– root@injetionsec:~#

Sistemas SCADA – Melhorar

19.06.2014 (1:11 am) – Filed under: Scada ::

Redes de controle de supervisão e aquisição de dados (SCADA) contêm computadores e software que executam tarefas críticas e proporcionam serviços essenciais na infra-estrutura crítica,são considerados infra-estruturas críticas, e em sistemas de controle em particular, necessitam de proteção contra uma variedade de ameaças virtuais que podem comprometer o funcionamento em si,são usados para monitorar os principais parâmetros do processo de produção,operações de controle dentro outros, e esses sistemas foram projetados em um ambiente com o único intuito de monitorar os processos, sem considerar os requisitos de segurança e as necessidades para protegê-los de ameaças externas,e muitos desses componentes críticos estão operando ate hoje expostos na internet com os riscos de varias falhas.

O comprometimento de redes SCADA pode causar interrupção dos serviços críticos tornando assim graves consequências  para a população.

Podemos nos perguntar : Quais são as melhores práticas para implementar para melhorar a segurança do SCADAS? Que ações devem ser tomadas para proteger esses sistemas já ativos na empresa?

Várias auditorias realizadas por pesquisadores,auditores,pentests e afins em suas infra-estruturas críticas ilustraram um cenário perigoso,demostrando uma falta de mecanismos de segurança para os vários sistemas localizados em todo o mundo.

Temos o caso do  Stuxnet um worm que apareceu por volta de 2009-2010 têm mostrado ao mundo que é possível a realização de ataques terroristas,isso aumentou a consciência de ameaças cibernéticas, e a necessidade de implementação de contra medidas adequadas para mitigar o risco a essas instalações industriais, com mecanismos de defesa praticamente ausente, os componentes do sistema SCADA são muitas vezes  lidados com pessoal com uma má formação, ou que  operam com orçamentos limitados tornando assim mais inviáveis a varias falhas,isto significa que estes tipos de dispositivos de controle são instalados em todos os lugares sem ter um devida inspeção na hora de das instalações,á também muitos sistemas implantados com as configurações de fábrica, com as configurações padrões comum a vários dispositivos.

Em um sistema SCADA, temos os controladores lógicos programáveis ​​(PLCs) que estão diretamente ligados a sensores de campo interno que fornecem dados para controlar os componentes críticos (ex.: centrífugas,turbinas),muitas vezes, as senhas padrão são codificados em placas Ethernet e esses  cartões enviam os comandos para os dispositivos, permitindo que os administradores acessar remotamente as máquinas,senhas codificadas são uma fraqueza comum construído em muitos sistemas de controle industrial, incluindo a  séries dos PLCs S7 da Siemens.

Fazendo uma pesquisa no motor de busca Shodan  encontrar varios links de modelos Schneider vulneráveis em operação,tornando isso muito alarmante,revelando assim a necessidade de ter uma mudança radical,isso tem notado e varios paises tomaram frente disso e com isso produziram recomendações para a europa e seus estados membros sobre como proteger sistemas de controle industrial,este documento descreve o estado atual da segurança do sistema de controle industrial e propõe sete recomendações para melhoria.

Imediatamente depois que o worm stuxnet explodiu  os governos e as agências de inteligência de todo o mundo solicitada avaliação da segurança da infra-estrutura crítica de seus países tomando medidas defensivas adotadas para proteger SCADAS e ICSes de ataques cibernéticos,tudo indica que as principais ameaças para sistemas de controle estão ficando cada vez mais avançadas e cada vez mais vemos operações cibernéticas realizadas por grupos de hacktivistas, e campanhas de hacking de terroristas cibernéticos e ainda mais hackers sendo  patrocinados pelo Estado,como já disse em alguns post desse blog o que é mesmo composta os sistemas SCADA veja :

  • Por  um sistema de supervisão, responsável pela aquisição de dados para as atividades de controle no processo.
  • CLPs  atuando como dispositivos de campo.
  • HMI responsável pela apresentação de dados para um operador humano normalmente temos um console que possibilitam o monitoramento e controle do processo.
  • UTRs  são dispositivos eletrônicos controlados por microprocessador que interagem os sensores para o SCADA por envio de dados de telemetria.
  • Infra-estrutura de comunicação que liga o sistema de supervisão às unidades terminais remotas.
  • Vários processos e instrumentação

9ry49er4

 

Os atacantes poderiam ter como alvo cada um dos componentes nesse figura acima e assim comprometer o processo,um  sistema de supervisão é normalmente um computador baseado em um sistema operacional comercial,com isso é possível explorar vulnerabilidades conhecidas ou vulnerabilidades 0-day, é os sistemas SCADA podem ser infectado explorando vetores de ataque através de suporte móvel (ex.: pendrives, USB,CD/DVD-ROM) ou as proprias conexões de rede.

Estabelecer e seguir uma estrutura de gerenciamento de risco mitiga esses ataques cibernéticos para as empresas,o padrão NERC deve ser seguido em cada processo:

  • Identificar os riscos
  • Implementação de controles, mitigação de riscos
  • A manutenção de níveis aceitáveis ​​através da avaliação e monitoramento

Identificação e Monitoramento de conexão a redes SCADA

Para proteger SCADAS, é essencial  identificar cada ligação à rede SCADA, avaliando o risco de exposição a ataques e implementação de todas as medidas preventivas necessárias para mitigá-los,enumerando as conexões gerais, os pontos finais de comunicação (ex.: sistema de gestão, parceiros de negócios, fornecedores), os mecanismos de autenticação implementados, protocolos adotados, a conexão, a adoção de mecanismos de criptografia, o tipo de comunicações (ex,: Ethernet, rede sem fio) e os sistemas de defesa implantados para defendê-los.

Qualquer ligação a outra rede devendo introduz riscos de segurança, especialmente para conexões de Internet,para melhorar a segurança, é necessário, em muitos casos para isolar a rede SCADA de outras conexões de rede com o uso DMZs,armazenamento de dados pode facilitar a transferência segura de dados da rede SCADA das redes empresariais.

Mapeamento de todos os ativos de rede e as ligações de comunicação digital que estão conectados tudo detalhado são essencial para identificar os ativos a fim de evitar qualquer alarme mais crítico.

Auditoria na rede documentando de forma clara e precisa e registra todas as informações sobre todos os ativos de rede é o que eles tem nos seus componentes

  • Identificador como número de série ou número da etiqueta atribuído
  • Descrição da funcionalidade
  • Localização física
  • Mecanismos de segurança física que protegem o dispositivo como cercas, armários trancados, etc
  • As conexões de rede para o dispositivo
  • Os endereços de rede MAC, IP, SCADA, tudo bem atribuído ao dispositivo
  • Interfaces físicas disponíveis tudo atribuido

Evitando o uso de configurações padrão facilmente exploráveis ​​por invasores,pentest e avaliações de vulnerabilidade para fornecer uma análise objetiva do nível de segurança de uma rede SCADA,não podemos esquecer de firewalls, sistemas de detecção de intrusão (IDSs),sistema de prevenção de intrusos (IPSs) e todos os sistemas de defesa necessárias em cada ponto de entrada,gestão de organização devem compreender e aceitar a responsabilidade pelos riscos

Proteção contra ameaças em tempo real

Ataques recentes realizados contra infraestruturas críticas são caracterizadas pelo aumento da sofisticação, um gerenciamento de patches adequado dos sistemas internos ou manter o acesso e controle de serviço,implementação de segurança entre amadas. Cada camada de defesa representa categorias de componentes do sistema, que tem de ser fortalecido:

  • Controle de Perímetro
  • Os funcionários com políticas adequadas e treinamentos de conscientização, recuperação de desastres
  • Arquitetura de Rede,adotando,firewalls, roteadores, switches, VPNs
  • Sistemas operacionais de rede como Active Directory, segurança de domínio, etc
  • Hospedar de Segurança

weifhefe

Podemos ver essas segurança em camadas na figura acima,bem galera isso e um pouco do que podemos fazer para melhorar esses sistemas SCADA que estão a cada dia sendo mais visados em ciber terrorismo,ate o próximo tópico onde tentarei explicar os recursos de segurança e controles de um ambiente SCADA, autenticação, vulnerabilidades, segurança física, administração, configuração, backups do sistema e os planos de recuperação de desastres. 😉

Comunicações de Sistemas SCADA – detalhes

08.06.2014 (3:16 pm) – Filed under: Scada ::

Bem galera para ter uma comunicação em sistema scada devemos ter necessariamente os seguintes itens:

  1. Um meio de transmissão sobre os quais as mensagens são enviadas.
  2. Um emitente pode ser um equipamento MTU.
  3. Um receptor que podem estar associados com os UTRs.

0r9u4r4

Em telecomunicações, a MTU e RTU também são chamados de “equipamento de terminal de dados”,cada um deles tem a capacidade de gerar um sinal que contém a informação a ser enviada. Eles também têm a capacidade de decodificar o sinal recebido e extrair informações.

94rt4

Abaixo podemo ver as conexão dos equipamento com interfaces para as mídias. Os modems também podem ser chamados  de “Equipamento de Comunicação de Dados”  são capazes de receber informações e fazer as alterações necessárias na forma de informação, e enviá-lo por meio de comunicação DCE-“Equipamento de Comunicação de Dados” para o outro que recebem essas informações e transformam de volta para que ele possa ser lido pelo DTE.

23ry3

 

Um sistema SCADA é composto por:

  • Interface do Operador – Máquinas: O ambiente visual fornecida pelo sistema para o operador de acordo com o processo desenvolvido pela planta. Permitindo assim a interação humana com meios tecnológicos implementados.
  • Unidade Central (MTU): Conhecido como Unidade Mestre. Implementa o comando (set) com base nos valores atuais das medidas variveis,e responsável pelo armazenamento de forma que o outro aplicativo ou dispositivo pode acessá-los processo.
  • Unidade de terminal remoto (RTU): Trata-se todas as informações sobre qualquer tipo de informação enviada para a unidade central,são os  processos localizado no chão de fabrica
  • Sistema Comunicação: responsável pela transferência de informação do ponto onde as operações são executadas até o ponto onde e supervisionado e  controlando assim o processo,como transmissores, receptores e mídias forma.
  • Transdutores: Permitem a conversão de um sinal físico em um sinal elétrico (vice -versa).

304ru

 

  • O RTU são sistema com um microprocessador e interfaces de entrada e saída analógica e digital que permita que o processo tire as informação fornecida dos dispositivos de instrumentação e controle em um local remoto e utilize as técnicas de transmissão de dados para assim enviá-lo para sistema central,um sistema pode conter vários RTU que são capazes de capturar uma mensagem dirigida a ele, como decodificando atuação, respondendo se necessário, e esperar por uma nova mensagem.
  • A MTU então que esta sob controle de software permite a aquisição de dados através de todos RTU que estão localizados remotamente e fornecendo a capacidade de executar comandos remotos quando exigido pelo operador,normalmente as  MTUs tem impressoras e equipamentos auxiliares, tais como chips de memória, que também fazem parte da MTU set,em muitos casos o MTU deve enviar dados para outros sistemas ou computadores.
  • A ligação entre a RTU e os instrumentos de campo, muitas vezes são feitos por meio de cabos elétricos,os dados adquiridos pela MTU  apresenta uma interface gráfica em um compreensível e utilizável, essas informações podem ainda serem feitos relatórios,abaixo vemos algumas imagens de diagramas do RTUs e MTUs,SCADA e etc em uma planta.

r943rt439or435r4837fu

 

Deixo agora uma pergunta para vocês,esses sistemas estão seguros ?

Diferenças entre SCADA & HMI

05.06.2014 (3:11 pm) – Filed under: Scada ::

SCADA vs HMI

A principal diferença entre Sistemas SCADA e HMI é o seu alcance. HMI é realmente apenas uma parte do sistema SCADA,sem SCADA, o HMI seria praticamente inútil.

“SCADA” significa “Controle de Supervisão e Aquisição de Dados”, que é um sistema integrado que é usado para controlar e monitorar o funcionamento de cada uma das peças da fábrica,muitas vezes controla bombas, ventiladores e outras máquinas, juntamente com as suas outras características.
Os mecanismos de controle são circuitos eletrônicos conhecidos como circuitos lógicos programáveis ​​ou PLCs,esses controlam a máquina, bem como os sensores para as pesquisas de dados, e esses dados são então enviados para a sala de controle,nessa sala de controle, o operador precisa fazer sentido dos dados, bem como emitir comandos como ligado ou desligado.

O HMI, ou Interface Homem-Máquina, vem dentro do HMI é geralmente um layout gráfico de todo o sistema com medidores, luzes e controles situados nos locais correspondentes das máquinas. Os indicadores mostram uma gama normal de funcionamento, bem como uma gama anormal de modo que o operador sabe, se o equipamento esta funcionando,as luzes podem indicar se a máquina está ou não funcionando normalmente, bem como as ocorrência de falhas.

Resumo:

* O HMI é apenas uma parte dos Sistemas SCADA.
* Sistemas SCADA são para o controle completo, enquanto o HMI é onde o operador trabalha.

Tenho Segurança em sistemas SCADA ? O que vamos fazer agora!

25.05.2014 (11:52 am) – Filed under: Scada ::

O que esperar em um  primeiro episódio de sistema SCADA : Algumas perguntas podem ser feitas
“Como garantir diferente ICSs e protegê-lo”
“Como eles estão sendo usados ​​agora – ligações à Internet,conectividade remota?”
“Como  proteger sistemas ICSs e SCADA de diferentes redes.”

O que esperar a partir do segundo episódio SCADA :Algumas perguntas podem ser feitas

“Ocorreram vários incidentes  e ameaças em ICSs: como Aurora e Stuxnet”
“As conseqüências não intencionais de Stuxnet fizeram ICSs um alvo legítimos?”

o grande problema em sistemas SCADA são que esses sistemas industriais não foram feitos para ser conectado à web e muitos destes sistemas têm vulnerabilidades incrivelmente,a dados que mais de 60.000 sistemas SCADA estão exposto é e claro fáceis para serem explorados por qualquer usuário mal intencionado,como sistemas de energia, produtos químicos, petróleo e etc.

 

Schneider Electric Vulnerabilidades no Servidor OPC

06.03.2014 (1:53 pm) – Filed under: Noticias,Scada ::

O ICS-CERT  na semana passada emitiu avisos de advertência de vulnerabilidades na Schneider Electric SCADA.

Schneider Electric é um fornecedor de produtos de controle de gestão de energia que são usados ​​em uma série de indústrias críticas na América do Norte, incluindo energia, água e esgoto, comida, agricultura e sistemas de transporte,a empresa divulgou duas vulnerabilidades que poderiam permitir que invasores executem códigos maliciosos,foram feitas atualizações dos produtos para mitigar as vulnerabilidades presentes,mais informações

Fonte: threatpost

Protocolos SCADA é alguns attack vectors

27.02.2014 (7:10 pm) – Filed under: Scada ::

Bem galera os protocolos utilizados nesses sistemas SCADA como já ate citamos em outros posts compõem,dentro os mais conhecidos são:

– MODBUS
– Ethernet/IP
– PROFIBUS
– ControlNet
– Infinet
– HART
– UCA
– Fieldbus
– Distributed Network Protocol (DNP)
– Utility Communications Architecture (UCA)
– Inter-Control Center Communications Protocol (ICCP)
– Telecontrol Application Service Element (TASE)

A maioria dos sistemas SCADA hoje utilizam protocolos que são inseguros ,mal implementados em seus fornecedores  o que resulta nesse insegurança,podemos encontrar tipicas fraquezas hoje:

* não requerem qualquer autenticação
* não necessitam de qualquer autorização
* sem criptografia
* não são adequados em lidar com erros e exceções

Com isso abrimos um leque de vetores de riscos

* Dados interceptados
* Dados que podem ser manipulados
* DDoS
* Spoofing de endereço
* request não solicitado
* Hijacking
* Modificação do registro dos dados
* Acesso não autorizado

E isso podemos levar a vários resultados desastrosos :

* Alterando assim uma outra forma na tela do HMI que pode causar para operador tomadas de deseições incorretas
* Permite acesso não autorizado de pessoas podendo assim assumir os sistemas SCADA
* Interrompimento do processos do sistema SCADA

E isso galera vemos essas vulnerabilidades são uma ponta do iceberg .

Demonstração de vulnerabilidades em sistema SCADA

14.02.2014 (4:05 pm) – Filed under: Scada ::

Estava vagando na net e achei interessante essa demonstração “Demonstração de vulnerabilidades em sistemas SCADA” que foi realizado no Black Hat 2013.

Vulnerabilidade em Sistema SCADA

11.11.2013 (11:06 am) – Filed under: Scada ::

Pesquisa feita em 2009 usando o modelo isa99 foram achas vulnerabilidades principalmente em rede e operações DMZ,empresa de TI LAN,LAN HMI,controladores em rede LAN e instrumentação,foram reportados mais de 38 mil vulnerabilidades,o modelo permitiu determinar algumas estatisticas sobre onde as vulnerabilidades descobertas na infraestruturas do sistemas SCADA,abaixo vemos o que foi relatado,vejamos abaixo o quadro.

82qhsd

Quase metade das vulnerabilidades encontradas foram em DMZ e nas empresas de TI que administram os sistemas SCADAs,geralmente são essas empresas que ficam a parte por administrar a rede,tornando isso um fato para essas vulnerabilidades,podemos citar exemplo como as configurações em rede DMZ são compartilhadas em aplicações,servidores SMTP,BD,Web,e outros componentes com riscos de malwares e ataques serem feitos,essas pesquisas apontaram que a varios pontos falhos para serem explorados com 16 diferentes categorias de ataques.

8i73r

8764hc

Esses sistemas raramente tem algum registro ou monitoramento de defesa como IDS/IPS ou outro host de evento de registro,então esses sistemas travam com um simples PING na rede,vemos agora alguns teste realizados com ping no host alvo.

ping -f [IP] -s 60 : enviamos um flood com 60 bits de tamanho,onde o medidor ficou off por cerca de 3 mim e depois foi recuperando por contra propria

ping -f [IP] -s 600 : enviamos um flood com 600 bits de tamanho,esse ataque também ficou off e depois de 3 mim foi recuperando por contra propria

ping -f [IP] -s 6000 : enviamos um flood com 6000 bits de tamanho,esse ataque ele caiu por completo e desligou,onde não ouve recuperação,teve que ser reniciado pelo cabo serial para assim voltar voltar a iniciar

ping -f [IP] -s 60000 : enviamos um flood com 6000 bits de tamanho,esse ataque ele caiu por completo e desligou,onde não ouve recuperação,teve que ser reniciado pelo cabo serial para assim voltar voltar a iniciar

Podemos usar sniffer como Wireshark de rede para analisarmos os protocolos, onde encontrado nomes de usuarios e senhas claro na rede como a imagem abaixo:

(61)

 

Até o próximo tópico galera =)

Avaliações usada em sistema SCADA

10.11.2013 (2:00 pm) – Filed under: Scada ::

Vamos da uma olhada nas seis camadas de abordagem o controle fisico,infra-estrutura,hardware,aplicações e protocolos e equipamentos de campo.

87aa2w

 

Para garantir que cada camada seja protegida, por exemplo os controles fisicos devem proteger o acesso da rede e da infra-estrutura devendo restringir assim o acesso a rede para DMZ,os dispositivos em campo fazem mais do que monitorar e são usados para controlar a função, esses estão mais vulneraveis e tem maior impacto para a confiabilidade e disponibilidade do sistema, isso por os sistemas SCADA devem ter mais proteção,observe a imagem abaixo.

Captura_de_tela-3

 

Como podemos ver nas camadas acima, alguns pontos falhas na implementação, espero que tenham gostado , ate o próximo tópico =)

Entendimento transmissão,geração,distribuição

09.11.2013 (1:25 pm) – Filed under: Scada ::

Todos os processos que iremos descrever galera são incluídos no controle de SCADA veja:

98u87

  • Geraçao de processo: temos como exemplo o processo de conversão não elétrico de energia em eletrecidade, o primeiro passo para o fornecimento de energias para a população e tipicamente gerado por uma planta que assim com geradores eletromecânicos envolvendo a rotação da turbina e assim armazenados a eletricidade em si,todo esse poder de operação de sistemas e componentes dentro de uma industria ou processo, estão incluídos sistemas SCADAS para o controle dos mesmo, assim ligados a rede,vamos ver o diagrama abaixo para melhor entender as varias camadas desse processo.

jhsdf89-3

  • Processo de transmissão: a potencia de transmissão temos que ser reduntantes em multiplas linhas entre os pontos para vários caminhos e varios custos para o produto final, esses processos são monitorados e controlados,esses sistemas sistemas estão por controle de SCADA,vamos ver a figura abaixo que retrata o poder de transmissão de rede na internet, para as camadas abaixo,essas redes continuam desdes o primario ate as subestações localmente para distribuir tensão em locais diferentes

87y4

 

  • Processo de distribuição: como falado antes a energia eletrica e armazenada de modo que a quantidade produzida atraves dos processo eletricos sejam transmitidas,devendo ser transportada imediatamente podendo ser consumida, essas tecnologias de transmissão e geração são semelhantes a SCADA, com requisito para o monitoramento,o diagrama abaixo mostra um tipico poder de distribuição de sistemas conectados a rede sendo assim automatizados com medidor de leitura

98uyy