– root@injetionsec:~#

Rede SCADA, proteção garante o faturamento

05.09.2014 (12:12 pm) – Filed under: Rede Industrial ::

Nos últimos tempos, os executivos começaram a perceber a importância e urgência de proteger as suas redes de controle de processos. O Stuxnet, por exemplo, um worm de computador projetado especificamente para atacar sistemas de controle de processos industriais, abriu caminho para mostrar o que é possível fazer por profissionais. Mais recentemente, o Duqu entrou no mercado de ameaças permitindo que os invasores roubem dados dos fabricantes de sistemas de controle de processo industrial e utilizem esses dados para explorar as entidades que usam esses sistemas.

Mas, por que essas redes são suscetíveis a ataques? A grande maioria das empresas possui departamentos especializados responsáveis pela proteção de duas redes-chave: Data Centers (servidores) e Workstations (estações de trabalho). No entanto, uma “terceira rede”, a de controle de processos, ainda precisa receber o mesmo nível de atenção.

Frequentemente chamadas de redes SCADA (Supervisory Control and Data Acquisition) devido à sua associação com processos industriais, essas redes se conectam a equipamentos ao invés de computadores e aos sistemas de suporte ao invés de pessoas.

Em setores como serviços públicos, transportes, logística, manufatura e indústria farmacêutica, essas redes são essenciais para o funcionamento da organização. Em serviços públicos, por exemplo, elas são tão importantes que são consideradas parte de uma infraestrutura crítica nacional. Já na área de logística, são responsáveis por encaminhar milhões de encomendas por dia. Em algumas empresas essa rede opera nos bastidores, intermediando o acesso aos prédios, controlando o ar-condicionado, elevadores e refrigeração de um data center.

As redes SCADA são consideradas as redes mais desprotegidas e, por isso, estão na mira dos cibercriminosos. Se eles conseguem o acesso, podem trazer consequências prejudiciais às empresas, seus clientes e até à população em geral, o que seria extremamente perigoso.

O que faz com que essas redes sejam mais vulneráveis?

Alguns fatores que tornam essas redes mais vulneráveis são:
• As ameaças estão se tornando mais sofisticadas. Se antes os motivos eram amadores, agora estão relacionados, em forma de ‘hacktivismo’, à política, espionagem e agressão ao Estado. As ameaças persistentes avançadas – as profissionais – estão impulsionando o surgimento de um novo nível de ataques complexos e furtivos, difíceis de identificar e ainda mais de desativar;
• As redes estão se tornando cada vez mais conectadas, na medida em que as empresas estão sedentas por obter dados que permitam uma melhor tomada de decisão e fornecedores que habilitem tudo na internet com o objetivo de diminuir os custos de suporte e aumentar a retenção de clientes;
• Projetadas em uma época diferente, as redes de controle de processos têm sido consideradas inerentemente seguras e muitas vezes não incluem noções básicas de segurança. Quando divulgados por fornecedores de sistemas, os patches de correção são difíceis de se implementar devido às exigências de disponibilidade do sistema;
• A rede SCADA é frequentemente ‘invisível’ e não recebe a atenção e investimento necessários para aumentar o nível de segurança compatível com o aumento das ameaças;
• Na maior parte das organizações, os engenheiros de controle de processo gerenciam a rede de processo de controle industrial, enquanto o departamento de TI gerencia as demais redes. Esses dois grupos possuem demandas e prioridades distintas.

Dada a separação típica de funções, quando consideramos que as empresas de soluções de segurança deveriam mudar seu pensamento em relação a “Segurança da TI”, falamos que elas deveriam mudar a forma de considerar as prioridades e necessidades específicas dos engenheiros de controle de processos responsáveis por gerenciar a rede SCADA. Em primeiro lugar, as ferramentas de segurança não devem interferir nos processos de circuito fechado, pois podem colocar em risco o controle. Em segundo lugar, a disponibilidade/tempo de atividade da rede é o mais importante objetivo da rede. Em terceiro lugar, as políticas de alteração regulares de senha podem pôr em risco a empresa, bloqueando o acesso dos engenheiros de um sistema. E em quarto lugar, as ferramentas de segurança que exigem acesso direto à internet não são redes viáveis, pois muitas redes de controles são bloqueadas por Firewalls.

Ao mesmo tempo, as redes de controle de processos têm várias áreas de vulnerabilidades que devem ser protegidas. A Interface Homem-Máquina (em inglês, The Humam Machine Interface), os servidores de processos e históricos são normalmente baseados em Microsoft Windows e são pontos potenciais de entrada para qualquer invasor que tenha acesso através da rede corporativa e que esteja utilizando exploits conhecidos. A Unidade Terminal Remota (RTU) e Controladores Lógicos Programáveis (CLPs) são muitas vezes proprietários e exigem conhecimento sofisticado no sistema de controle para que seja possível a invasão, como acontece com o Stuxnet e Duqu.

As seguintes diretrizes podem ajudar as empresas a identificar as soluções de segurança que respeitem as exigências e prioridades do processo de controle de ambiente de rede, ao mesmo tempo em que reforçam sua proteção. As empresas devem pensar em soluções que podem:
• Fornecer a flexibilidade para operar de modo passivo ou in-line sem interromper o processo de circuito fechado, mesmo quando acontece alguma falha no software, hardware ou energia;
• Apoiar uma vasta biblioteca de normas e em formato de código aberto para aceitar conjuntos de regras SCADA, além das normas determinadas pelas agências do governo, outras regras de terceiros e proprietárias, únicas para a rede da própria empresa;
• Controlar o uso da rede por aplicação, usuário e grupo como uma forma ideal de segregar zonas de controle de rede para obter a máxima flexibilidade;
• Prover a descoberta passiva de dispositivos, avaliação automática de impacto e ajuste de regras para tomar uma ação corretiva somente nas ameaças que são relevantes para uma rede específica da empresa;
• Oferecer monitoramento e gerenciamento centralizados para unificar funções críticas de segurança de rede, agilizar a administração e resposta.

Os processos de controle de rede e sua segurança são de extrema importância. Cada vez mais no radar dos invasores profissionais, é a vez da rede SCADA simplificar o gerenciamento da empresa e obter a atenção e proteção que merece.

y98h

 

* Matéria originalmente publicada na revista Mecatrônica Atual; Ano:11; N° 58; Set/ Out – 2012

 

Modelo TCP/IP e manipuladores de pacotes

14.02.2014 (1:42 pm) – Filed under: Rede Industrial ::

Em rede industrial não e diferente,esse modelo é composto por quatro camadas: Enlace, Internet ,Transporte e Aplicação,veja abaixo a figura:

Em  redes industriais ou redes de automação também  possuem protocolos de comunicação específicos com os quais os dispositivos trocam informações. Essas redes são compostas por diversos dispositivos como CLPs ,sensores, atuadores.

Os sensores são responsáveis por adquirir informações, como temperatura, pressão ou vazão, e enviar assim para o CLP.

Os atuadores possuem a função de modificar os estados dos dispositivos que atuam diretamente em um processo, como válvulas ou motores.

Os CLPs, esses sim são dispositivos importantes num sistema de controle, uma vez que são responsáveis por controlar todo esse processo,veja abaixo uma planta de como são esses processos em uma rede industrial:

wedefdf

A vários níveis em  redes industriais  e muitos protocolos de comunicação  baseados na pilha TCP/IP,que permitem a interconexão entre os dispositivos da rede, troca de informações e etc. Ataques em redes de automação possuem motivações e implicações semelhantes a qualquer ação maliciosa que ocorre em outros sistemas computacionais. Vemos varias  vulnerabilidades existentes nas redes de automação que podem ocorrer no nível de arquitetura, devido à utilização de sistemas antigos. Muitos dos sistemas antigos foram desenvolvidos sem preocupação com aspectos de segurança e com poucos testes de segurança.

>> Manipulação de Pacotes 

Scripts e programas manipuladores de pacotes têm como principal objetivo construir pacotes modificando o conteúdo de seus campos, de acordo com a necessidade do usuário,em protocolos TCP/IP podemos usar o Scapy,vemos abaixo

t458i4

Esses manipuladores de pacotes podem ser usados para diferentes formas,podemos tomar como exemplo de uso a manipulação de  pacotes para testar dispositivos de segurança como firewalls,IPSs/IDSs e outros,uma outra  utilização de manipuladores de pacotes é na realização de testes de conformidades de dispositivos em relação à implementação de determinado protocolo.

Protocolos de redes industriais

02.01.2014 (11:20 pm) – Filed under: Rede Industrial ::

Muitas vezes esses protocolos de redes são referidos genericamente como SCADA ou Fieldbus usados em supervisão de sistemas,enquanto os protocolos usados na comunicação de sistemas industriais de controle como (ICS ou IACS), esses protocolos são desenvolvidos para interligar os sistemas, interfaces e instrumentos que tornam o controlede da industria, a maioria e que foram projetados inicialmente para comunicar serialmente sobre RS-232, RS-485 mas tem evoluido para operar em rede ethenet usando protocolos rotaveis como TCP/IP.

* Cada um e utilizado em diferentes areas dentro de uma industria.
* Cada um fornece diferentes metodos de verificação de integridade/segurança

O avanço de ameaças persistentes

23.12.2013 (11:21 pm) – Filed under: Rede Industrial ::

Ou também APT tem ganhado ampla atenção em recenter anos. O projeto aurora e o stuxnet aumentou a publicidade e consciencia de novas ameaças tanto de dentro quanto de fora, comunidades de pesquisadores de incidentes como Exida, Lofty Perch , e Red Tiger Segurança  estão se especializando em resposta a incidentes da APT tais como a RISI (Repository dos Industriais de Segurança Incidentes ) tem desenvolvido um catalago de comportamento de incidentes regularmente no CERT.

Com toda essa atenção, um diferencial de um APT é sua mudança nos ataques focando em determinado detalhe no alvo da rede.Ouro diferencial da APT e a tentativa de ficar oculto e  proriferar na rede,tentando a todo momento obter informações do alvo,dificultando assim sua detectção.

Apt e Cyber War

13.12.2013 (5:17 pm) – Filed under: Rede Industrial ::

Esses termos são muitas vezes usados como sinonimos relacionandos,mas eles são bastante diferentes galera,com classificaçoes modernas de ataques e ameaças,mas devemos saber a diferença entre eles :

* APT -> esse grupo de exploit infecta uma rede com uma codigo mal-intencionado que e projetado para alcançar um determinado objetivo,pode ser usado para obter informaçoes que depois podem ser usadas para construir 0-day,podendo obter informaçoes necessarias para criar uma carga para alvo, tais como as que foi utilizada no Stuxnet em suas exploraçoes.
* Cyber War -> e semelhante mas pode incluir diferentes mecanismos de entrega de exploits com outros propositos,embora utilize tecnicar semelhantes para exploits,codigo em comum.
As diferenças entre o APT e a Cyber War podem ser vistas abaixo,assim como o APT e a Cyber War  diferem na intenção eles tem diferença em seus objetivos como visto na tabela 3.4

8yuigu

Novamente novos métodos  são utilizados para roubar propriedade intelectual para obter lucro para ssim sabotar os sistemas industriais.

 

 

Night Dragon

10.12.2013 (5:49 pm) – Filed under: Rede Industrial ::

Galera não irei falar de dragões,fadas,duendes e etc, irei falar um pouco desse ataque chamado de Night Dragon,bem sem mais falação:

Em fevereiro de 2011 a McAfee anunciou uma descoberta de um serie de ataques coordenados contra empresas de petroleo,energia e petroquimica, os ataques originaram principalmente na china e tiveram origem em 2009 mas a operação continuava de forma encoberta.

A noite do dragao “Night Dragon” é mais uma evidencia de um atacate pode infiltrar em sistemas criticos,embora o ataque não resultou em uma sabotagem,como era o caso do Stuxnet que envolveu roubo de informaçoes sensiveis onde ele usou SQLi contra os servidores web da empresa,usando padrão de ferramentas ganhando username e senhas para assim infiltrar em PCs e servidores da mesma.

A noite do dragão “Night Dragon” estabelecia comando e controle de servidores bem como administração remota usando Toolkit para extrair e-mail e arquivos de contas executivas.

Night Dragon, o que isso !

09.12.2013 (6:11 pm) – Filed under: Rede Industrial ::

Em fevereiro de 2011 a McAfee anunciou uma descoberta de um serie de ataques coordenados contra empresas de petroleo,energia e petroquimica, os ataques originaram principalmente da china e tiveram origem em 2009 mas a operação continuava de forma encoberta

A noite do dragão e mais uma evidencia de como uma atacante pode infiltrar em sistemas criticos,embora o taque não resulta em sabotagem,como era o caso do Stuxnet que envolveu roubo de informaçoes sensiveis onde ele usou SQLi contra os servidores web da empresa,usando padrão de ferramentas ganhando username e senhas para assim infiltrar em PCs e servidores da mesma.

A noite do dragão estabelecia comando e controle de servidores bem como administração remota usando Toolkit para extrair e-mail e arquivos de contas executivas.

O que o stuxnet faz !

08.12.2013 (9:23 pm) – Filed under: Rede Industrial ::

*** Infecta sistemas windows usando exploits 0-day e rouba certificados digitais para assim instalar no windows como rootkit compativel com maquinas.
*** As tentativas de contornar os bloqueios e proteções ele usa injeção pre-existentes em processos confiáveis.
*** Normalmente infecta injetando DLL em outro processo e exporta DLLs adicionais como necessario.
*** Se esplalha na rede,usando midias removiveis e conexões de redes
*** Olha para o sistema industrial alvo (Siemens WinCC SCADA),quando encontra ele usa hard-coded SQL autenticando para assim injetar o codigo no BD, infectando assim para obter acessso os PLCs
*** Injeta bloco de codigos no PLC alvo que pode interromper os processos injetando no trafico de Profibus e modificando a saida do PLC estabelecendo um rootkit nos PLCs alvos.
*** Se certas frequencias são encontradas ele configura em um ciclo diferente entre 1,410 a 4 Hz

Medidas de segurança em redes – muitas das vezes é ignorada

07.12.2013 (11:30 am) – Filed under: Rede Industrial ::

Vulnerabilidades em redes de automação em energia são mais frequentemente em sistema de controle. Usuários maliciosos estão usando a situação das infra-estruturas de envelhecimento para ganhar dinheiro  apontando para as vulnerabilidades de implementações de protocolos como DNP3 ou outros,ou é apenas divertindo de descobrir vulnerabilidades.

Clique AQUI para ver um relatório que saiu no The New York Times.

Duas questões cruciais (entre outras) quando se trata de medidas de segurança para os sistemas

1. Falta na especialidade 
2. A falta de recursos

Os protocolos de padrão aberto permitiram que  o acesso remoto a uma série de sistemas críticos, como subestações ou sites de geração de energia,tem cerca de 400.000 subestações em todo o mundo, é  alguns 100.000 são monitorados remotamente. Então, 300.000 subestações não pode ser alcançado por protocolos. Centenas de protocolos pode estar em uso na indústria de energia. Isso torna muito difícil de quebrar na maioria das subestações em todo o mundo. Com a aplicação de normas como IEC 60870-5-104, DNP3, Modbus IP ou IEC 61850 isso vai mudar em breve.

O conhecido IEC 61850 com plataforma “BECK IPC Chip” usados ​​em muitas aplicações fornece comunicação segura, como parte integrada do sistema operacional de tempo real!

Não é suficiente saber que IEDs estão disponíveis que oferecem um nível razoável de segurança,você deve entender e usar tais soluções!

A arquitetura do chip inclui medidas de segurança:

imagem

O protocolo mais seguro é o protocolo que nunca foi implementado ou usado! Com a aceitação de alguns protocolos abertos, é bastante óbvio que as medidas de segurança têm de ser postas em prática para garantir a troca de informações em algum grau razoável!

Vale a pena gastar mais tempo em recursos na obtenção de todas as nossas infra-estruturas, em primeiro lugar o sistema de fornecimento de energia elétrica.

 

Post Adaptado,fonte: blogiec61850

Alguns incidentes em redes industriais

04.12.2013 (11:51 pm) – Filed under: Rede Industrial ::
Bom galera vamos falar de alguns incidentes que ocorreram em alguns anos, de la para cá a muitos relatos de ataques a redes industriais,falhas em sistemas seja em SCADA, RTU ou etc,vamos la
  • ** Em 2000 um homem na Austrália, que foi rejeitado pelo governo do trabalho,foi acusado de usar um radio transmissor par alterar os dados dos eletrônicos dentro de um sistema de esgoto da estação, causando assim a liberação de mais de 2 centenas de milhares de litros de esgoto nos rios.
  • ** Em 2007 o projeto Aurora controlado pelo Idaho National Laboratories (INL) demostrou que um controlador poderia ser destruído atravez de ciber ataques,esse vulnerabilidade permitia que usuários mau intencionado que foi mostrado por pesquisadores poderia abrir perto dos dinjuntores um disel que ficava fora de sincronia, causando assim uma explosão
  • A vulnerabilidade aurora permenace ate hoje uma preocupação,embora o NERC (norte americano elétrica confiabilidade corporação) emitiu um alerta poucos meses depois antes da CNN em junho de 2007, fornecendo informações adicionais, e assim em outubro de 2010 foi feito um alerta fornecendo claras mitigações e estratégicas para lidar com essa vulnerabilidade.
  • ** Em 2008 um worm intilado agent.btz começou a infectar milhares de maquinas militares nos EUA era supostamente realizado em CENTCOM na rede que foi dissiminado em USB ano mais tarde.O CENTCOM foi relatado pela CBS “60 minutes” em novembro de 2009,os detalhes são dificeis de determinar e os dados e intenções permanecem altamente especulados.
  • ** Projeto Aurora não pode ser confundico com Operação Aurora, que bateu no gigante google e outros no final de 2009 com foco de sofisticado arsenal e provocando uma cyber guerrilha.A operação aurora utilizava 0-day do internet explorer, causando assim um DoS e malwares projetados para danificar ou desativar redes,operando sem enterrupção, permanecendo clamuflado roubando assim informaçoes sem ser detectado.A Aurora consistia em vários malware individuais q ficavam combinados e ocultos na presença dos hospedeiros, e em seguida comunicava com seu atacante em modo criptografado.
  • ** Em 2010 um worm intulado de Stuxnet começou a infectar sistemas de industrias em 2010, o Stuxnet e uma tática nuclear de de misseis em ciber guerra,ele bateu sua marca e deixou para traz provas de que foi realizado ataques sofisticados com alvos em redes industriais,utilizava quatro 0-day para infectar e se espalhar, olhando para SIMATIC WinCC e PCS 7 programas da Simmens e em seguida usando o padrão SQL para infectar credenciais dos PLCs por injeção de rootkits via Simmens fielbus do protocolo Profibus.

Em seguida o Stuxnet olhava para os dispositivos de automação e controlava a velocidade do motor,se ele ve um controlador operarem dentro de uma gama de 800-1200 Hz ele tentava sabota-lo.Embora pouco foi conhecido em primeiro lugar a Siemens efetivamente respondeu ao problema rapidamente,com alvos para sistemas SCADA e levantou a industria a consciencia e ameaças avançadas,precisando sim de melhoras na sua rede.

 

Ate o próximo tópico galera.. = )