Print

Experiment s kyberprostorovým zabezpečením odhaluje hrozby pro průmyslové systémy

-- 17.02.14

Nedávno zveřejněná zpráva ukazuje, jak mohou falešné servery („honey pot“) navržené tak, aby vypadaly jako sítě městské vodárny, přitáhnout mnoho hackerů. Bezpečnostní experti nabízejí svou analýzu zjištění a doporučují, jak by měla ovlivnit vaše obranné strategie.

Na červencové konferenci Black Hat Conference prezentovala společnost Trend Micro zprávu o svém experimentu, v němž po světě rozmístila 12 honey potů (falešných serverů), které vypadaly jako sítě průmyslového řídicího systému (Industrial Control System – ICS) městských vodáren. Za období od března do června 2013 přilákaly tyto servery 74 záměrných útoků, včetně nejméně 10 útoků, při nichž byli hackeři schopni převzít nad řídicím systémem kontrolu. Tato zpráva je k dispozici na webové stránce společnosti Trend Micro (www.trendmicro.com).

Tři experti na kyberprostorové zabezpečení níže nabízejí svou analýzu, jež vysvětluje významnost tohoto experimentu, a vyvozují ponaučení, která byste měli využít při plánování vašich obranných strategií.http://controlengcesko.com/fileadmin/grafika/Bar%C4%8Da/Casopis_Unor_2014/Michael-Assante.jpg

Michael Assante je vedoucí týmu pro ICS a SCADA v SANS Institute a působil jako viceprezident a bezpečnostní ředitel organizace NERC. Vypracoval strategii pro skupinu řídicích systémů společnosti Idaho National Labs a působil jako viceprezident a bezpečnostní ředitel společnosti American Electric Power.

http://controlengcesko.com/fileadmin/grafika/Bar%C4%8Da/Casopis_Unor_2014/tim-conway.jpgTim Conway je technický ředitel pro ICS a SCADA v SANS Institute a působil jako ředitel pro soulad s předpisy NERC a pro provozní technologie rozvodné společnosti NIPSCO.

http://controlengcesko.com/fileadmin/grafika/Bar%C4%8Da/Casopis_Unor_2014/luallen.jpg

Matt Luallen je zakladatel společnosti Cybati provádějící školení a poradenství v oblasti kyberprostorového zabezpečení a je častý přispěvatel časopisu Control Engineering pro oblast zabezpečení.

Jeden aspekt zprávy společnosti Trend Micro nebyl do diskuse začleněn. Přisuzuje přinejmenším některé hackerské aktivity skupinám spojeným s čínskou armádou. Účastníci naší diskuse se shodují, že toto přisouzení by mohlo být korektní, nicméně jde nad rámec toho, co lze na základě dostupných důkazů nezvratně prokázat. Navíc naznačuje, že tyto skupiny spíše hledají cíle, kde existuje příležitost, než aby volily specifické typy systémů, na které zaútočí.

Začněme přehledem této studie a jejím záběrem. Co je ve zprávě? Jaké byly záměry tohoto projektu?

Assante: Společnost Trend Micro vytvořila několik honey potů, které vypadaly, že geograficky existují v různých částech světa. Pro podobu honey potu zvolila systém městské vodárny, takže výzkumníci vypracovali něco, co vypadalo jako vodárenský systém; předpokládám, že měl označení a štítky jako vodárenský systém a že měl určitou úroveň technické architektury, díky níž vypadal jako řídicí systém svázaný s městskou vodárnou. Systém pustili do světa a zpřístupnili jej na internetu.Výzkumný pracovník sledoval, jakou aktivitu ze strany hackerské komunity tyto nastražené systémy vyvolají. Provedl určitý průzkum, takže projekt měl dva cíle: zaprvé ověřit jeho sledovanost, tj. zda tito lidé hledají takové cíle, zda budou honey pot považovat za reálný, a zjistit, co s ním budou dělat; zadruhé chtěl odhalit technické schopnosti těch, kteří stránky navštívili.Tvůrci ze společnosti Trend Micro měli na mysli pravděpodobně dvě záležitosti: jednak si zvolili cíl typu vodárny malého města, aby udrželi projekt ve zvladatelném měřítku, a zároveň si vybrali architektury, které byly z pohledu hackerské komunity zranitelnější. Jako cíle jsou tyto systémy nízko visícím ovocem. Protože jde o vodárenský systém, což je velmi malý řídicí systém, plyne z toho pro nás všechny ponaučení: „Žádný cíl není příliš malý.“ Byli zde hackeři,  kteří se na cíl přišli podívat, a tito hackeři přišli s útočnými schopnostmi, jež odpovídaly cíli. Takže pokud se domníváte, že jste příliš malí a nic takového se vám nikdy nemůže stát, tak poslouchejte – tyto systémy byly navrženy, aby vypadaly jako malý systém někde v Horní Dolní, a útočníci se o něj přesto zajímali.

Věděli útočníci, jak mají přistupovat k průmyslovým systémům a komunikačním protokolům, nebo to snížilo jejich efektivitu? Mnoho uživatelů se utěšuje myšlenkou „zabezpečení díky neobvyklosti“ a věří, že hackeři nevědí, jak si poradit s průmyslovými sítěmi.
Assante:
Většina útočníků jednoduše přišla, protože měli určité obecné dovednosti ve využívání zranitelných míst na internetu, ale nebyli plně připraveni vyrovnat se s realitou řídicího systému. Řídicí systémy mají obvyklé prvky, jako je vrstva operačního systému a aplikační vrstva a v tomto případě vzdálený webový přístup. Ale malá část lidí, kteří přišli, byla připravena zavrtat se do řídicích systémů, k tomu měla dostatečné schopnosti převzít kontrolu nad systémy, které našla. Asi deset z těch, kteří se dostali dovnitř, disponovalo schopností převzít plnou kontrolu nad systémem, jenž byl simulován v honey potu. Čtyři z nich to provedli manipulací simulovaného průmyslového protokolu nebo hardwarových zařízení.
Tito útočníci přišli se správnými nástroji, zkušenostmi a plánem, co chtějí dělat, aby působili na úrovni průmyslového protokolu a hardwaru – nejen na aplikační úrovni nebo na úrovni operačního systému.
A to vyvolává několik otázek: Těch deset hackerů, kteří převzali plnou kontrolu nad procesem, udělalo něco, co by mohlo poškodit proces, nebo jde jen o expedici za získáním zkušeností? Mohli úmyslně změnit rozhraní HMI? Mohli posunout žádané hodnoty? Umístili zde trojského koně, aby si udrželi nohu mezi dveřmi pro zachování přístupu? Musí být určité náznaky motivace pachatelů útoku, kteří převzali kontrolu nad procesem? Co bylo podle našeho názoru jejich hlavním záměrem? Můžeme se z jejich motivace pro příště něco
naučit?

Šlo o simulovaný cíl – dokázal by šikovný hacker poznat, že nebyl ve skutečném řídicím systému?
Luallen:
V rámci tvorby mých výukových systémů jsem měl přístup k systémům, které jsem mohl virtualizovat, nebo jsem k tvorbě mohl používat reálná zařízení. Když se podívám na cestu virtuální verze, vím, že nemá sofistikovanost potřebnou pro ty typy cílů útoků, které chci reprezentovat. Když to otočím a představím si, co bude hacker očekávat, tj. jaká bude reakce systému, nemyslím si, že musíte být příliš sofistikovaní, abyste to provedli jako součást posuzování. Jestliže nechcete být chyceni, musíte si své cíle pečlivě vybírat a ujistit se, že cíl je reálný, než se do něj pustíte.

Takže není hacker jako hacker. Obvykle o nich uvažujeme v abstraktním smyslu, nikoli jako o konkrétních lidech.
Assante:
Označení hacker používáme ve velmi obecném smyslu. Určité osoby a skupiny si s sebou nesou různé sady dovedností. Pokud příslušní pachatelé skutečně dokážou vidět, jak interagují s cílovým systémem, a mají velké zkušenosti se součástmi takového systému a se způsobem, jak se takové součásti chovají, pak neuvidí věci, které očekávají, což jim pomůže určit, že před sebou mají kopii, a ne skutečnou věc.

Existují způsoby, jak zjistit, „na co se to dívám“. Dáte systému příkaz s očekáváním, že bude určitá součást reagovat určitým způsobem, a pokud tomu tak není, víte, že nepracujete s reálnou praktickou situací. Dobrou zprávou je, že podle mého názoru není mnoho pachatelů na takové úrovni sofistikovanosti
a zkušeností se součástmi systémů ICS. Každý systém tvoří mnoho různých prvků v různých úrovních. Různí hackeři jsou dobří pro různé části.

Conway: Špatnou zprávou v této diskusi je to, že můžeme říci, že existuje velmi omezený počet dobrých hackerů, kteří by odhalili, že jde o falešnou síť. Ti by s sebou netahali všechny nástroje a schopnosti jen proto, aby je někdo sledoval a prováděl určitou analýzu. Takže pokud hovoříme o hackerech, kteří nepatří mezi nejlepší z nejlepších, a vidíme, čeho se jim podařilo dosáhnout, je to děsivé. Tento systém byl on-line a dostupný po krátkou dobu a dostal se sem větší počet hackerů, kteří prováděli útoky na HMI prostřednictvím vsunutí kódu
SQL (SQL injection), dále formou falešných požadavků (cross-site request forgery), ukradení uživatelských přihlašovacích údajů, vynesení konfiguračních souborů VPN atd. Došlo ke spoustě nepříjemných záležitostí a můžeme říci, že to nebyli ti nejlepší z nejlepších, protože ti by věděli, že jsou ve falešné síti (honey net). (Honey net a honey pot jsou podobné koncepce, avšak honey net předpokládá větší systém; pozn. redakce)

Assante: Další nepříjemnou skutečností, se kterou se úplně neumíme vyrovnat, je to, že všechny tyto aktivity proběhly na několika falešných sítích. V naší komunitě zabývající se obrannou komunikací víme, že k incidentům dochází, a vyvodili jsme závěry ze zpráv ICS CERT apod., ale víme, že zprávy z reálného světa jsou mnohem omezenější. Je-li tento experiment nějakým indikátorem, pak se musíme domnívat, že k útokům proti reálným systémům dochází, nebo přinejmenším aspoň k průnikům, je o ně zájem a pro majitele těchto systémů je velmi obtížné taková narušení detekovat. Pro vlastníky systémů je také těžké přijmout skutečnost a pochopit, že jejich systémy si hackeři obhlížejí a že jsou vystaveny i reálným průnikům. Většina konečných uživatelů nemá schopnost takové detekce, ale ti, kteří ji mají, nemohou nebo příliš nechtějí takové informace sdílet. Bohužel my jakožto obránci máme velmi omezený přehled o tom, jaký je stav hry.

Opravdu hrozivé. Ale co teď?
Conway:
Když se podíváme na tuto situaci a ptáme se, co s tím uděláme, napadají mě myšlenky, jako je znemožnění přístupu na internet, přezkoumání
vašich důvěryhodných zdrojů, uplatnění politiky uzamykání USB médií, zavedení seznamu přípustných aplikací a podobně. Ale pak se zeptám sám sebe: „Udělala společnost Trend Micro něco pro to, aby sítě honey net lépe zviditelnila jako cíle?“ Vidím, kolik času a energie věnovali tomu, aby tyto systémy byly indexovány a dotazovány prostřednictvím vyhledávače Google. Zajistili, že jsou dostupné prostřednictvím vyhledávače počítačů SHODAN. Šli do všech prostředí a přizpůsobili je na míru tak, aby měli to správné jazykové nastavení pro různé webové prohlížeče. Takže to otočme a dospějeme k tomu, že by vlastníci systémů měli provést takovýto průzkum terénu sami. Měli by si položit otázky:
„Jak atraktivním cílem jsme? Může někdo najít náš systém prostřednictvím vyhledávače Google? Jsme dostupní ve vyhledávači počítačů SHODAN?“ Jestliže to vyzkoušíte a zjistíte, že je snadné vás lokalizovat, jakým způsobem se můžete lépe skrýt před útočníky? Říkáme, že „zabezpečení díky neobvyklosti“ je ztráta času a je irelevantní, a domnívám se, že je to pravda, pokud se specificky cílí na vás. Avšak pokud lidé jen hledají cíl a příležitost, rozhodně má smysl
být více skrytý.

Luallen: To je klíčový bod. Volně dostupné znalosti, které mohou lidé získat od firem, jež propagují samy sebe, vzájemně se propojují nebo zpřístupňují příliš mnoho informací o sobě prostřednictvím vyhledávače SHODAN nebo dodavatelské dokumentace nebo formou prezentací a veřejných  popularizačních konferencí.

Assante: Snížení atraktivity vašeho systému pro případná napadení jistě funguje, když hackeři uplatňují schopnost nebo nástroj, který mají připraven pro hledání (například sofistikovaná hledání komponent ICS připojených k internetu). Je dobré, když omezíte množství stop k vašemu nalezení. Avšak nepomůže to, když vás někdo hledá z jiného důvodu, což znamená, že jste cílem z důvodu komunity, kterou obsluhujete, nebo existuje jiný důvod pro přímý útok.

Jak praktické je pro individuální firmy snížit svou viditelnost? Jak se to dá
udělat?
Assante:
Jste-li přístupní z internetu, některá opatření nemůžete udělat. Nemůžete skrýt tuto skutečnost, ale můžete omezit pravděpodobnost, že si někdo odvodí, co se tam nachází. Jako hacker můžu ve vašem systému vidět A,
B, C a D, což ve mně vyvolá dojem, že jste určitý druh provozu a že bych měl na vás použít určitý nástroj.
Nejdříve byste se měli podívat na sebe a zeptat se: „Co lidem říkám?“ To je první věc, kterou byste měli pochopit. Existuje důvod, abych určitou informaci zpřístupňoval? Je to přínosné z provozního hlediska? Pokud není, vymyslete způsob, jak můžete tuto informaci skrýt. Jakmile to učiníte, odstupte a řekněte si: „Tady jsme udělali nejlepší, co šlo. Co dalšího teď můžeme udělat pro zmírnění rizika?“ Zdá se, že pro majitele systémů je jednou z nejobtížnějších záležitostí určit, zda u nich došlo k průnikům.
Většina firem nebude zřizovat falešný server (honey pot) nebo falešnou síť
(honey net), aby jejich experti určili, zda se hackeři prolomili dovnitř nebo zda se o to pokoušejí. Neexistují ale jednodušší metody, jak detekovat útočníky? A co „kanárci“?

Assante: „Kanárek“ je cokoli, co může zaslat pozorovatelnou výstrahu, pokud se s ním něco stane. Může to být tak jednoduché jako umístit počítač na podsíť (sub-net), na kterou žádný jiný počítač nikdy nebude přistupovat. Pokud se jej něco dotkne, víte, že to nepochází z vašeho normálního chování.

Conway: Máte-li síť, která využívá pro normální komunikaci výhradně protokol TCP/IP V4 nebo Modbus, můžete sem umístit kanárka, který poslouchá všechny ostatní protokoly. Jestliže na něj někdo hovoří pomocí jiného protokolu, víte, že je něco nakonfigurováno špatně nebo že se děje něco ještě horšího. Další možnost – většina středních až velkých rozvodných závodů má testovací sítě a útočníci nutně nemusejí vědět, že jsou v testovací síti. Takže mnoho firem již ze
všech praktických hledisek provozuje falešnou síť (honey net), do které mohou nainstalovat některého z těchto kanárků. Pokud se tam někdo potlouká, nebude vědět, že jde o testovací síť a že testovací síť nemá skutečnou  konektivitu k reálným zařízením. Pro útočníka vypadá stejně jako reálný systém. Neustále byste měli sledovat aktivitu v testovacích sítích. Využívejte honey pot, který už máte.

Assante: Můžete najít kanárky odpovídající vašemu souboru dovedností a můžete je nastražit a následně sledovat a poslouchat. Nemusíte být schopni poté provést forenzní analýzu, ale přinejmenším máte nastraženo výstražné lanko, které vám řekne, že můžete mít větší problém. Můžete zajít za svým dodavatelem a zeptat se: „Má se opravdu náš systém chovat takovýmto
způsobem?“ Toto je velmi důležitá možnost.

Luallen: Když se podíváte na to, co máte, a na zdroje, které máte k dispozici, existuje velká motivace, abyste nemuseli zavádět další zařízení. Toto není dovednost, kterou byste mohli jednoduše pověřit všechny vaše stávající pracovníky bez dodatečných investic do školení a času.
Když se podíváte na rozsah nástrojů, které byste mohli zavést, je důležité si uvědomit, co již máte. Jaký druh dovedností a nástrojů již zde je, takže nemusíte přinášet další systémy, muset je spravovat.
Použití kanárka je výborné pro sledování provozu, jenž by zde neměl být, ale abyste věděli, co zde nemá být, musíte vědět, co zde být má. To znamená  vědět, co již máte a jakým způsobem to komunikuje. Jděte až ke kořenům: Co tady mám a jak věci spolu hovoří? Jestliže umístíte kanárka, co budete dělat, když něco zjistí?

Assante: Když dostáváte nový řídicí systém nebo když jste se se stávajícím řídicím systémem dostali do nové situace, musíte si stanovit vaše výchozí linie. Jak systém funguje? Co je zapotřebí pro to, aby fungoval? Co je nežádoucí nebo nepotřebné? Měli byste být schopni dostat informace od dodavatele, zejména ve fázi pořizování.
Jsou dostupné nástroje, jako je nástroj SOPHIA společnosti Idaho National Labs, které jsou určeny k tomu, aby pasivně stanovily základní linii vašich komunikací, na úrovni portu a kanálu.
Musíte vybudovat profil systému a pak můžete říci, kdy došlo k odchylce. Většina odchylek vzniká nesprávnou konfigurací nebo tím, že někdo provedl změnu v nastavení, ale přesto s tím něco musíte udělat. Musíte to vypátrat a zjistit, proč ke změně došlo.

Luallen: Musíte vědět, co nepotřebujete. Když si někdo pořídí nový řídicí systém, během fáze pořizování vypíše všechny funkce, které potřebuje. V době, kdy se systém dostane na místo určení, má všechny možné jiné funkčnosti. Musíte se zeptat svého dodavatele, co z toho, co tam je, nepotřebujete. Cokoli, co se tam nachází, i když to nevyužíváte, musí být zabezpečeno a udržováno. Existuje velký dodavatel panelových rozhraní HMI, který nyní do všech svých produktů začleňuje Adobe Reader. Jde o horizontální aplikaci, jež má svá zranitelná místa a bude v situaci, kdy uživatel nemusí vědět, že se tam nachází, a je malá pravděpodobnost, že bude záplatovaná. Nemáte-li dobrý důvod pro
její zachování, dejte ji pryč.

Takže byl nakonec tento test dobrým nápadem?
Assante:
Tleskám projektu proto, že ve světě průmyslových řídicích systémů máme jen málo příležitostí k učení. Musíme zjišťovat, co se děje, a na základě těchto informací pak říci, jak systémy budeme bránit. Honey poty jsou dobré, protože vlastníci systémů se neostýchají sdílet, k čemu došlo. Musíme informace sdílet s dostatečnou podrobností, abychom z nich mohli vytěžit určitá ponaučení. ce

Upravil Peter Welander, kontaktovat jej můžete na e-mailu pwelander@cfemedia.com.

Autor: Peter Welander, Control Engineering


Sponzorované odkazy

 
Aktuální vydání
Reklama

Navštivte rovněž

  •   Události  
  •   Katalog  

Události

Trendy v robotizaci 2020
2020-01-28 - 2020-01-30
Místo: Best Western Premier / Avanti, Brno
DIAGO 2020
2020-01-28 - 2020-01-29
Místo: Orea Resort Devět Skal ***, Sněžné - Milovy
Trendy automobilové logistiky 2020
2020-02-20 - 2020-02-20
Místo: Parkhotel Plzeň
Úspory v průmyslu
2020-03-03 - 2020-03-03
Místo: Ostrava
AMPER TOUR 2020
2020-03-17 - 2020-03-19
Místo: Brno

Katalog

BALLUFF CZ s.r.o.
BALLUFF CZ s.r.o.
Pelušková 1400
19800 Praha
tel. 724697790

EWWH, s. r. o.
EWWH, s. r. o.
Hornoměcholupská 68
102 00 Praha 10
tel. 734 823 339

B+R automatizace, spol. s r.o.
B+R automatizace, spol. s r.o.
Stránského 39
616 00 Brno
tel. +420 541 4203 -11

Schneider Electric CZ, s. r. o.
Schneider Electric CZ, s. r. o.
U Trezorky 921/2
158 00 Praha 5
tel. 00420737266673

COGNEX
COGNEX
Emmy-Noether-Str. 11
76131 Karlsruhe
tel. 720 981 181

všechny firmy
Reklama


Tematické newslettery




Anketa


Na internetu
V tištěných médiích
Na veletrzích a výstavách
Jinde

O nás   |   Reklama   |   Mapa stránek   |   Kontakt   |   Užitečné odkazy   |   Bezplatné zasílání   |   RSS   |   
Copyright © 2007-2019 Trade Media International s. r. o.
Navštivte naše další stránky
Trade Media International s. r. o. Trade Media International s. r. o. - Remote Marketing Továrna - vše o průmyslu Control Engineering Česko Řízení a údržba průmyslového podniku Inteligentní budovy Almanach produkce – katalog firem a produktů pro průmysl Konference TMI