– root@injetionsec:~#

Controle de Segurança

01.12.2013 (12:26 am) – Filed under: Rede Industrial ::

Para evitar catastrofes a maioria das redes industriais automatizadas empregam a segurança em seus sistemas, no entanto muitas dessas seguranças são empregadas no mesmo protocolo para controlar redes operacionais, processos e outros, embora a segurança em sistema tem sido importante, pesquisa mostram que ataques reais tem ocorrido a cada vez mais com modelamento bem avançados dos mesmo.

Simulações feita no Laboratorio Nacional de Sandia mostrou que um simples MITM pode ser usado para alterar os valores de um controle do sistema e assim ser usado para dissiminação de malwares.

O impacto de incidentes em redes industriais

29.11.2013 (11:27 pm) – Filed under: Rede Industrial ::

Redes industriais são responsáveis pelo processo de fabricação em larga escala, e como o resultado; caso tenha sucesso em penetração nesses controles de sistemas dessas redes,podem causar um impacto diretamente nos processos.

Por exemplo manipulando a realimentação de um determinado processo poderia causar uma pressão dentro de uma caldeira como mostrado na figura abaixo:

67y67

A cyber sabotagem pode resultar em lesões e com isso podemos ter  perda de vida,incluindo a perda de serviços importantes ou ate mesmo catastrofes com explosões galera

 

 

A importância de proteger redes industriais

28.11.2013 (6:14 pm) – Filed under: Rede Industrial ::

Bem galera a necessidade de melhorar a segurança das redes industriais não pode ser exagerada,muitos sistemas industriais são constituido usando algum dispositivo que ja foram evoluidos, é a segurança física é sempre a preocupação na maioria dos casos,veja a figura abaixo

97yrd

 

O problema que independente se existe lacuna ou não, qualquer caminho pode ser explorado,veja a figura abaixo

89rw3

 

Foram realizados pela empresa Red Tiger Security em 2010 um pentest em aproximadamente 100 instalações eletricas no EUA onde os resultados foram incriveis mais de 38.000 vulnerabilidade descobertas.

Esses resultados foram apresentados em 2010 no BlackHat,onde a media de números de dias entre o tempo e a vulnerabilidade foi divulgado publicamente e o tempo que a vulnerabilidade foi descoberta nesses sistemas de controle foi 331 dias,o pior galera que dessas vulnerabilidades descobertas eram de 1100 dias certa de ou seja 3 anos apos o seu respectivo boletim de 0-day.

Mas o que é enclaves

26.11.2013 (8:35 pm) – Filed under: Rede Industrial ::

E um prazo definido de um fechamento de grupo de ativos; que são dispositivos,aplicações e usuarios que ficam interagindo com outra forma legitima,como mostrado na figura abaixo

0r3ffdcs

 

Esse é um  exemplo de um controle de loop , onde uma IHM com interface de PLC interagem com sensores, motores,valvulas e etc para realizar uma determinda função.A enclave aqui inclui todos os dispositivos dentro do controle do loop incluindo o PLC e HMI, nada fora deste grupo deve ser interagido com nada dentro do grupo.

NOTA: um “enclave” seria um agrupamento fisico de dispositvos,com delimitação logica e ativos de comunicação

Ativos críticos,cyber ativos,cyber crítico

22.11.2013 (6:38 pm) – Filed under: Rede Industrial ::

Bem galera vamos falar um pouquinho desses ativos;

Um ativo e um único dispositivo usado dentro de uma rede industrial de controle de sistemas.Ativos muitas vezes são computadores,que incluem rede, roteadores, firewall, IHM, PLC, UTRs(remoto terminal único), reles, atuadores, sensores.

Cyber Ativo é qualquer dispositivo conectado via algum protocolo rotavel, que limita um papel de um ciber ativo para esses dispositivos de comunicação de um rede LAN rotavel

Cyber Critico  cuja a operação pode avetar o sistema de energia.

A definicação ampla de ativo é para fim de estender cyber segurança para os dispositivos não rotais como o UTRs que tem sido um explorado constantemente como o que ocorreu em 2010 um surto de Stuxnet afetando varias redes industriais.

Redes rotáveis ​​e não rotáveis

22.11.2013 (6:28 pm) – Filed under: Rede Industrial ::

Muitos pensam que o TCP/IP funcionando em uma Ethernet não pode se falar em rede industrial segura. Para facilitar a propagação entre duas redes usamos o termo “rotaveis” e “nao rotáveis”.

==> Uma rede rotavel normalmente significa; ethernet e TCP/IP embora á outros protocolos rotáveis como AppleTalk,DECnet,Novell IPX é outros mais. Redes “rotaveis” também incluem alguns variantes como SCADA e ICS que tem como protocolo operar no TCP/IP tais como Modbus/TCP ou ICCP sobre o TCP/IP.

==> Uma rede não rotáveis refere-se a ponto-a-ponto (P2P) e utilizam como comunicação a Modbus/RTU com PSP ICCP, Fieldbus e outros.

Redes rotáveis e não rotáveis geralmente interligam a demarcação entre o controle de sistema SCADA ou supervisão de redes.Vemos isso na figura abaixo

iygu0

Defesa em profundidade & Controle de acesso

18.11.2013 (6:14 pm) – Filed under: Rede Industrial ::
  • Defesa em profundidade : 

Todos os padrões de organizações indicam um defesa em profundidade para um estrategia,embora essas definiçoes de “defesa em profundidade” varia um pouco, a filosofia de uma camada ou varias camadas de defesa seria uma melhor pratica como vista na figura abaixo.

9ifui

  • Controle de Acesso

O controle de acesso é um dos mais difíceis e ainda o mais importante aspecto na segurança, onde é bloqueado serviços especificos de usuarios ou grupos, tornando assim para o atacante uma barreira a mais para ser explorada,embora muitos comprovam que essa tecnologia existe para cumprir o papel de acesso de controle de rede (NAC) na autenticação de serviços e outros.Algums exemplos de controle de acesso avançado:

  1. Apenas permitir que um usuário pode fazer o logon na HMI .
  2. Apenas permitir que um usuário pode operar determinado controle
  3. Apenas permitir um usuário autentique outro usuario na troca de turno
  4. E outras questão vigente a normas de politica da própria empresa

 

Segmentação de rede/isolamento de sistemas

17.11.2013 (12:20 pm) – Filed under: Rede Industrial ::

A separação de bens e grupo funcionais permitem especificar serviços,reduzindo assim o ataque a superfície que esta exposta a atacantes.Por exemplo alguns importantes serviços estão isolados por um unico grupo e separados á partir do resto da rede usando um unico firewall ,que pode necessariamente permitir diferentes traficos atravez do mesmo firewall,veja a figura abaixo:

908ass

 

Se um ataque for feito usando um exploit contra um serviço web na porta 80, esse ataque pode comprometer uma variedade de serviços, incluindo e-mail, serviços de transferencia de arquivos e serviços de update e etc.

No entanto se cada um desses serviços estão agrupado a um funcionalidade,é separados a partir de outros 2 serviços como mostrado na figura abaixo

9o665a

 

Todos os servidores Web são agrupados juntos, os serviços de e-mail estão em outro grupo e etc, o firewall pode ser configurado para impedir qualquer coisa diferente, como uma ameaça ou fraqueza para exploração

Em sistemas industriais,este metodo de segmentação pode ser muito utilizado porque muitos funcionarios distintos não podem se comunicar fora da empresa.Por exemplo protocolos como Modbus ou DNP3 são especificos para SCADA,ICS e nunca devem ser usado dentro de uma rede LAN junto com HTTP,SMTP,FTP.Pode ser observado na figura:

 

yuy*&

 

A abordagem funcional e topologica de um isolamento tende a melhorar a linha de defesa da rede,embora muitos desses casos vamos usar para proteger também um firewall,IDS,IPS e outros sistemas de controles atravez do cuidado e gestão de politicas que definem os servidores que podem ser conectar em mais de um protocolo e porta.

 

Ate mais galera =)

Identificando os pontos críticos de um sistema

16.11.2013 (6:39 pm) – Filed under: Rede Industrial ::

Vamos falar um pontos dos pontos críticos que temos que observar em um rede industrial,isso não serve só para industria, devemos tomar algumas precauções em diversos cenários,o primeiro passo na obtenção de qualquer ponto critico no sistema seria:

  • * Identificando os ativos que necessitam ser protegitos
  • * Pessoas viáveis para operação de tal processo
  • * Monitoramento de perto das acoẽs
  • * Identificar os pontos de seguranças como firewalls, IDS,IPS
  • * E varios outros dependendo da politica da empresa

A identificação dos pontos criticos dos sistemas no entanto não e fácil, o primeiro passo é para identificar com um completo inventario de todos os dispositivos conectados, cada um desses dispositivos devem ser avaliado de forma independente.Caso ele execute um função critica classifica-la, caso contrario considerar se ele poderia impactar quaisquer outros pontos criticos dos dispositivos ou operações.Algumas perguntas podemos fazer : “Poderia esse dispositivo impactar a rede em si!..impedindo um outro dispositivo de atuar o sistema com um ponto critico, causando assim uma falha!”

Vemos abaixo um logica ilustrando para determinar os pontos criticos ativos,esse processo ira ajudar a separar os dispositivos em duas categorias

9cfds

  • * Críticos Ativos : É tudo aquilo que tem valor para a empresa; pode ser algo tangível ou intangível: instalações, máquinas, informações, etc.
  • * Não Criticos Ativos: O mais importante as pessoas, a confiança e o pratrmonio intelectual dos mesmos.

No entanto em grandes operações para esses processo são muito longas, e com isso podem acontecer niveis de “criticidade” .

 

Alguns conceitos que devemos ter sobre rede ASI

14.11.2013 (6:24 pm) – Filed under: AS-i,Rede Industrial ::

Alguns conceitos que temos que ter em mente sobre essa rede AS-i,vejamos alguns :

Acesso ao meio : Projetada para substituir conexões ponto a ponto do tipo estrela,com tempo de resposta mais definido com acesso master/slave com polling ciclico,no caso de pequenas pertubaçoes na rede o master pode repitir o envio de dados para o endereço do qual naõ recebeu a resposta

Limitações : construída para aplicações abaixo da fieldbus , os dados transmitidos em são limitados a 4 bits por slave q pode m ser trocados a cada ciclo, processos sendo assim ficando mais lentos

Meio físico:Substituindo o tradicional arranjo de cabos multiplos, por caixas de passagem,canaletas, dutos de cabos por um simples cabo especial desenvolvido para a rede

Comprimento do cabo: ate 100m sem uso de repetidores, caso utiliza mais precisa de repetidores a cada 300m

Fonte de alimentação: podendo ser conectada em qualquer ponto da rede,ser maior q 3v.

Principais características:

  • * Compatibilidade: podem ser conectados diversos dispositivos de fabricantes diferentes
  • * Controle de acesso ao meio: sistema com unico master e varredura ciclica
  • * Estrutura da rede : linear,anel,estrela,arvore
  • * Numero de escravos : 62 por rede