2. О нас
Илья Карпов
• эксперт по кибербезопасности промышленных систем
управления
• > 5 лет работы с системами АСУ ТП
• > 6 лет в ИБ
• исследователь
• организатор международного форума PHDays 3-8
• сооснователь сообщества RuScadaSec
• участник группы РНК СИГРЭ ПРГ № 2 D2/В5
Дружинин Евгений
• эксперт по кибербезопасности промышленных систем
управления
• > 11 лет в ИБ
• исследователь
• организатор международного форума PHDays 5-8
• сооснователь сообщества RuScadaSec
• наблюдатель группы РНК СИГРЭ ПРГ № 2 D2/В5
3. Инициатива
Независимая некоммерческая инициатива по развитию
открытого русскоязычного международного сообщества
специалистов по промышленной кибербезопасности /
кибербезопасности АСУ ТП
Целями инициативы являются повышение осведомлённости и
квалификации специалистов по безопасности и промышленной
автоматизации, развитие профессиональных связей между
специалистами и организациями, содействие развитию рынка,
развитие связей с профильными международными сообществами, и
в итоге повышение уровня безопасности на промышленных
предприятиях
https://www.ruscadasec.ru/
4. Часть 1
Никакие типовые политики информационной безопасности или защитные меры
информационной безопасности (ИБ) не могут гарантировать полную защиту
информации, информационных систем, сервисов или сетей.
ГОСТ Р ИСО/МЭК 18044-2007
6. Компоненты и уязвимости в них
Распределение опубликованных на ICS
CERT уязвимостей по компонентам АСУ ТП
за 2018 год
Количество опубликованных уязвимостей на
ICS-CERT за 2017 и 2018 годы
* Уязвимости РЗА и ПО для РЗА с 2015 года
от общего объема уязвимостей, 1-2%
https://ics-cert.kaspersky.ru/category/reports/ https://ics-cert.us-cert.gov/
7. Степень критичности
* Большинство уязвимостей, получивших 10
баллов, связаны с проблемами аутентификации
или переполнением буфера.
Больше половины выявленных в системах АСУ ТП уязвимостей (в 2018 - 284, а в 2017 - 194)
получили оценку более 7 баллов по шкале CVSS версии 3.0
Оценка
степени риска
от 9 до 10
критическая
от 7 до 8,9
высокая
от 4 до 6,9
средняя
от 0 до 3,9
низкая
Количество
уязвимостей в
2018 году
92 192 128 3
https://ics-cert.kaspersky.ru/category/reports/
https://ics-cert.us-cert.gov/
https://www.first.org/cvss/calculator/3.0
https://bdu.fstec.ru/cvss3
9. Вектора и вероятность атак
Возможные векторы атак и процент компьютеров АСУ, на
которых были задетектированы вредоносные объекты, в
странах мира, по результатам Kaspersky Lab ICS CERT
https://ics-cert.kaspersky.ru/category/reports/
https://ics-cert.us-cert.gov/
10. Что интересней
1. Все исполнительные устройства
2. Поиск опубликованных уязвимостей и exploit
3. Открытые коммуникационные управляющие протоколы
4. Инженерное ПО или Firmware update
5. Web-интерфейсы и популярные сетевые сервисы
6. Сервисные сетевые протоколы и Web-интерфейсы
7. Поиск возможностей обхода авторизации
8. Фаззинг на вероятность переполнения или ошибок
9. Различные исследования и реверс инжиниринг
10. Изучение специфики и функциональная безопасность
с
л
о
ж
н
о
с
т
ь
11. МЭК-60870 (104)
• Открытый стандарт
• Нет аутентификации
• Без шифрования
и т.д.
https://habr.com/ru/post/280818/
15. Airbus и SIMATIC
linkedin профиль: “Support, management and planning in
the maintenance of industrial machines involved in the A320,
A350 and A380 of areas inside the Airbus plant in Illescas.”
CNC 840D SL / SINAMICS S120 Maintenance (SIEMENS)
SIMATIC S7 300/400 Level 1 (SIEMENS)
https://es.linkedin.com/in/antonio-guerrero-espartero-3007092a/es
16. Признанная классика
Schneider Electric Modicon Modbus Protocol - CPU run, stop, upload, and download
https://ics-cert.us-cert.gov/advisories/ICSA-17-101-01
17. Этапы появления зловредного ПО
Havex
2014
Stuxnet
2012
Trisis/
Triton
2017
LockerGoga
2019
https://www.welivesecurity.com/2018/10/17/greyenergy-updated-arsenal-dangerous-threat-actors/
18. Industroyer (CrashOverride)
IEC 60870-5-101, IEC 60870-5-104, IEC 61850, и OLE
for Process Control Data Access (OPC DA)...
• Первое комплексное вредоносное ПО
для энергетической отрасли
• Многие детали модернизации атакуемой
подстанции общеизвестны
подстанция Укрэнерго,
обслуживающая север Киева
%LAUNCHER%.exe
%WORKING_DIRECTORY
%
%PAYLOAD%.dll
%CONFIGURATION%.ini
Crash101.dll
101.dll
104.dll
Crash101.dll
D2MultiCommService.exe
61850.exe
61850.dll
i.ini
OPCClientDemo.dll
haslo.dat
haslo.exe
SYS_BASCON.COM
…
https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf
19. Industroyer и РЗА Терминалы SIEMENS SIPROTEC 4 Firmware Update
(пароль не нужен)
Терминалы GE Multilin UR Firmware Update (стандартный пароль)
• Использование
специалистов наладчиков
для разработки
атакующего ПО
• Нет явных признаков, что
подстанция являлась
стратегической целью
CVE-2015-5374
20. Triton (Trisis/Hitman) 2017
• Нефтехимический завод
• Только для аварийной системы
• Старые версии Triconex 3008
• Безопасное отключение ПЛК при
загрузке данных в память
контроллера
• Маскировка под инженерное ПО
используя протокол TriStation
https://dragos.com/wp-content/uploads/TRISIS-01.pdf https://www.fireeye.com/blog/threat-research/2017/12/attackers-deploy-new-ics-attack-framework-triton.html
https://www.slideshare.net/MarinaKrotofil/
23. ABB и OPC
• Имена элементов дают
основание предполагать, что
атакующих интересует
элементы OPC,
предоставленные серверами
OPC, которые относятся к
решениям ABB, такие как
линейка MicroSCADA.
• SYS_BASCON.COM
https://habr.com/ru/company/eset/blog/330730/
Атакующие используют строку Abdul при добавлении новой группы OPC.
Возможно эта строка используется атакующими в качестве сленгового названия решений ABB.
ctlSelOn ctlOperOn ctlSelOff ctlOperOff Pos и stVal
24. Norsk Hydro 2019
• Шифровальщик (стиратель) LockerGoga
• IT инфраструктура (сервера компании)
• Ущерб $34,8 — $40,6 млн
• Работа систем АСУ ТП продолжалась
• Распространение через Active Directory
и Hexion и Momentive
Ryuk
https://regnum.ru/news/2606716.html
https://labsblog.f-secure.com/2019/03/27/analysis-of-lockergoga-ransomware/
25. Взгляды на ИБ АСУ ТП
Производитель системы управления
• Быстрее запустить продажи, потом добавим
• Нет требований к ИБ - нет ИБ
• Встроенные методы защиты по собственному желанию
• Добавить еще больше возможностей и функций
• IIoT это ведь доступ через Интернет?
Интегратор
• Нет требований, нет лишней работы
• Заказчик должен сам обеспечить ИБ
• Функциональная безопасность – защита от дурака
• Все сделали по документации и ТЗ
• Производитель уверил, что все безопасно
Эксплуатация
• Не трогай, не сломается
• Так и должно быть
• Быстрее и удобнее
• Пароли можно менять?
• Что такое ИБ?
• Нет ресурсов на поддержку
• Посмотрим, подождем
Интегратор ИБ
• Инциденты по всему миру
• Нет сегментации?
• Нет документации?
• Кто это все разместил?
• Нужно срочно защищать
• ФЗ 187
• Stuxnet
Поддержка информационных систем
• Настроил и забыл
• Максимум доступности
• Простые пароли
• Больше RPD
• Я не ответственен за это
27. Цифровое оборудование для ТЭК
Использование Embedded систем основанных
на доступных платформах и архитектурах
процессоров
https://www.slideshare.net/MarinaKrotofil/
28. Цифровое оборудование и ПО для ТЭК
Использование распространённых ОС и
зачастую доступного ПО для разработки
https://www.slideshare.net/MarinaKrotofil/
29. Безопасное программирование
Secure coding — методика написания программ, устойчивых к атакам со стороны вредоносных
программ и злоумышленников.
https://en.wikipedia.org/wiki/Secure_coding
Анализ исходного кода?
Сканеры уязвимостей?
Фаззинг?
Динамический
анализ?
Жизненный цикл безопасной разработки?
31. Исправить за 5 лет
• Уязвимость не уязвимость
• Обфускация с помощью
таблицы ASCII
• Полный доступ к управлению
.0 .1 .2 .3 .4 .5 .6 .7 .8 .9 .A .B .C .D .E .F
0. NUL SOH STX ETX EOT ENQ ACK BEL BS TAB LF VT FF CR SO SI
1. DLE DC1 DC2 DC3 DC4 NAK SYN ETB CAN EM SUB ESC FS GS RS US
2. AI BI CI DI AJ BJ CJ DJ AK BK CK DK AL BL CL DL
3. AM BM CM DM AN BN CN DN AO BO CO DO AP BP CP DP
4. EA FA GA HA EB FB GB HB EC FC GC HC ED FD GD HD
5. EE FE GE HE EF FF GF HF EG FG GG HG EH FH GH HH
6. EI FI GI HI EJ FJ GJ HJ EK FK GK HK EL FL GL HL
7. EM FM GM HM EN FN GN HN EO FO GO HO EP FP GP DEL
.0 .1 .2 .3 .4 .5 .6 .7 .8 .9 .A .B .C .D .E .F
0. NUL SOH STX ETX EOT ENQ ACK BEL BS TAB LF VT FF CR SO SI
1. DLE DC1 DC2 DC3 DC4 NAK SYN ETB CAN EM SUB ESC FS GS RS US
2. ! " # $ % & ' ( ) * + , — . /
3. 0 1 2 3 4 5 6 7 8 9 : ; < = > ?
4. @ A B C D E F G H I J K L M N O
5. P Q R S T U V W X Y Z [ ] ^ _
6. ` a b c d e f g h i j k l m n o
7. p q r s t u v w x y z { | } ~ DEL
0=AM, 1=BM, 2=CM, 3=DM, 4=AN, 5=BN, 6=CN,
7=DN, 8=AO, 9=BO
33. Регламенты БДУ ФСТЭК
Устранение уязвимостей критического или высокого уровня, рекомендуемый срок – 30 дней.
Устранение уязвимостей среднего или низкого уровня, рекомендуемый срок – 60 дней.
Производитель компонентов систем АСУ ТП должен выслать данные об уязвимостях
в течение 3 рабочих дней с даты выявления
https://bdu.fstec.ru/site/regulations https://bdu.fstec.ru/documents/files/regulations.rtf
Раскрытие информации об уязвимости
осуществляется путем размещения ФСТЭК России
описания уязвимости в Банке данных угроз.
50. Использование учетных записей
по умолчанию
• apcapc
• Передача данных в
открытом виде
Результат: CVE-2017-8371 и учетная запись администратора домена
51. Векторы/Атака на КИС
Wi-Fi удобно!
Атакующему тоже!
https://www.ptsecurity.com/ru-ru/research/analytics/ics-attacks-2018/
61. На «живом» объекте
• На рабочей системе
o Визуальный осмотр
o Физ. безопасность
o Технический аудит
o Продвинутый анализ на полукомплекте
• В технологические окна
o Глубокий технический аудит с возможным
применением инструментального анализа
66. Технический анализ/Учетные записи
• Вшитые простые учетные
записи БД
• Использование БД для
удаленного доступа
• Получение данных
учетных записей SICAM
PAS
• Все версии SICAM PAS
до 8.09
Результат:
CVE-2016-8567 (CVSSv3 9.8) и CVE-2016-5848 - полный доступ
Base 64 -> Hex -> SHA1
4E7AFEBCFBAE000B22C7C85E5560F89A2A0280B4:Admin
68. Технический анализ/Конфигурации
Tracing route to 8.8.8.8 over a maximum of 30
hops
1 1 ms 1 ms 1 ms 192.168.1.10
2 34 ms 22 ms 34 ms 172.11.x.x
3 * * * Request timed out.
4 16 ms 21 ms 24 ms 213.97.x.x
5 27 ms 21 ms 22 ms 212.178.x.x
6 44 ms 24 ms 23 ms 196.33.x.x
7 19 ms 21 ms 21 ms 212.177.x.x
8 34 ms * 20 ms 195.24.x.x
9 30 ms 22 ms 20 ms 216.232.x.x
10 27 ms 21 ms 22 ms 8.8.8.8
69. Анализ систем в лаборатории
• Общая аналитика
o Определение угроз тех. процессу, моделирование
реальных угроз
o Перенос выявленных ошибок с «живого» объекта на
модель угроз
o Перенос результатов технического анализа на модель
угроз
• Технический анализ
o «Жесткий» инструментальный анализ
o Ручной анализ
o Снятие и реверс прошивок
o Анализ криптографии
o Анализ аппаратных средств
o Моделирование атак на тех. процесс в соответствии с
моделью угроз
70. Анализ систем в лаборатории
Результаты работы в лаборатории
• Множественные уязвимости (например,
представленные в части «кейсы» нашей презентации):
o CVE-2015-5374
o CVE-2018-20720
o ICSA-18-067-01
o ICSA-18-065-01
o ICSA-18-011-03
o CVE-2018-7243
o CVE-2016-8567
…
• Модели угроз для различных тех. процессов
• Анализ и выявление вредоносного кода
• Аналитика как общая, так и специализированная
https://www.slideshare.net/IlyaKarpov2/
71. Пентест vs комплексный анализ (аудит)
Пентест выявляет векторы, базируясь на ограниченном количестве
уязвимостей, цель - проход до технологической сети
Комплексный анализ, помимо пентеста, выявляет в том числе:
• Архитектурные проблемы;
• Более широкий охват уязвимостей в компонентах АСУ ТП;
• Уязвимости ИТ-инфраструктуры, напрямую влияющие на ТС;
• Выявление недостатков в применяемых Заказчиком мерах
информационной безопасности;
• Ошибки конфигураций оборудования и ПО;
• Выявление сокрытых инцидентов;
• Проверка на соответствие стандартам безопасности, таким как ФСТЭК
№239 и №31, NIST 800-82, Security Guide производителя системы АСУ
ТП и т.п.
• Комплексной оценки текущего уровня защищенности систем АСУ ТП,
возможных средств безопасности, сетевого оборудования или всех
возможных смежных систем.
72. Выводы
• С 2010 г. по 2019 г. безопасность компонентов АСУ ТП перешла из
состояния бедственного к плачевному;
• Технологическая сеть по сей день беззащитна от атакующего
воздействия и требует внедрения дополнительных средств защиты;
• Сетевая IT и АСУ ТП инфраструктура требует постоянного контроля;
• Оценка эффективности существующей защиты от киберугроз
достаточно глубока во время технического останова;
• Обучение ИБ персонала специфике АСУ ТП, повышение
осведомленности персонала АСУ ТП в вопросах ИБ;
• ФЗ 187 нужен и его надо исполнять.
