password authentication was required.
The raspberries itself were no automated attack devices, their sole purpose was
to act as a backdoor.
39
www.limessecurity.com
1. Infektion mit Schadsoftware über Internet und Intranet
2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware
3. Social Engineering
4. Menschliches Fehlverhalten und Sabotage
5. Einbruch über Fernwartungszugänge
6. Internet-verbundene Steuerungskomponenten
7. Technisches Fehlverhalten und höhere Gewalt
8. Kompromittierung von Smartphones im Produktionsumfeld
9. Kompromittierung von Extranet und Cloud-Komponenten
10. (D)DoS Angriffe
3
9
Top 10 Industriebedrohungen 2014
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland stellt
eine Liste der zehn größten Bedrohungen für Industrieunternehmen bereit.
Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile&v=2
41
www.limessecurity.com
BDEW Whitepaper: Anforderungsbereiche
General
Requirements &
Housekeeping
Base SystemNetworks/
Communication
Deployment, Test
& Rollout
Backup,
Recovery &
Disaster
Recovery
1. Backup: Concept,
Method,
Documentation,
Test
2. Disaster Recovery
1. General
2. Patching und Patch
Management
3. Documentation
1. Secure
Development
Standards, Quality
Management and
Release Processes
2. Secure Data
Storage and
Transmission
3. Secure
Development, Test–
and Staging
Systems, Integrity
Checks
4. Secure Update and
Maintenance
Processes
5. Configuration and
Change
Management,
Rollback
6. Fixing Security
Vulnerabilities
7. Source Code
Escrow
1. Secure Network
Design and
Communication
Standards
2. Documentation of
Network Design and
Configuration
3. Secure
Maintenance
Processes and
Remote Access
4. Wireless
Technologies:
Assessment and
Security
Requirements
1. System Hardening
2. Anti Virus Software
3. Autonomous User
Authentication
BDEW Whitepaper
Application
1. User Account
Management
2. Authorization of
Activities on User
and System Level
3. Application
Protocols
4. Web Applications
5. Integrity Checks of
Relevant Data
6. Logging, Audit
Trails, Timestamps,
Alarm Concepts
7. Self-Test und
System Behavior
42
www.limessecurity.com
IEC62443 AnforderungsbereicheG
en
era
lO
pera
tors
Sys
tem
inte
gra
tors
Co
mp
on
en
t
ve
nd
ors
IEC 62443-2-1
Establishing an IACS
security program
IEC 62443-2-2
Operating an IACS
security program
IEC 62443-2-3
Patch management in
the IACS environment
IEC 62443-1-1
Terminology, concepts
and models
IEC/TR 62443-1-2
Master glossary of terms
and abbreviations
IEC 62443-1-3
System security
compliance metrics
IEC/TR 62443-3-1
Security technologies for
IACS
IEC 62443-3-2
Security assurance
levels for zones and
conduits
IEC 62443-3-3
System security
requirements and
security assurance levels
IEC 62443-4-1
Product development
requirements
IEC 62443-4-2
Technical security
requirements for IACS
components
Requirements that operators of industrial
automation systems must meet:
• Security guidelines and processes,
• Risk management in terms of security
• Information and document mgmt.
• etc.
System-side requirements in terms of .
• Access protection, user control
• Data integrity and confidentiality
• Controlled data flow,
• etc.
Requirements that components of an
automation system must meet in terms of
• Product development processes
• Product functionalities
43
www.limessecurity.com
Bestehende industrielle Security-Standards /
Empfehlungen werden zu wenig genutzt
Standard Zielgruppe HauptzweckGeographischer/
Sector FokusZertifizierbar
WIBHersteller /
IntegratorenHerstellerzertifizierung Oil/Gas Industrie Ja
BDEWHersteller /
Integratoren
Sicherheitsanforderungen
für Zulieferer
D, A, CH
(Energie- &
Wasserwirtschaft)
Nein
NERC CIPAnlagenbe-
treiber
Steigerung der Resilienz
der Energieversorgungs-
infrastruktur
USA, Kanada Ja
IEC 62443
Hersteller /
Integratoren /
Anlagenbe-
treiber
Sicherheitsanforderungen
für sichere Produkte /
sichere Lösungen /
sicheren Betrieb
Industriesektor Ja
ISO 27019Anlagenbetrei
ber
ISMS-Aufbau für
EnergieversorgerEnergiesektor Ja
NIST 800-
82
Anlagenbe-
treiber
Technische
SicherheitsempfehlungenU.S. Nein
44
www.limessecurity.com
ABSCHLIEßENDE EMPFEHLUNGEN
FÜR DIE STÄRKUNG DER EIGENEN
INDUSTRIAL SECURITY
46
www.limessecurity.com
Ab
sic
he
run
g d
er
Ne
tzw
erk
au
ße
ng
ren
ze
n
Durchführen einer Risikoanalyse: Verständnis für Risiken und Bedrohungen aufbauen
Ausarbeitung einer vollständigen Netzwerkassetliste: Kenne alle Komponenten im Industrienetzwerk
Verständnis für Kommunikationsfluss: Matrix für Entscheidungen um Netzwerkzugriffe
Planen der Netzwerksicherheit: Definition von Zonen für das Industrienetzwerk
Netzwerkzugriffsschutz: Schutz vor unbekannten Geräten im Netzwerk
Absichern des Fernzugriffs: Beaufsichtigung von externen Zugängen für Hersteller und Zulieferer
Stärkung der Sicherheitskompetenz:
12 Schritte um Ihr Unternehmen sicherheitstechnisch besser zu positionieren.
47
www.limessecurity.com
Be
rüc
ks
ich
tig
un
g in
ne
rha
lb
de
s U
nte
rne
hm
en
s
Systemhärtung: Steigerung der Sicherheit von Assets im Industrienetzwerk
Erstellung eines Patch Management Konzeptes: Verminderung von bekannten Softwarerisiken
Einrichten einer Sicherheitsorganisation: Definition von Rollen und Verantwortlichkeiten
Kaufen von sicheren Systemen: Sicherheit verpflichtend in den Beschaffungsprozess einbinden
Überprüfen der Sicherheit: Regelmäßige Tests der Unternehmensumgebung auf Schwachstellen
Vorbereitungen für den Ernstfall: Erstellung eines Notfallplans bevor Sicherheitsvorfälle eintreten
Stärkung der Sicherheitskompetenz:
12 Schritte um Ihr Unternehmen sicherheitstechnisch besser zu positionieren.
48
www.limessecurity.com
StuxHACK
Demonstrator zur Veranschaulichung von STUXNET
Nachstellen des Angriffsszenarios
Simulator für Industrial Security Trainings
Originalgetreue Abbildung
– Siemens PLC’s
– Originale Exploits
– Zentrifugen
STUXnet Hacking Attack Challenge Kit
49
www.limessecurity.com
StuxHACK Aufbau
Aufbau
– PLC‘s steuern die beiden
Zentrifugen
– HMI überwacht Zentrifugen RPM
– Roboterarm hilft beim
Überwinden der Air Gap
– Webcam in den „Control Room“
50
www.limessecurity.com
StuxHACK Challenge
Vordringen in das „Industrial Network“
– Eindringen in die DMZ
– Überwinden der Firewall in das Office Network
– Durch den Roboterarm das Air Gap in das Industrial Network
überwinden
Zentrifugen überlasten
– HMI manipulieren um immer „Normal Operation“ anzuzeigen
– Zentrifugen beschleunigen
51
www.limessecurity.com
What our spy found out about the
target site
External Firewall
VPN Gateway
„Internet“
DMZ
Web-Server
Office Network
Monitoring
PLC1 PLC2
Monitoring PCOffice PC
Programming PC
Programming Network
Internal
FirewallWebcamAttacker
53
www.limessecurity.com
Für Anfragen kontaktieren Sie bitte
Web: www.limessecurity.com
Mail: [email protected]