– root@injetionsec:~#

ICS (controle de sistema industrial)

11.11.2013 (7:15 pm) – Filed under: Segurança da Informação ::

u9o34

O ICS (controle de sistema industrial) aumentou relativamente o crescimento de redes wireless tornando assim um risco maior para os equipamentos, essas amaeças podem vir de varias fontes,incluindo host governamentais, grupos descontentes de empregados,intrusões maliciosas,acidentes naturais,dentre outras causas q podemos encontrar,proteger a integridade e disponibilidade dos sistemas ICS é muito importante,mas a confidencialidade também e uma preocupação,abaixo alguns possiveis incidentes que podemos enfrentar em um ICS:

  1. * Bloqueio ou atraso do fluxo de informações atravez da rede do ICS, que poderia atrapalhar a operação em si.
  2. * Auterações não autorizadas de comandos ou alarmes, que poderiam ter um dano potencial, podendo fechar o equipamentos
  3. * Iformações imprecisas enviadas ao operadores de sistemas com acessos não autorizados ou provocando ações inadequadas para operadores
  4. * O software ICS ou modificações na configuração,ou infecção dos software por malware podendo ter assim efeitos negativos.
  5. * interferencia na operação podendo ter um desastre para vida humana

Principais objetivos para implementação de segurança no ICS (controle de sistema industrial) incluem :

  •  Restringindo o acesso logico do ICS e da atividade da rede: Isso inclui o uso de DMZ com firewall impedindo o acesso ao trafego passando diretamente entre as redes corporativas ICS,separando as redes com mecanismos de duplo fator de autenticação,com topologia em varias camadas, com os sistemas mais críticos em um caso a parte e isolado
  •  Restrição fisica de acesso para rede do ICS e dispositivos : o acesso fisico aos componentes poderia causar varias pertubações de funcionalidade do ICS, uma combinação de controle de acesso fisico,abertura de fechaduras,leitores de cartões e etc.
  •  Proteger componentes do ICS contra exploração: Isto inclue a implementação de seguranã de maneira rapida e possível, restringir acesso ao usuário ICS para cada pessoa,bloquendo acesso em tudo, e dar acesso quando solicitado requisitando o que precisa mais especifica,monitoramento,auditorias,logs,controle de segurança,antivirus, tudo isso para mitigar possiveis ataques.
  •  Manter a funcionalidade: Isso envolve a concepção do ICS dos componentes que tem redundancia, alem disso se um componente falhar ele dever ter uma maneira de corrigir isso a tempo para não acarretar em outros lugares.

Uma eficacia contra o cyber espionagem é que devemos aplicar defesa em profundidade para minimizar os impactos das possiveis falhas e ataques prováveis.

Stuxnet também infectou usinas russas

11.11.2013 (1:57 pm) – Filed under: Noticias ::

939uj9

 

Mais informações galera sobre o Stuxnet que estourou em 2008

Eugene CEO da Kaspersky revelou que Stuxnet infectou as usinas russas, segundo próprios funcionários que trabalhavam na empresa, esse worm foi desenvolvido pelos EUA em conjunto com Israel com o proposito de atrapalhar os planos das usinas de urânio do irãn,infectando a rede interna da usina e assim comprometendo os controles da usina  nucleares de Nantaz,onde foi usado dispositivos USB para assim propagar o Stuxnet.

A Kaspersky informou que mais de 50% dos  malwares são escritos em chines  e 33% em português e espanhol,tirando o malware Russian-Coded considerado muito perigoso e sofisticado.

A Kaspersky informou que o malware em chinês não se preocupou com segurança operacional pois os especilistas em segurança descobriram fotos,documentos,contas de redes sociais em servidores usados para o ataque .

Fonte: thehackernews

Vulnerabilidade em Sistema SCADA

11.11.2013 (11:06 am) – Filed under: Scada ::

Pesquisa feita em 2009 usando o modelo isa99 foram achas vulnerabilidades principalmente em rede e operações DMZ,empresa de TI LAN,LAN HMI,controladores em rede LAN e instrumentação,foram reportados mais de 38 mil vulnerabilidades,o modelo permitiu determinar algumas estatisticas sobre onde as vulnerabilidades descobertas na infraestruturas do sistemas SCADA,abaixo vemos o que foi relatado,vejamos abaixo o quadro.

82qhsd

Quase metade das vulnerabilidades encontradas foram em DMZ e nas empresas de TI que administram os sistemas SCADAs,geralmente são essas empresas que ficam a parte por administrar a rede,tornando isso um fato para essas vulnerabilidades,podemos citar exemplo como as configurações em rede DMZ são compartilhadas em aplicações,servidores SMTP,BD,Web,e outros componentes com riscos de malwares e ataques serem feitos,essas pesquisas apontaram que a varios pontos falhos para serem explorados com 16 diferentes categorias de ataques.

8i73r

8764hc

Esses sistemas raramente tem algum registro ou monitoramento de defesa como IDS/IPS ou outro host de evento de registro,então esses sistemas travam com um simples PING na rede,vemos agora alguns teste realizados com ping no host alvo.

ping -f [IP] -s 60 : enviamos um flood com 60 bits de tamanho,onde o medidor ficou off por cerca de 3 mim e depois foi recuperando por contra propria

ping -f [IP] -s 600 : enviamos um flood com 600 bits de tamanho,esse ataque também ficou off e depois de 3 mim foi recuperando por contra propria

ping -f [IP] -s 6000 : enviamos um flood com 6000 bits de tamanho,esse ataque ele caiu por completo e desligou,onde não ouve recuperação,teve que ser reniciado pelo cabo serial para assim voltar voltar a iniciar

ping -f [IP] -s 60000 : enviamos um flood com 6000 bits de tamanho,esse ataque ele caiu por completo e desligou,onde não ouve recuperação,teve que ser reniciado pelo cabo serial para assim voltar voltar a iniciar

Podemos usar sniffer como Wireshark de rede para analisarmos os protocolos, onde encontrado nomes de usuarios e senhas claro na rede como a imagem abaixo:

(61)

 

Até o próximo tópico galera =)

O que é esse modelo isa 99

11.11.2013 (10:31 am) – Filed under: ISA 99 ::

Bem galera vamos falar um pouco desse modelo, onde a sociedade internacional de automação (ISA)  elaborou esse padrão de segurança para sistemas e processos SCADA , este padrão descreve a segurança especifica dos niveis funicionais de cada área do sistema, e em seguida usa DMZs para isolar e propocionar uma segurança á mais,vejamos o diagrama abaixo seguindo esse modelo isa 99.

8942iure

Esse padrão de modelo explica a segurança de diversos niveis em sistemas SCADA,DCS,EMS,DMS ou AMR onde classificamos as vulnerabilidades do sistema SCADA,uma vez que esse modelo isa 99 se tornou-se isa 99 standard e começou a registrar vulnerabilidades em sistemas SCADA,após a realização de mais de 100 avaliações de sistemas SCADAs em varios tipos de sistemas onde foi encontrada mais de 38 mil descobertas e vulnerabilidade de segurança.

Falei um pouco de como esse modelo é como ele é implementado no meio corporativo,ate o próximo tópico.