Die Hard 10.0: Ein Drehbuch für Industrielles Hacking · 7 Beispiel eines berühmten Incidents...

1

www.limessecurity.com

Die Hard 10.0:


Ein Drehbuch für Industrielles Hacking

2


Kompetenz und Erfahrung made in Austria

Die Cyber Security Experten für Industrie & Software

3


Unsere Dienstleistungen

Unabhängig davon, ob sie ein Maschinenbauer, Betreiber, Hersteller oder

Stromversorger sind: Limes Security hat die richtige Dienstleistung für Sie.

https://icons8.com

Industrieller Pentest

Proaktive Erkennung und Behandlung von Sicherheitsschwachstellen in

Unternehmen bevor diese zum Problem werden

Industrielles Sicherheitsprogramm

Erstellung eines technischen Sicherheitskonzeptes sowie Unterstützung beim

Aufbau eines ganzen Sicherheitsprogrammes

Industrielles Sicherheitstraining

Durchführung von Sicherheitstrainings für Mitarbeiter, um erfolgreich gegen

Cyber-Risiken im täglichen Betrieb vorgehen zu können

4


DIE ENTWICKLUNG VON

INDUSTRIELLER SICHERHEIT

5


Automatisierungstechniker schirmten ihre Systeme vor der Unternehmens-IT und den

Technikern der Netzwerksicherheit ab

Kein Außenstehender hatte Interesse an den proprietären Softwaresystemen im

Automatisierungsbereich

Die Verwendung von Standardsoftwarekomponenten war bekannt, wurde aber nicht als

Sicherheitsproblem wahrgenommen

Der Glaube, dass Industriesysteme (physisch) isoliert sind

Physische Sicherheit

Gängige Sicherheitspraktiken aus der IT-Welt wurden im

Industriebereich nicht angewendet

Es gab nur einige wenige bekannte Sicherheitsvorfälle im

Industriebereich

Industriesicherheit vor 2010

Die Welt der Industriesysteme wirkte wie ein friedlicher & ruhiger Ort. Und das aus

mehreren Gründen:

6


Berühmte Aussagen aus der Industrie die

wir vor 2010 hörten

“Security? Sie sprechen besser mit dem Werksschutz”

“Wir brauchen keine Firewalls weil wir wissen wo welches Kabel hingeht”

“Wir brauchen keine Security weil wir keine Windows-Systeme haben”

“Security Tests? Sie sind falsch hier, ich bringe Sie zur IT-Abteilung”

“Was ist eine IP-Adresse und ist es schlimm dass unsere SPS eine haben?”

“Warum sollte man Schwachstellen in SPSen patchen? Die hängt doch

sowieso niemand direkt an das unsichere Internet”

“Es besteht keine Gefahr einer Manipulation weil der Systembediener nicht

auf das Betriebssystem draufkommt”

“Sie machen also Security? Sie fressen sicher auch kleine Kinder zum

Frühstück!”

7


Beispiel eines berühmten Incidents

Polnische Stadt Lodz

Ein polnischer Teenager studierte

das System der Strassenbahn

Er stellte fest dass die Signale mit

Infrarot-Technik umgesetzt wurden

Er adaptierte eine TV-

Fernbedienung, schaltete Weichen

um und erzeugte damit eine

Entgleisung einer

Strassenbahngarnitur

http://www.telegraph.co.uk/news/worldnews/1575293/Schoolboy-hacks-into-citys-tram-system.html

8


Nuclear explosion in hijacked

czech tv breakfast show

9


Maroochy Water Incident

In 2000 Vitek Boden hacked into the ICS of waste management

system and issued radio commands to the sewage equipment.

Reason for this: The attacker quit his job at Hunter Watertech

(which was an contractor of Maroochy Shire Council) and

applied for a job at Maroochy Shire Council, but the company

did not hire him.

At least 46 times the attacker issued commands to manipulate

the sewage system using a notebook and wireless radio

equipment before he was caught.

That caused 800,000 liters of raw sewage to be spilled out into

local parks and rivers.

"Marine life died, the creek water turned black and the stench

was unbearable for residents," said a representative of the

Australian Environmental Protection Agency

10


Im Jahr 2010 kam Stuxnet

11


Professionell entwickelter Cyber-Angriff

Ziel waren nur Industriesysteme mit SPSen des Typs SIMATIC S7

mit ganz spezifischer Konfiguration / Programmierung

Erhielt große öffentliche Aufmerksamkeit durch

die Verwendung von 0-day Schwachstellen

die Fähigkeit “Air Gaps” zu überspringen

die Fähigkeit physischen Schaden durch die Manipulation von

Softwarekomponenten anzurichten

den Eindruck eines politische motivierten “cyber-warfare”

Worum ging es in Stuxnet?

12


1982 1997 2000 2003 2005 2007

Chronik von Angriffen auf Industriesysteme (1)

13


2010 2011 2012 2013

Chronik von Angriffen auf Industriesysteme (2)

2014

14


Angriff auf ukrainisches Stromverteilnetz

Am 23. Dezember 2015 meldeten Ukrainische EVUs Ausfälle der

Stromversorgung

Ursache waren unberechtigte Zugriffe Dritter

Insgesamt waren 3 EVUs betroffen

Das Öffnen von Trennschaltern in mindestens 27 Umspannwerken

führte zu einem Stromausfall bei über 225.000 Kunden

Der Ausfall dauerte mehrere Stunden

Erster offiziell bestätigter Stromausfall als folge eines Cyberangriffs

15


Angriff auf ukrainisches Stromverteilnetz

Source: Analysis of the Cyber Attack on the Ukrainian Power Grid, E-ISAC

16


Gruppe 1: wollen die Welt durch die Meldung von

Sicherheitsschwachstellen sicherer zu machen

Gruppe 2: wollen durch die Entdeckung von

Schwachstellen Anerkennung erhalten

Gruppe 3: wollen durch das Entwicklung von

Angriffswerkzeugen für entdeckte Schwachstellen finanziell

profitieren

Warum nach Industrieschwachstellen suchen

Die Motivation von Forschern, die sich mit Sicherheitsschwachstellen in

Industriekomponenten beschäftigen, änderte sich mit der Zeit.

17


Große Anzahl an Präsentationen über Industriesicherheit auf

zB.: Blackhat, Derbycon, Defcon

Titel umfassen

“How to own an industrial facility from 40 miles away”

“Why Control System Cyber-Security Sucks”

“Internet-facing PLCs – a new back orifice”

Eigene Konferenzen über Industriesicherheit und Hacking von

Industriekomponenten entstehen

Industriesicherheit auf Konferenzen

Die Motivation von Forschern, die sich mit Sicherheitsschwachstellen in

Industriekomponenten beschäftigen, änderte sich mit der Zeit.

18


Quelle: http://www.siemens.com/innovation/pool/innovations/

technologiefokus/it-software/siemens_vulnerability_handling.pdfQuelle: http://www.ge.com/security

Reaktion der Hersteller

19


Virtual Private Networking Lösungen (VPN)

Intrusion Detection Systeme (IDS)

Virenscanner

Application Whitelisting

Security Information Event Management (SIEM) Systeme

Sicherheitsservices (Risikoanalysen, Pentests)

Viele Lieferanten beginnen strategische Kooperationen mit Anbietern von

Sicherheitsdienstleistungen.

Klassische Sicherheitsmethoden

Bewährte Sicherheitsmethoden aus dem IT-Bereich werden von Herstellern langsam

für den Einsatz im Industriebereich angepasst.

20


Tools zum Erkennen & Fingerprinten (z.B. modscan, Nessus)

Verschiedene Metasploit Module

Modbus Client

Dillon Beresford’s SIMATIC Module

Digitalbond’s Project Basecamp Module

SCADASTRANGELOVE’s Toolset

S7 Offline Authentication Bruteforcer

IEC Protokoll & Profinet Erkennungswerkzeuge

SCADACS’s PLCINJECT

…

Quelle: Digitalbond.com GE DE20 Metasploit Modul

Geeignete Angriffswerkzeuge

Der Fokus auf SPS Schwachstellen brachte Sicherheitsforscher dazu, geeignete

Angriffswerkzeuge ausschließlich für Industriesysteme zu entwickeln.

21


Quelle: SHODANHQ / Google

Suchmaschinen für Industriekomponenten

Industriekomponenten werden nicht nur unsicher entwickelt sondern auch unsicher

betrieben.

26


Es wird in der IT-Welt mittlerweile davon ausgegangen, dass

Angreifer irgendwann definitiv einen Weg in das Netzwerk finden.

Neue Sicherheitsbemühungen zielen auf schnelle Erkennung eines

Angriffes ab (Indicators of Compromise)

Industrie hinkt in Sachen Sicherheit hinterher

Fehlendes Spezialwissen im Sicherheitsbereich

Fehlende Möglichkeiten Monitoring in Anlagennetzten umzusetzen

Große Entfernung zum eigentlichen Industriekerngeschäft

Ein neues Verständnis von Angriffsrisiken

Die Annahmen bezüglich Sicherheit in der IT-Welt haben sich geändert – die in der

Industriewelt auch.

27


Eigenes IT-Sicherheitsgesetz in Deutschland

beinhaltet Meldepflicht für Sicherheitsvorfälle

Beinhaltet branchenspezifische Sicherheitsvorgaben

In Österreich ist das Cybersicherheitsgesetz in Vorbereitung mit

ähnlicher Ausrichtung

Auf EU-Ebene ist Netz- und Informationssicherheitsrichtlinie

verabschiedet worden

Sicherheitsdruck nimmt zu

Regulierung und Branchensicherheitsstandards zeichnen sich ab.

28


DURCHFÜHRUNG EINER

RISIKOANALYSE

29


Threat & Risk Analysis

Auswirkun

-gen

bestimmen

Risiko

ermitteln

Systemver

ständnis

herstellen

Bedrohun-

gen

identifi-

zieren

Bedrohun-

gen

bewerten

Beobachtung und Re-Evaluierung

Angreifer

ermitteln

Risikoanalyse im Überblick

30


1. Besseres Angreiferverständnis

31


2. Auswirkungen von Security-Problemen erfassen

32


3. Bedrohungen erfassen & Risiko bewerten

33


Hilfsmittel für Wahrscheinlichkeit: Exponiertheit

und Ausnutzbarkeit

34


Risk

Analysis

( specific

requirements)

Standard

Assessment

( unspecific

requirements e.g.

from standards)

Practical

Assessment /

Penetration Test

( specific

implementation)

Pre

Assessment

Activities

Post

Assessment

Activities &

Reporting

rerating

evaluation of risk

evaluation

of risk

Taken from: A Manufacturer-Specific Security Assessment Methodology

for Critical Infrastructure Components, IFIP WG11.10 Conference

Zusammenhang Risikoanalysen & Pentests

35


The Limes team on premise

Ein Spaziergang durch eine Industrieanlage

36


The team of Limes used only reflective vests

as disguise and was able to act freely on the

entire premise.

Even entering a control center without being

questioned was possible in order to

reconfigure an already implanted backdoor.

37


Backdoor Implant

The team was able to implant three devices during the

attack

38


Automation network

Raspberries

on site

SSH server in

Limes headquarter

SSH tunnel

In order to gain remote access to the automation network, Limes implanted

several raspberries on site.

Upon reboot the raspberries connected to the SSH server and opened a reverse

SSH tunnel using the UMTS/3G sticks. The connection to the server was

secured by certificate based authentication. To use the remote devices an

additional user/password authentication was required.

The raspberries itself were no automated attack devices, their sole purpose was

to act as a backdoor.

39


1. Infektion mit Schadsoftware über Internet und Intranet

2. Einschleusen von Schadsoftware über Wechseldatenträger und externe Hardware

3. Social Engineering

4. Menschliches Fehlverhalten und Sabotage

5. Einbruch über Fernwartungszugänge

6. Internet-verbundene Steuerungskomponenten

7. Technisches Fehlverhalten und höhere Gewalt

8. Kompromittierung von Smartphones im Produktionsumfeld

9. Kompromittierung von Extranet und Cloud-Komponenten

10. (D)DoS Angriffe

3

9

Top 10 Industriebedrohungen 2014

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Deutschland stellt

eine Liste der zehn größten Bedrohungen für Industrieunternehmen bereit.

Quelle: https://www.allianz-fuer-cybersicherheit.de/ACS/DE/_/downloads/BSI-CS_005.pdf?__blob=publicationFile&v=2

40


INDUSTRIELLE SECURITY-

STANDARDS UND IHRE

ANWENDUNGSBEREICHE

41


BDEW Whitepaper: Anforderungsbereiche

General

Requirements &

Housekeeping

Base SystemNetworks/

Communication

Deployment, Test

& Rollout

Backup,

Recovery &

Disaster

Recovery

1. Backup: Concept,

Method,

Documentation,

Test

2. Disaster Recovery

1. General

2. Patching und Patch

Management

3. Documentation

1. Secure

Development

Standards, Quality

Management and

Release Processes

2. Secure Data

Storage and

Transmission

3. Secure

Development, Test–

and Staging

Systems, Integrity

Checks

4. Secure Update and

Maintenance

Processes

5. Configuration and

Change

Management,

Rollback

6. Fixing Security

Vulnerabilities

7. Source Code

Escrow

1. Secure Network

Design and

Communication

Standards

2. Documentation of

Network Design and

Configuration

3. Secure

Maintenance

Processes and

Remote Access

4. Wireless

Technologies:

Assessment and

Security

Requirements

1. System Hardening

2. Anti Virus Software

3. Autonomous User

Authentication

BDEW Whitepaper

Application

1. User Account

Management

2. Authorization of

Activities on User

and System Level

3. Application

Protocols

4. Web Applications

5. Integrity Checks of

Relevant Data

6. Logging, Audit

Trails, Timestamps,

Alarm Concepts

7. Self-Test und

System Behavior

42


IEC62443 AnforderungsbereicheG

en

era

lO

pera

tors

Sys

tem

inte

gra

tors

Co

mp

on

en

t

ve

nd

ors

IEC 62443-2-1

Establishing an IACS

security program

IEC 62443-2-2

Operating an IACS

security program

IEC 62443-2-3

Patch management in

the IACS environment

IEC 62443-1-1

Terminology, concepts

and models

IEC/TR 62443-1-2

Master glossary of terms

and abbreviations

IEC 62443-1-3

System security

compliance metrics

IEC/TR 62443-3-1

Security technologies for

IACS

IEC 62443-3-2

Security assurance

levels for zones and

conduits

IEC 62443-3-3

System security

requirements and

security assurance levels

IEC 62443-4-1

Product development

requirements

IEC 62443-4-2

Technical security

requirements for IACS

components

Requirements that operators of industrial

automation systems must meet:

• Security guidelines and processes,

• Risk management in terms of security

• Information and document mgmt.

• etc.

System-side requirements in terms of .

• Access protection, user control

• Data integrity and confidentiality

• Controlled data flow,

• etc.

Requirements that components of an

automation system must meet in terms of

• Product development processes

• Product functionalities

43


Bestehende industrielle Security-Standards /

Empfehlungen werden zu wenig genutzt

Standard Zielgruppe HauptzweckGeographischer/

Sector FokusZertifizierbar

WIBHersteller /

IntegratorenHerstellerzertifizierung Oil/Gas Industrie Ja

BDEWHersteller /

Integratoren

Sicherheitsanforderungen

für Zulieferer

D, A, CH

(Energie- &

Wasserwirtschaft)

Nein

NERC CIPAnlagenbe-

treiber

Steigerung der Resilienz

der Energieversorgungs-

infrastruktur

USA, Kanada Ja

IEC 62443

Hersteller /

Integratoren /

Anlagenbe-

treiber

Sicherheitsanforderungen

für sichere Produkte /

sichere Lösungen /

sicheren Betrieb

Industriesektor Ja

ISO 27019Anlagenbetrei

ber

ISMS-Aufbau für

EnergieversorgerEnergiesektor Ja

NIST 800-

82

Anlagenbe-

treiber

Technische

SicherheitsempfehlungenU.S. Nein

44


ABSCHLIEßENDE EMPFEHLUNGEN

FÜR DIE STÄRKUNG DER EIGENEN

INDUSTRIAL SECURITY

46


Ab

sic

he

run

g d

er

Ne

tzw

erk

au

ße

ng

ren

ze

n

Durchführen einer Risikoanalyse: Verständnis für Risiken und Bedrohungen aufbauen

Ausarbeitung einer vollständigen Netzwerkassetliste: Kenne alle Komponenten im Industrienetzwerk

Verständnis für Kommunikationsfluss: Matrix für Entscheidungen um Netzwerkzugriffe

Planen der Netzwerksicherheit: Definition von Zonen für das Industrienetzwerk

Netzwerkzugriffsschutz: Schutz vor unbekannten Geräten im Netzwerk

Absichern des Fernzugriffs: Beaufsichtigung von externen Zugängen für Hersteller und Zulieferer

Stärkung der Sicherheitskompetenz:

12 Schritte um Ihr Unternehmen sicherheitstechnisch besser zu positionieren.

47


Be

rüc

ks

ich

tig

un

g in

ne

rha

lb

de

s U

nte

rne

hm

en

s

Systemhärtung: Steigerung der Sicherheit von Assets im Industrienetzwerk

Erstellung eines Patch Management Konzeptes: Verminderung von bekannten Softwarerisiken

Einrichten einer Sicherheitsorganisation: Definition von Rollen und Verantwortlichkeiten

Kaufen von sicheren Systemen: Sicherheit verpflichtend in den Beschaffungsprozess einbinden

Überprüfen der Sicherheit: Regelmäßige Tests der Unternehmensumgebung auf Schwachstellen

Vorbereitungen für den Ernstfall: Erstellung eines Notfallplans bevor Sicherheitsvorfälle eintreten

Stärkung der Sicherheitskompetenz:

12 Schritte um Ihr Unternehmen sicherheitstechnisch besser zu positionieren.

48


StuxHACK

Demonstrator zur Veranschaulichung von STUXNET

Nachstellen des Angriffsszenarios

Simulator für Industrial Security Trainings

Originalgetreue Abbildung

– Siemens PLC’s

– Originale Exploits

– Zentrifugen

STUXnet Hacking Attack Challenge Kit

49


StuxHACK Aufbau

Aufbau

– PLC‘s steuern die beiden

Zentrifugen

– HMI überwacht Zentrifugen RPM

– Roboterarm hilft beim

Überwinden der Air Gap

– Webcam in den „Control Room“

50


StuxHACK Challenge

Vordringen in das „Industrial Network“

– Eindringen in die DMZ

– Überwinden der Firewall in das Office Network

– Durch den Roboterarm das Air Gap in das Industrial Network

überwinden

Zentrifugen überlasten

– HMI manipulieren um immer „Normal Operation“ anzuzeigen

– Zentrifugen beschleunigen

51


What our spy found out about the

target site

External Firewall

VPN Gateway

„Internet“

DMZ

Web-Server

Office Network

Monitoring

PLC1 PLC2

Monitoring PCOffice PC

Programming PC

Programming Network

Internal

FirewallWebcamAttacker

52


Danke!

Fragen?

53


Für Anfragen kontaktieren Sie bitte

Web: www.limessecurity.com

Mail: [email protected]

Die Hard 10.0: Ein Drehbuch für Industrielles Hacking · 7 Beispiel eines berühmten Incidents...

Documents

Transcript of Die Hard 10.0: Ein Drehbuch für Industrielles Hacking · 7 Beispiel eines berühmten Incidents...