scada strangelove practical security assessment of european smartgrid

欧州におけるスマートグリッドの実践的セキュリティアセスメント

セルゲイ・ゴディチック

アレクサンダー・ティモリン

www.scadasl.org

• ICS/SCADAに注力しているセキュリティ研究家のグループ

Alexander TimorinAlexander TlyapovAlexander ZaitsevAlexey OsipovAndrey MedovArtem ChaykinDenis BaranovDmitry EfanovDmitry Nagibin

Dmitry SerebryannikovDmitry SklyarovEvgeny ErmakovGleb GritsaiIlya KarpovIvan PoliyanchukKirill NesterovRoman IlinSergey Bobrov

Sergey DrozdovSergey GordeychikSergey ScherbelTimur YunusovValentin ShilnenkovVladimir KochetkovVyacheslav EgoshinYuri GoltsevYuriy Dyachenko

SCADA/PLCにおけるバグ

*ICS Security in 2014, Evgeny Druzhinin, Ilya Karpov, Alexander Timorin,

Gleb Gritsay, Sergey Gordeychik

世界の電力消費量

スマートグリッドサイバーセキュリティ

http://nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7628r1.pdf

太陽光パネルは持続可能ではない。

吸収した太陽光は永遠に失われた。太陽を排出することがばかげた考えだと思うなら、いいねして共有して。

チップ上のIPC

オープンソースインテリジェンス

ファームウェア

― Google dorks

―設定スクリプト

―ファイルシステムの構造

検索エンジンで直接探す（Googleで単純に見つける）

暗号化!!!!!

ファームウェアアップデート

修正プログラム

--snip--

Comment to PT-SOL-2014001:The upload path has been changed. It is still possible to upload files, but they can't overwrite system critical parts any more.

Comment to PT-SOL-2014002:The system backup is created in a randomly chosen path an deleted afterwards. Therefore an unauthorized access is made much more difficult and very unlikely.

Second comment to PT-SOL-2014002:In order to compensate the weak encryption in the configuration file, the whole configuration file is now encrypted via the new HTTP transmission.

--snip--

オープンソースインテリジェンス

ユーザ向けマニュアル

管理者向けマニュアル

ソースコード

117.220 MW 検索結果(1/22)

風？

Nordex社

歴史に学ぶ

CVE詳細

Googleで検索して出てきた画像

990.390 MW

*Special Bushehr photo for scary ICS security slides

*

ハッシュタグ#SCADASOS

http://scadastrangelove.blogspot.com/2014/12/sos-secure-open-smartgrids.html

ハッシュタグ#SCADASOS 検索の成果

• 6万以上のスマートグリッド機器がインターネットには接続されていない• 2つのアドバイザリ

• XZERES 442SR Wind Turbine CSRF • SMA Solar Technology AG Sunny WebBox Hard-Coded Account Vulnerability

グローバルな無線ネットワーク

• 巨大な攻撃対象領域

• TCP/IP ネットワーク

• それはグローバル

IP機器

LTE無線セキュリティ

理論

A5/3暗号

GEA 2

128ビット鍵

実践

2Gとの後方互換性(中間者攻撃)

A5/1やA5/0の再利用

実際の4G 暗号化

Karsten Nohl, CCC, Hamburg, Germany, 2014

(u)SIMの脆弱性―リモートデータ復旧 (Kc, TIMSI)

• チャネルの復号(A5/3を含む)

• SIMとモバイルステーションの複製

― SIM"マルウェア"

― PIN/PUKブルートフォースによるSIMのブロック

Alexander Zaitsev, Sergey Gordeychik , PacSec, Tokyo, Japan, 2014

フェムトランドと3Gスニッファ

4Gモデム

モバイルコンピュータ

Linux/Android/BusyBox/VxWorks

様々なインターフェイス

ストレージ

CWID USB SCSI CD-ROM USB機器

MMC ストレージ USB デバイス(MicroSD カードリーダ)

ローカル管理

COMポート(UI, ATコマンド)

リモート管理

リモートでのNDISベースのインターネット共有デバイス

WiFiKirill Nesterov, Timur Yunusov,HITBSec 2015, Amsterdam

ホストを攻撃

制御

First one to guessnow to bypass

BIOS secure bootgets…

133t prize or free beer!

ネットワーク経由で悪用可能なUSBドライバのバグ

Travis Goodspeed, Sergey Bratus, https://www.troopers.de/wp-content/uploads/2012/12/TROOPERS13-You_wouldnt_share_a_syringe_Would_you_share_a_USB_port-Sergey_Bratus+Travis_Goodspeed.pdf

インターネット経由でのBADUSB

scadastrangelove.blogspot.com/2015/10/badusb-over-internet.html

アンテナつきのSCADA

エージェントベーススマートグリッドのゲーム化

強力なソーシャルネットワーク

彼は単に「クラウドの中のSCADA」と言った?

パッチをあて過ぎるな

数キロワットだけ

#CablemeltingBAD

注記のように、欧州のエネルギーグリッドにはおよそ3ギガワットのバッファがあり、数秒間のうちに3ギガワットをネットから切断する（あるいは接続する）ことで、光が消えるだろう。それも長期にわたって。

スマートグリッドサイバーセキュリティ

http://nvlpubs.nist.gov/nistpubs/ir/2014/NIST.IR.7628r1.pdf

デジタル変電所

http://scadastrangelove.blogspot.com/2013/11/scada-security-deep-inside.html

IEC 61850 tools:

オープンラボ@PHDays

PHDays III Choo Choo Choo Pwn– セキュリティアセスメント/侵入検査

PHDays IV Critical Infrastructure Attack– ゼロデイ脆弱性の調査

http://bit.ly/1t8poTL http://www.phdays.com/press/news/38171/

PHDays IV CIA

• 目的

– ICSコンポーネントにおけるゼロデイ脆弱性の調査

– 破滅的な結果を起こす

– ゼロデイ/ワンデイ、CVSS、複雑さ、脆弱性の悪用、実際的な影響(例えば、どのような破滅的な結果にできるか)

• 攻撃対象

– Schneider Electric 社

• Wonderware System Platform, InduSoft Web Studio 7.1.4, ClearSCADA, IGSS, MiCOM C264

– Siemens 社

• Flexible, TIA Portal 13 Pro, WinCC, KTP 600, Simatic S7-1500 (1511-1 PN), S7-300 (314С-2 DP + CP343), S7-1200 v3, S7-1200 v2.2

– Rockwell Automation 社

• RSLogix 500, Allen-Bradley MicroLogix 1400 1766-L32BWAA

– 他にもWellinTech KingSCADA, ICONICS Genesis64, ICP DAS PET-7067, Kepware KepServerEX(S7, DNP3), Honeywell Matrikon OPC (Modbus, DNP3)など

PHDays IV CIAの結果

• 勝者

– Alisa Esage – SE InduSoft Web Studio7.1

– Nikita Maximov & Pavel Markov - ICP DAS RTU

– Dmitry Kazakov - Siemens Simatic S7-1200 PLC

• 2日間で10を超えるゼロデイ脆弱性

• 責任のある情報開示

デジタル変電所の乗っ取り

https://www.youtube.com/watch?v=w8T-bbO3Qec

Digital Substation Takeover

SIPROTEC 4におけるDoS

5000/udpに対し、特別に組み立てられたパケットを送信することで脆弱性を持つデバイスをDoS状態に陥れられる可能性がある。デバイスのサービスを復旧させるには、手動での再起動が必要である。

The Power of Japan

Japan energy stations map: megawatts and location

Ukishima solar power plant

Kagoshima solar power plant

Kagoshima plant diagram

• SUNNY CENTRAL 500CP-JP

• The 70-megawatt system in Kagoshima is a good example of how important it is to have the right service partner at your side - someone with broad experience, who can respond to unexpected events in a flexible manner.

http://www.sma.de/en/products/references/kagoshima.html

http://www.sma.de/en/products/references/kagoshima.html

Kagoshima plant diagram

ICS Security in Japan

• 600+ SCADA/PLC on the Internet20

129

408

198 13

ethernetip http modbus snmp s7 other

ICS Security in Japan

間違い探し

1

2

超重量鉄道

150台の貨車12,500トン数台の機関車

超重量列車へのジャミング

自動列車防護装置－ SIL 4!

SIL 4?!

Safety Integrity Level (安全度水準)の略

機能失敗確率(PFD)

1時間あたりの失敗確率(PFH)

SIL 4? 15分でrootが取れた!

私たちは違いがわかる

1

2

スピードが必要？

http://www.theguardian.com/world/2013/jul/25/spain-train-crash-travelling-so-fast

ネットワークコンバージェンス？

OTコンバージェンス？

最新のスマートグリッド:

- ICS/SCADA

-携帯電話会社

-課金/支払

- IoT

-クラウド

SMSでrootを取るAlexander @arbitrarycode Zaitsev

Alexey @GiftsUngiven Osipov

Kirill @k_v_nesterov Nesterov

Dmtry @_Dmit Sklyarov

Timur @a66at Yunusov

Gleb @repdet Gritsai

Dmitry Kurbatov

Sergey Puzankov

Pavel Novikov

*All pictures are taken from Dr StrangeLove movie and other Internets

サイバー大列車強盗

私たちはすでに知っている: リバースペリメーター

ネットワークからのハック

94

インターネット上のオープンATM

95

ご静聴ありがとうございました*All pictures are taken from googleand other Internets

Alexander TimorinAlexander TlyapovAlexander ZaitsevAlexey OsipovAndrey MedovArtem ChaykinDenis BaranovDmitry EfanovDmitry NagibinDmitry SerebryannikovDmitry SklyarovEvgeny ErmakovGleb GritsaiIlya KarpovIvan PoliyanchukKirill NesterovRoman IlinSergey BobrovSergey DrozdovSergey GordeychikSergey ScherbelTimur Yunusov

欧州におけるスマートグリッドの実践的セキュリティアセスメント

セルゲイ・ゴディチック

アレクサンダー・ティモリン