SCADA и мобильники: оценка безопасности приложений,...

SCADA и мобильники: оценка безопасности приложений,

превращающих смартфон в пульт управления заводом

Иван Юшкевичаудитор Digital Security

© 2002—2015, Digital Security

План

SCADA и мобильники: оценка безопасности приложений, превращающих смартфон в пульт управления заводом

2

• Типы мобильных ICS-‐приложений• Тестирование• Уязвимости и векторы атак• Выводы


ICS (АСУ)


3

АСУ – автоматизированная система управления– Широко распространены – предприятия, заводы, даже дома! – Собирает данные с удаленных («полевых») устройств, обрабатывает

их и отправляет обратно команды для устройств (с помощью оператора или автономно)

• Передатчики/RTU• PLC (программируемые логические контроллеры)• SCADA• OPC – Open Platform Communications• HMI – Human-‐machine interfaces• MES – Manufacturing executioning system


ICS


4


Классификация мобильных приложений


5

• Приложения для конфигурации/взаимодействия с PLC• SCADA-‐клиент• HMI-‐панель

Control room

MES/HMI/Historian

Remote SCADA


Мобильные приложения в ICS


6

Internet Corporate Network

PLCs…HMI

SCADA servers

OPC, MES, Historians

(3) Remote SCADA client

(1) Mobile HMI panel

(2) Mobile OPC/MES client


Control room


7

• Управление/конфигурация/контроль технологического процесса и/или его компонентов

• Типы:‒ Приложения для конфигурации/взаимодействия с PLC‒ SCADA-‐клиенты‒ Мобильная HMI-‐панель

• Находятся в «доверенном» сегменте сети• Могут предоставлять полный контроль над

технологическим процессом


MES/HMI/Historian


8

• Данные доступны только для чтения

• Нет прямого доступа к PLC, HMI или SCADA

• Могут только читать некоторые значения или агрегированные данные


Remote SCADA


9

• Приложения, которые позволяют удаленно (из-‐за пределов «безопасного» периметра) следить за технологическим процессом или управлять им


Векторы атак


10

• Утеря (кража) смартфона/планшета• MitM (Wi-‐Fi, GSM/GPRS)• Незаблокированное устройство• Компрометация данных на SD-‐карте• Компрометация сервера – SQL-‐инъекции, DoS и т. п.


Основные угрозы безопасности


11

• Недостаточная проверка данных• Компрометация данных, хранящихся на SD-‐карте (модификация интерфейса HMI)

Control room

• Утечка данных или компрометация технологического процесса из-‐за уязвимости в протоколе

• DoS сервера или приложения• Скрытие сообщений о тревоге или их изменение для обмана оператора

MES/OPC/Historian

• Утечка данных или компрометация технологического процесса из-‐за уязвимости в протоколе

• DoS сервера или приложения• Недостаточная проверка данных• Серверные уязвимости

SCADA remote control app


Процесс анализа приложения


12

Предварительный анализ приложения по плану

Фаззинг

Реверс и анализ приложения


Анализ приложения. Приложение


13

• Назначение приложения: SCADA/HMI/PLC/OPC• Права

– Какие права требуются для установки приложения?

• Защита паролем для доступа к функционалу– Можно ли сразу приступить к работе с приложением?

• Наличие нативного кода• Наличие веб-‐компонентов


Анализ приложения. Протокол


14

• Аутентификация– Где и как происходит процесс аутентификации?

• Наличие токенов/cookie для идентификации• Используется ли SSL?

– Настройки SSL

• XML– Какой парсер используется? – Настройки парсера

• Доступные серверные API


Анализ приложения. Данные


15

• Строки подключения, пароли• Данные/проекты/HMI-‐интерфейсы• Логи работы программ• Конфигурационные файлы


Фаззинг


16

• Использование собственных протоколов для взаимодействия

• Полный анализ протокола может занять много времени L


Фаззинг. UIautomator


17

• Мобильные приложения –это «оконные» приложения: обычно не взаимодействуют с сервером без участия пользователя L

• UIAutomator (инструмент для тестирования GUI) эмулирует действия пользователя в мобильном приложении


Фаззинг. Пример


18


Исследуемые приложения


19

Afcon Pulse Autobase SCADA CyBroDroid Ellat SCADA HMI MASTER

HMI OBA7 MiScout OPC XML DA client

OPC XML DA Explorer

PLC-‐5 HMI

Pro-‐face Remote HMI

ProficySCADA Prosys OPC UA client lite

S7 Android Movicon Progea Web Client

ScadaTouch Siemens LOGO! App

Wagoid Watch*IT WHS Live Light

Remote SCADA client

OPC/MES/ Historian

Control room app


Результаты


20

0 5 10 15 20 25 30 35

Control-‐room apps

OPC/Historian clients

SCADA remote clients

Control-‐room apps OPC/Historian clients SCADA remote clientsУязвимости 2 2 9Слабости 4 12 20

Уязвимость/слабость Control room app OPC/MES client Remote SCADA client

Отсутствие аутентификации n/a 3 3

Аутентификация по имени пользователя

0 0 1

Передача пароля в открытом виде

0 0 2

Использование «уязвимых» крипт. примитивов

0 0 2

Отсутствие проверки параметров

n/a 0 1




21

Уязвимость/слабость Control room app OPC/MES client Remote SCADA client

Вшитые в код ключи шифрования

0 1 3

Уязвимости, связанные с SSL

0 1 2

SQL-‐инъекции 1 1 0

Отсутствие защиты паролем 4 5 4

Передача данных в открытом виде

0 3 4

DoS 1 0 3

Данные на SD-‐карте 2 0 3




22


Примеры уязвимостей


23


Примеры уязвимостей


24


Проблемы с аутентификацией


25


Примеры уязвимостей. Вшитые в код ключи


26


Примеры уязвимостей. Уязвимые алгоритмы хеширования


27

pi – i-‐ый символ в пароле:

225 значений ~ 33 млн комбинаций


SQL-‐инъекции


28


Отказ в обслуживании. Сервер


29


Отказ в обслуживании. Клиент


30


RCE?


31


Вектор: недостаточная проверка входных параметров с мобильного приложения


32

Атакующий:‒ Должен быть подсоединен к сети, где находится уязвимое

приложение или сервер‒ Должен знать адрес SCADA-‐сервера и иметь данные для входа

Пользователь подключает смартфон к Wi-‐Fi-‐сети в общественном месте (ресторан, торговый центр). Если приложение не использует шифрование при передаче данных, злоумышленник, организовав MitM (с помощью ARP-‐спуфинга), может прослушивать данные или изменять команды от клиента к серверу




33

GET /scgi/?c8785.<removed>=26999& HTTP/1.1

Cookie: sessionid=98aec9bc19d2bed32d3cc9a1140920e2

Host: <removed>Proxy-Connection: close

Connection: close




34


Вектор: компрометация данных на SD-‐карте


35

• Некоторые приложения сохраняют БД HMI (интерфейсы, параметры подключения, проекты и данные) на SD-‐карте

• Если HMI-‐данные скомпрометированы ( с помощью вируса, другого приложения), злоумышленник может изменить конфигурацию или настройки интерфейса: настройки триггеров событий, работу самих компонентов и многое другое

• Оператор, пользуясь измененным приложением, получает неверные данные и может принять неверное решение




36




37




38




39




40


Выводы


41

• 20 приложений для Android• Во всех приложениях присутствует как минимум одна

уязвимость или слабость безопасности• Наиболее опасные уязвимости – те, которые позволяют

ввести оператора в заблуждение относительно состояния технологического процесса

[email protected]@DSecRU


Digital Security в Москве: (495) 223-‐07-‐86Digital Security в Санкт-‐Петербурге: (812) 703-‐15-‐47

42

SCADA и мобильники: оценка безопасности приложений,...

Documents

Transcript of SCADA и мобильники: оценка безопасности приложений,...