Безопасность АСУ ТП АЭС из открытых источников


© 2002—2015, Digital Security

Исследования Digital Securityв области АСУ ТП

2

Исследовательский центр DSecRG


2011-2012:

SCADA:• OPC Systems и WellinTech KingSCADA – 5 уязвимостей

средней и высокой критичностиКонтроллеры:• WAGO, TECOMAT – 5 уязвимостей средней и высокой

критичности


3

Атаки на WAGO


• FTP Заливка модифицированной прошивки через FTP (пароль по умолчанию)

• HTTP Скачка прошивки (без аутентификации)• HTTP Выключение и смена настроек (пароль по умолчанию) • HTTP Изменение пароля администратора (CSRF).• SNMP Информация (строка по умолчанию)• MODBUS Изменение значения регистров (без

аутентификации)• WAGO Services Смена настроек и DoS (без аутентификации)• CODESYS Перезаливка прошивки (без аутентификации)


4

MitM для HMI (контроллеры WAGO)


Злоумышленник

Датчики/IO

HMI

ARP SpoofingMITM

PLC

Операторвидит то, что хочет злоумышленник


5

Исследовательский центр DSEC


2013-2014:

ПО:• Уязвимости в HMI управления датчиками INOR MePro (DoS)• Уязвимость в HART OPC Server (DoS)Многоуровневые атаки на системы АСУ ТП (концепция SSRF):• Исследование концепции атак с использованием протокола HART• Уязвимости в различных элементах систем Plant Asset Management (XXE,

XSS, DoS)• Исследование спецификации FDT/DTMИсследование безопасности микроконтроллеров:• «Эксплуатация AVR- и MSP-микрочипов», Вадим Бардаков @ ZeroNights

2013


6

Микроконтроллеры тоже уязвимы


RS-485/Modbus

Некорректный пакетModbusЗлоумышленник

I/O системы на основе Modbus

PLC

Переполнение на МК MSP:можно контролировать ввод-вывод на контактах


7

Сквозные атаки, основанные на глубокой интеграции уровней


Атаки снизу вверх:• От датчиков до ERP• Компрометация среднего уровня через уязвимости в ПО и

излишнее доверие к информации с нижних уровней• Любая линия связи может быть потенциальной угрозой


Картинка от Метран/Emerson: http://metran.ru/files/SWtour/emerson.html

8

http://metran.ru/files/SWtour/emerson.html



Атака на ERP через HART (+обход шлюзов)



Токовая петля

HART-шлюз

Данные XML

HART Command 22Изменить Long tag наA' xmlns='x-

schema:http://q45.ru

Злоумышленник

Датчик HART

XMLI

Веб-серверзлоумышленника

Запрос удаленной схемы

Ответ (XSD содержащая SSRF)SSRF

12

3

4

5Internet

PAS (FieldCare)

6Запрос с SAP RCE RCE

ERP

9

Исследование FDT/DTM


Vulnerable, 501, 67%

Not vulnerable, 251, 33%

By Device

• Мы исследовали 114 компонентов от 24 вендоров для 752 устройств

• 29 уязвимостей в компонентах у 501 устройства• 14 вендоров уязвимы

RCE 3

DoS 6

Other 9

Possible RCE 7

XML in-jection 2

Race Condition 2

10


Выступления на международных конференциях


• Project Basecamp 2012• Infosecurity Russia 2013, 2014• SCADA Security Scientific Symposium S4x14, S4x15• t2‘fi 2014• BlackHat USA 2014• BlackHat Europe 2014• ZeroNights 2013, 2014

11




Слабые места инфраструктур АСУ ТП

12

В гетерогенности инфраструктуры – ее слабость


Многоуровневость системы

Высокая гетерогенность.

Необходимость в стандартных интерфейсах

Компоненты доверяют друг другу

Все плохо

Фильтрация входных данных? А что это?


13

Основная проблема



Глубокая интеграция и сильноедоверие между компонентами инфраструктуры

14



Возможные слабые места инфраструктур АЭС

15

Мы никогда не проводили аудитов АЭС


…поэтому стали искать информацию в открытых источниках


16

Общедоступная информация в Интернете?!



http://www.2010.atomexpo.ru/mediafiles/u/files/Present/7.4_koltsov.pdfhttp://www.2010.atomexpo.ru/mediafiles/u/files/Present/7.4_zverkov.pdf

17

http://www.2010.atomexpo.ru/mediafiles/u/files/Present/7.4_koltsov.pdf

http://www.2010.atomexpo.ru/mediafiles/u/files/Present/7.4_zverkov.pdf

RTAPLS – интеграционная шина между серверами и ТПТС



Много знакомых вещей, которые мы ломали:

• SOAP• OPC• OLEDB• Crystal Reports

http://www.rts.co.at/en/pls-home/products/rtapls.html

18

http://www.rts.co.at/en/pls-home/products/rtapls.html

Historian/OPC DA



• «OPC Data Access – группа стандартов, регламентирующих передачу данных в режиме реального времени от регистрирующих устройств, таких как ПЛК, к устройствам отображения, таким как человеко-машинные интерфейсы (HMI). Цель этих стандартов – непрерывная передача данных»

• Множество уязвимостей уже найдено в data historians на базе OPC DA

• Скорее всего, еще большее число не найдено

19

EN-шины




20


Система АСКРО



http://www.atomic-energy.ru/files/images/2013/05/fig3.png

21

http://www.atomic-energy.ru/files/images/2013/05/fig3.png

Уровни АЭС



http://2011.atomexpo.ru/mediafiles/u/files/Present2011/Dunaev_V.G..pdf

22





Здравствуй, HART!



http://2011.atomexpo.ru/mediafiles/u/files/Present2011/Zaguzov_V.S..pdfhttp://www.td-str.ru/file.aspx?id=13686

23

http://2011.atomexpo.ru/mediafiles/u/files/Present2011/Zaguzov_V.S..pdf

http://www.td-str.ru/file.aspx?id=13686

Возможные векторы проникновения



http://2011.atomexpo.ru/mediafiles/u/files/Present2011/Kraev_YU.A..pdf

24

http://2011.atomexpo.ru/mediafiles/u/files/Present2011/Kraev_YU.A..pdf

Проектирование: Windows? Oracle?



http://2011.atomexpo.ru/mediafiles/u/files/Present2011/Kabachnikov_A.B..pdf

25




Возможные векторы проникновения



• USB-устройства• Верхние уровни инфраструктуры (MES, КИС)• Шины связи между подсистемами (инсайдер?)• Датчики • Внешние связи (АСКРО, системы сейсмоконтроля, системы

взаимодействия с РосАтомом)• Системы проектирования

26



Каждая внешняя связь – потенциальный вектор атаки!

27

Все защитить нельзя, но снизить риск можно


Создайте безопасную сетевую инфраструктуру

Обеспечьте разграничение полномочий

Не забывайте про физическую безопасность

В процессе комплексного аудита АСУ ТП или отдельных компонентов выделите «болевые точки» системы

Внедрите компенсирующие контроли


28

www.dsec.ru [email protected]

Digital Security в Москве: (495) 223-07-86

Digital Security в Санкт-Петербурге: (812) 703-15-47

© 2002—2015, Digital Security 29

Спасибо за внимание!Вопросы?

http://www.dsec.ru/

mailto:[email protected]

Безопасность АСУ ТП АЭС из открытых источников

Engineering