Test di sicurezza in ambienti Smart Grid e SCADA

Transcript

1 Test di sicurezza in ambienti Smart Grid e SCADA

2 Alessandro Gai Senior Security Advisor CSSLP (Certified Secure Software Lifecycle Professional) - OPST (OSSTMM Professional Security Tester) - OWSE (OSSTMM Wireless Security Expert) + 5 anni penetration test + 10 anni web analyst and developer Trainer corsi specialisti - master universitari 2

3 Agenda Introduzione Gestione dei rischi Problematiche tipiche Verifiche di sicurezza Esempi di attacco 3

4 Sistemi Safety e Mission Critical Un sistema Safety Critical è un sistema il cui blocco o malfunzionamento può pregiudicare la salute delle persone. Sistemi di questo tipo esistono non solo in situazioni specifiche e poco comuni, quali ad esempio: Gestione sistemi raffreddamento reattori nucleari Sistemi idraulici controllo superfici mobili aeri Ma si trovano anche nella vita di tutti i giorni: Impianto frenante di un automobile Sistema di gestione degli airbag Segnaletica ferroviaria 4

5 Sistemi Safety e Mission Critical Un sistema Mission Critical è un sistema in cui il blocco o la non disponibilità anche di brevissima durata possono causare impatti significativi sull azienda che li eroga, in termini di perdite finanziarie o guadagni potenziali. Siti web commerciali con grandi volumi di traffico (ebay) Gateway di pagamento (carte di debito o credito) Sistemi fondamentali per le attività di business (gestione passeggeri e imbarchi per una compagnia aerea) Sistemi di controllo e automazione (SCADA) Sistemi di gestione intelligente della rete elettrica (smart grid) 5

6 Infrastrutture critiche (IC) Le infrastrutture critiche sono le risorse materiali, i servizi, i sistemi di tecnologia dell informazione, che, se danneggiati o distrutti, causerebbero gravi ripercussioni alle funzioni cruciali della società, tra cui: la catena di approvvigionamenti, la salute, dello Stato e della popolazione. le reti e i beni infrastrutturali la sicurezza e il benessere economico o sociale notizie/protezione_civile/0867_2008_02_14_app_infrastrutture_critiche.html 6

7 Esempi di IC impianti e reti energetiche sistemi di comunicazione, tecnologia dell informazione e reti informatiche sistema finanziario sistema sanitario approvvigionamento alimentare e idrico trasporti produzione, stoccaggio e trasporto di sostanze pericolose amministrazione pubblica soprattutto nell erogazione dei servizi pubblici essenziali 7

8 Reti / Sistemi industriali Impianti e macchinari sono gestiti da sistemi di automazione e controllo spesso collegati fra loro e a loro volta collegati con altri sistemi / reti per la loro gestione o per la raccolta dei dati. 8

9 Elementi Sensori (Pressione - Temperatura - Luce - Umidità - Vento - Livello Acqua Distanza - ) e attuatori (Valvole - Pompe - Motori - ) PLC (Programmable Logic Controller / controllore logico programmabile) Il PLC esegue un programma ed elabora i segnali digitali ed analogici provenienti da sensori e diretti agli attuatori presenti in un impianto industriale. Installati sulla macchina o vicino a impianto (comunicazione I/O tramite seriale o ethernet molteplici protocolli segreti e non) RTU (Remote Terminal Unit - Unità Terminale Remota) Interfaccia oggetti del mondo fisico a un sistema di controllo distribuito o uno SCADA 9

10 Elementi Sistemi di comunicazione Reti telefoniche Linee seriali PTP Reti proprietarie Wireless Reti proprietarie Wired Rete IP (privata internet) Wi-Fi GSM GPRS/UMTS Satellite 10

11 Elementi HMI (Human Machine Interface) / SCADA (Supervisory Control And Data Acquisition) Interfacce software per monitorare/supervisionare gli impianti: Comunicazione con PLC Allarmi Raccolta dati Storicizzazione S.O. standard: Windows, Linux, DCS (Distribuited Control System / sistemi di controllo integrati e distribuiti) Controllori (simili a PLC) e stazioni operatore (simili a PC con SCADA) Normalmente ambienti proprietari segreti 11

12 Sistemi Scada (Telecontrollo) Gestione di dispositivi distribuiti sul territorio Moltitudine di dispositivi remoti con metodi di comunicazione diversi 12

13 Esempio 13

14 Agenda Introduzione Gestione dei rischi Problematiche tipiche Verifiche di sicurezza Esempi di attacco 14

15 I.C. - Requisiti di sicurezza Safety: misure atte a ridurre la pericolosità del sistema nelle sue operazioni (minacce: guasti hardware, errori umani) Security: misure atte ad impedire che attività volontarie arrechino danni di diversa natura al sistema (minacce: errori / guasti intenzionali, attacchi) Sistema safety critical quanto è intrinsecamente sicuro? Quanto falle di security possono incidere su safety? 15

16 Gestione dei rischi Strutturare i propri processi in modo da poter trovare ed effettuare le scelte ottimali e mantenerne traccia nel tempo L indisponibilità o il deterioramento, anche temporaneo, dei servizi erogati deve venir attentamente preventivato e valutato nell'ottica di diminuirne il più possibile l'occorrenza e minimizzare l'impatto delle loro conseguenze. Risk communication Risk Assessment Context Establishment Risk identification Risk analysis Risk evaluation Accepted? yes Risk treatment Accepted? yes Risk acceptance no no Risk monitoring and review Rischio = probabilità * impatto 16

17 I.C. - Nuovi livelli di complessità differenza tra una I.C. e un'altra a causa del diverso settore operativo (difficile costruire un sistema di analisi e un elenco di controlli standard) potenziali attacchi portati da individui o gruppi dotati di preparazione e mezzi tecnologici d'avanguardia; distribuzione sul territorio nazionale e composizione di un complesso e statico (in termini di cambiamenti) insieme di asset tecnologici; la maturità dei database con storico eventi e incidenti per costruire modello statistico preciso. 17

18 I.C. - Processo di Risk Management La maggior parte delle moderne metodologie di analisi del rischio possono venir applicate senza problemi all'ambito delle IC, seppur con la modifica e l'integrazione di alcuni aspetti al fine di massimizzarne l'efficacia e contestualizzare i risultati alla specifica realtà 18

19 Modifiche al processo di Risk Management 1/2 definizione insieme tipologie asset e contromisure più ampio (che comprenda le peculiarità delle I.C.); costruzione di un insieme di minacce aggiuntive (applicabili agli ambienti e agli asset specifici delle I.C.); raffinamento dell'insieme di dipendenze del modello di analisi tenendo in considerazione le peculiarità del settore di appartenenza; (relazioni tra asset non direttamente controllati da organizzazione (fornitori esterni) con quelli invece proprietari) 19

20 Modifiche al processo di Risk Management 2/2 sviluppo di controlli compensativi studiati per gli ambienti complessi delle I.C. e possibilmente orientati alla mitigazione di attacchi ad esse specifici; (no controlli "standard" quale ad esempio username e password sul pc di una sala controllo) sviluppo di strategie di condivisione delle informazioni con gli altri operatori di I.C. nel medesimo settore. 20

21 Agenda Introduzione Gestione dei rischi Problematiche tipiche Verifiche di sicurezza Esempi di attacco 21

22 Aggiornamento dei sistemi I sistemi raramente sono aggiornati. i riavvii possono essere un problema è necessario che la patch sia validata dal produttore di software SCADA l applicazione di patch su cluster o macchine in alta disponibilità potrebbe comunque causare dei problemi su tutti i sistemi Il sistema ha all interno problematiche di sicurezza note agli attaccanti 22

23 Software obsoleto Il software SCADA è "vecchio", sono programmi pensati decine di anni fa che generalmente non prendono in considerazione concetti di sicurezza. I produttori garantiscono aggiornamenti "minori" Alcuni produttori cercano di trovare "dei workaround" spesso con scarsi risultati Il software può essere soggetto a numerose vulnerabilità 23

24 Mantenimento dei sistemi operativi I sistemi operativi utilizzati spesso non sono mantenuti. I sistemi operativi non vengono più mantenuti dai produttori (es: windows NT) dopo alcuni anni I produttori hardware smettono di produrre ricambi per hardware obsoleto I software SCADA non sono compatibili con le nuove versioni dei sistemi operativi Il sistema ha all interno problematiche di sicurezza note agli attaccanti 24

25 Hardening dei sistemi e configurazioni Scarso hardening dei sistemi operativi e delle applicazioni. Gestione sicura delle configurazioni inadeguata. Non sono previste procedure di hardening I s.o. e le applicazioni datate non nascono con logiche di security by default Configurazioni di default Assenza di linee guida per le configurazioni Il sistema è più esposto a possibili attacchi 25

26 Tracciamento e monitoraggio Carenze nei sistemi di tracciamento e monitoraggio delle operazioni Carenze nell identificazione Registrazioni non presenti o non sufficientemente dettagliate Difficoltà nel creare metriche di monitoraggio / soglie di allarme Difficoltà nel riscontrare problematiche / attacchi e nelle eventuali attività forensi 26

27 Segregazione della rete Le reti SCADA devono essere separate dalle altre reti, se possibile fisicamente, ma spesso non è così. Gli elevati costi tendono a fare riutilizzare le infrastrutture esistenti Per garantirne la raggiungibilità spesso in qualche modo sono connesse con Internet In azienda è necessario un punto di controllo verso i sistemi SCADA Un attacco può essere sferrato attraverso Internet o reti direttamente collegate 27

28 Localizzazione fisica delle reti La sicurezza fisica non è garantita allo stesso livello su tutte le location. E difficile garantire lo stesso livello di protezione per l accesso a tutti i punti rete Non è possibile utilizzare meccanismi di sicurezza informatica al posto di quelli fisici perché rischiano di causare un disservizio involontario in caso di emergenza Un attaccante può accedere a aree di rete eludendo la sicurezza informatica 28

29 I protocolli di comunicazione I protocolli di comunicazione sono generalmente proprietari, non c è documentazione specifica e spesso non prendono in considerazione la sicurezza. I produttori non forniscono informazioni adeguate I protocolli non sono autenticati La riservatezza e l integrità non sono garantite Un attaccante a conoscenza di dettagli specifici potrebbe effettuare attacchi anche complessi eludendo le misure di sicurezza 29

30 Controlli accessi I controlli sugli accessi non sono presenti o non vengo rispettate le regole e le policy impostate Policy di security non presenti Processi di audit costosi Scarsa definizione e manutenzione di classi e liste di accesso a computer e risorse di rete Backdoor note agli utilizzatori che fanno risparmiare tempo Un agente di minaccia potrebbe sfruttare tale mancanza per agevolare attacchi 30

31 Le credenziali di accesso Le credenziali di accesso spesso sono semplici e condivise tra tutti gli utenti. Credenziali complesse potrebbero rallentare alcuni task (es. intervento rapido) Limiti software SCADA Il cambio turno può essere un problema L identificazione di queste credenziali può permettere la violazione della maggior parte dei sistemi 31

32 Testlab non allineati Gli ambiente di test non sono "identici" e sono gestiti in maniera differente, pertanto l analisi di questi può dare risultati completamente differenti. Le interconnessioni sono completamente differenti La gestione spesso non è uguale a quella reale I firewall sono gestiti in modo differente Spesso non vi sono PLC connesse Si crea un FALSO senso di sicurezza dato da un analisi errata 32

33 Gli antivirus Gli antivirus aiutano la protezione dei sistemi e delle reti, molte volte però non possono essere utilizzati. Gli aggiornamenti devono essere verificati dal produttore In alcuni contratti il produttore garantisce le funzionalità del software SOLO SENZA antivirus. L antivirus "rallenta" il sistema (il real-time) Il sistema è esposto a malware, virus e worm noti e non che potrebbero essere bloccati 33

34 I device esterni Le prese di rete, le porte USB, i lettori CD dei dispositivi client non sono "bloccati". Creare rallentamenti nelle operazioni di manutenzione ordinaria e/o straordinaria Creare rallentamenti nelle operazioni di gestione I device esterni possono essere veicolo per virus, worm e malware aprendo un collegamento tra reti diverse 34

35 Agenda Introduzione Gestione dei rischi Problematiche tipiche Verifiche di sicurezza Esempi di attacco 35

36 Perché è importante la sicurezza? Attraverso un sistema informatico è possibile causare danni nel mondo reale Cosa succede se: Una valvola di una diga viene aperta? Una centrale elettrica smette di produrre energia? Un treno trova tutti i semafori verdi anche se la linea è occupata? Un robot di un impianto farmaceutico cambia il dosaggio di una medicina? 36

37 Analizzare la sicurezza di una rete Generalmente si tende ad analizzare una rete industriale come se fosse una rete "normale" SBAGLIATO Gravità delle problematiche è (molto) differente Disponibilità è quasi sempre più importante della riservatezza Analizzare la rete tramite le "classiche" attività non evidenzia le reali problematiche e potrebbe causare danni (DOS) Analisi complesse: Necessitano di molto tempo, in particolare se si vuole scendere nel dettaglio sui protocolli utilizzati (spesso sono "proprietari") L ambiente di esecuzione dei test è molto delicato, spesso non è possibile analizzare tutti i sistemi L ambiente di test è spesso differente (se esiste) 37

38 Cosa analizzare? La "cipolla" } 1. Accessi fisici (sorveglianza, allarmi, serrature, recinzioni, ) 2. Infrastruttura di rete (switch, router, firewall, modem, ) 3. IT DMZ (Data Historian, Data Logging, Web Server) 4. Server Mission critical, Workstation, Consolle degli operatori (S.O. e applicazioni) 5. Comunicazione verso rete di campo (vari protocolli) 6. Dispositivi di campo (PLC, RTU, ) 7. Controlli procedurali trasversali a analisi precedenti (policy, procedure, analisi dei rischi, ) 38

39 Esempio 1.Accessi fisici (sorveglianza, allarmi, serrature, recinzioni, ) 2.Infrastruttura di rete (switch, router, firewall, modem, ) 3.IT DMZ (Data Historian, Data Logging, Web Server) 4.Server Mission critical, Workstation, Consolle degli operatori (S.O. e applicazioni) 5.Comunicazione verso rete di campo (vari protocolli) 6.Dispositivi di campo (PLC, RTU, ) 39

40 ISA S99 Security Model 40

41 Agenda Introduzione Gestione dei rischi Problematiche tipiche Verifiche di sicurezza Esempi di attacco 41

42 100 SCADA bugs in 100 days Terry McCorkle (Boing Red Team by day, security researcher by night) Billy Rios (Google Security Lead by day, security researcher by night) SCADA/ICS software trovati attraverso i motori di ricerca (+ di 3600 eseguibili trovati) +HMI +Download + filetype :(exe,zip,msi) +HMI +<Vendor Name> +Download +HMI +<Country Name> +Download Testati 76 HMI con strumenti di fuzzing (665 bug trovati di cui 75 sfruttabili inviati a ICS-CERT) 42

43 SHODAN Computer Search Engine 43

44 Come accedere ad una rete IC? Le infrastrutture critiche generalmente sono molto protette (sicurezza informatica e fisica) L attenzione è focalizzata sul perimetro esposto e quindi direttamente attaccabile da chiunque Perché attaccare un area super protetta quando generalmente i client sono meno protetti? 44

45 Ipotesi di attacco Attaccare il client con attacchi "client-side" Utilizzare il client come sistema ponte con la rete target Attaccare la rete interna target Accedere ad informazioni riservate e/o sistemi industriali 45

46 Come attaccare il client? I client generalmente non sono esposti direttamente su Internet Utilizzo di "chiavi usb" con trojan all interno (meglio se non identificati dagli antivirus) Accesso abusivo ad un abitazione e "trojanizzazione" di uno dei portatili (anche se full disk encryption trojan, keylogger backdoor ) Utilizzo di tecniche di phishing unito con vulnerabilità client (java, flash etc) 46

47 Il phishing Ma chi ci casca più? Statistiche un attacco di phishing reale Inviate circa 500 s 250 In mezza giornata (dalle 11 alle 16) quante A B C Visite Invio credenziali Visite? 50 (10%) 125 (25%) Invio n badge 250 (50%) Invio credenziali? 10 (2%) 50 (10%) 100 (20%) Invio n. badge? 10 (2%) 50 (10%) 100 (20%) 10:58 11:13 11:28 11:43 11:58 12:13 12:28 12:43 12:58 13:13 13:28 13:43 13:58 14:13 14:28 14:43 14:58 15:13 47

48 Il phishing Ma chi ci casca più? Statistiche un attacco di phishing reale Inviate circa 500 s Visite Invio credenziali Invio n badge :58 11:13 11:28 11:43 11:58 12:13 12:28 12:43 12:58 13:13 13:28 13:43 13:58 14:13 14:28 14:43 14:58 15:13 48

49 Domande? The loftier the building, the deeper must the foundation be laid Thomas Hemerken

50 Grazie!