positive hack days. Гуркин. Угрозы безопасности АСУ ТП
TRANSCRIPT
![Page 1: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/1.jpg)
Безопасность АСУ
Positive Hack Days.
Угрозы безопасности АСУ ТП.
GLEG ltd,
Гуркин Юрий
http://www.gleg.net
![Page 2: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/2.jpg)
Безопасность АСУ
План доклада
Рассматриваемые вопросыАтака на АСУ (ПО) из интернет Разведка — поиск доступных и уязвимых
систем Эксплуатация уязвимостей Постэксплуатационные действия Резюме
![Page 3: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/3.jpg)
Безопасность АСУ
АСУ ТП
Июнь 2010 — Stuxnet. Знаковое событие.
Помимо всего прочего с этого времени сильно возрастает интерес исследователей →
выросло количество уязвимостей. →
возрос потенциальный риск атак
![Page 4: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/4.jpg)
Безопасность АСУ
АСУ ТП
Возможная атака извне:
1. Этап. - Разведка
Найти доступные извне ресурсы: (специфические порты, баннеры)
Например для realwin scada можно сканировать диапазон адресов на предмет открытых портов
910, 912
![Page 5: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/5.jpg)
Безопасность АСУ
АСУ ТП
Если найден порт — получаем баннер. Баннеры могут более эффективно указывать на уязвимый сервис.
Пример баннера для исследуемого в данный момент:
SCX ADVANCED INDUSTRIAL AUTOMATION SOFTWARE
...the integrated SCX Web server is a standard component of the SCX product. Web Clients have access to all SCADA system functions...
![Page 6: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/6.jpg)
Безопасность АСУ
АСУ ТП
1) “SCXWebServer”****************************HTTP/1.1 200 OKContent-Encoding: deflateDate: Tue, 14 Dec 2010 19:09:52 GMTExpires: Tue, 14 Dec 2010 19:09:52 GMTCache-Control: no-cacheServer: SCXWebServer/6.0Content-Type: text/xmlContent-Length: 1504***********************
![Page 7: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/7.jpg)
![Page 8: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/8.jpg)
![Page 9: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/9.jpg)
Безопасность АСУ
АСУ ТП
Shodan — только 80, 21, 22, 161, 5060 порты
Можно использовать другие инструменты-сканеры,
а также написать и собственные...
2-ой этап — попытка эскплуатации уявзимостей с помощью, например, Canvas framework
![Page 10: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/10.jpg)
Безопасность АСУ
АСУ
Допустим, мы эксплуатируем buffer overflow в CoDeSys Eni server:
Выглядеть это может так: (видео)
![Page 11: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/11.jpg)
Безопасность АСУ
Типовые уязвимости ПО:
3-ый этап — постэксплуатация:Дальнейшие наши действия в случае с CoDeSys:
Инсталляция трояна.
Кейлоггер.
Сокрытие действий.
Ждем пока не получим login+pwd...
Против другого ПО могут быть предприняты другие действия:
Например IGSS scada по умолчанию локальный доступ без пароля....
![Page 12: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/12.jpg)
![Page 13: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/13.jpg)
Безопасность АСУ
Типовые уязвимости ПО:
Можно сделать доступным RDP и не ждать пароля...
Можно также попытаться залогиниться к базе, сниффить пакеты и тп
![Page 14: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/14.jpg)
Безопасность АСУ
Минимизация рисков:
Важно не дать доступ к конечным устройствам:
Изоляция от интернет (минимизация) end-point security + IDS Отслеживание информации о уязвимостях. особенно
связанных с раскрытием login pwd ! Настройка ПО АСУ. не полагаться на local auth!
На экстренные случаи: Возможность автономного функционирования
контроллеров Дублирование (управляющих центров или целиком
технических процессов)
![Page 15: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/15.jpg)
Безопасность АСУ
Минимизация рисков:
И другие организационные и внедренческие меры:
Противодействие социальной инженерии,
стойкость паролей,
тесты на проникновение,
повышение секьюрити культуры персонала,
применение оборудования «разных» производителей,
Разграничение функций устройств.
![Page 16: Positive Hack Days. Гуркин. Угрозы безопасности АСУ ТП](https://reader030.vdocuments.mx/reader030/viewer/2022013112/55d572e1bb61eb095f8b4568/html5/thumbnails/16.jpg)
Безопасность АСУ
РезюмеМножество систем (доступных извне) уже сейчас могут
подвергаться атакам!
Продемонстирован сценарий такой возможной атаки на примере CoDeSys
*****************
Необходимо также понимать:
как и в любом другом ПО, в ПО АСУ содержатся уязвимости... и в ближайшее время их будет найдено «много».
Возможен всплеск активности хакеров в отношении доступных из Интернет систем.
Лучшей защитой для АСУ несомненно является ПОЛНАЯ изоляция (без крайней на то необходимости) от интернет
Нужно внедрять решения и применять организационные меры по обеспечению безопасности АСУ с учетом их специфики.