– root@injetionsec:~#

Rede SCADA, proteção garante o faturamento

05.09.2014 (12:12 pm) – Filed under: Rede Industrial ::

Nos últimos tempos, os executivos começaram a perceber a importância e urgência de proteger as suas redes de controle de processos. O Stuxnet, por exemplo, um worm de computador projetado especificamente para atacar sistemas de controle de processos industriais, abriu caminho para mostrar o que é possível fazer por profissionais. Mais recentemente, o Duqu entrou no mercado de ameaças permitindo que os invasores roubem dados dos fabricantes de sistemas de controle de processo industrial e utilizem esses dados para explorar as entidades que usam esses sistemas.

Mas, por que essas redes são suscetíveis a ataques? A grande maioria das empresas possui departamentos especializados responsáveis pela proteção de duas redes-chave: Data Centers (servidores) e Workstations (estações de trabalho). No entanto, uma “terceira rede”, a de controle de processos, ainda precisa receber o mesmo nível de atenção.

Frequentemente chamadas de redes SCADA (Supervisory Control and Data Acquisition) devido à sua associação com processos industriais, essas redes se conectam a equipamentos ao invés de computadores e aos sistemas de suporte ao invés de pessoas.

Em setores como serviços públicos, transportes, logística, manufatura e indústria farmacêutica, essas redes são essenciais para o funcionamento da organização. Em serviços públicos, por exemplo, elas são tão importantes que são consideradas parte de uma infraestrutura crítica nacional. Já na área de logística, são responsáveis por encaminhar milhões de encomendas por dia. Em algumas empresas essa rede opera nos bastidores, intermediando o acesso aos prédios, controlando o ar-condicionado, elevadores e refrigeração de um data center.

As redes SCADA são consideradas as redes mais desprotegidas e, por isso, estão na mira dos cibercriminosos. Se eles conseguem o acesso, podem trazer consequências prejudiciais às empresas, seus clientes e até à população em geral, o que seria extremamente perigoso.

O que faz com que essas redes sejam mais vulneráveis?

Alguns fatores que tornam essas redes mais vulneráveis são:
• As ameaças estão se tornando mais sofisticadas. Se antes os motivos eram amadores, agora estão relacionados, em forma de ‘hacktivismo’, à política, espionagem e agressão ao Estado. As ameaças persistentes avançadas – as profissionais – estão impulsionando o surgimento de um novo nível de ataques complexos e furtivos, difíceis de identificar e ainda mais de desativar;
• As redes estão se tornando cada vez mais conectadas, na medida em que as empresas estão sedentas por obter dados que permitam uma melhor tomada de decisão e fornecedores que habilitem tudo na internet com o objetivo de diminuir os custos de suporte e aumentar a retenção de clientes;
• Projetadas em uma época diferente, as redes de controle de processos têm sido consideradas inerentemente seguras e muitas vezes não incluem noções básicas de segurança. Quando divulgados por fornecedores de sistemas, os patches de correção são difíceis de se implementar devido às exigências de disponibilidade do sistema;
• A rede SCADA é frequentemente ‘invisível’ e não recebe a atenção e investimento necessários para aumentar o nível de segurança compatível com o aumento das ameaças;
• Na maior parte das organizações, os engenheiros de controle de processo gerenciam a rede de processo de controle industrial, enquanto o departamento de TI gerencia as demais redes. Esses dois grupos possuem demandas e prioridades distintas.

Dada a separação típica de funções, quando consideramos que as empresas de soluções de segurança deveriam mudar seu pensamento em relação a “Segurança da TI”, falamos que elas deveriam mudar a forma de considerar as prioridades e necessidades específicas dos engenheiros de controle de processos responsáveis por gerenciar a rede SCADA. Em primeiro lugar, as ferramentas de segurança não devem interferir nos processos de circuito fechado, pois podem colocar em risco o controle. Em segundo lugar, a disponibilidade/tempo de atividade da rede é o mais importante objetivo da rede. Em terceiro lugar, as políticas de alteração regulares de senha podem pôr em risco a empresa, bloqueando o acesso dos engenheiros de um sistema. E em quarto lugar, as ferramentas de segurança que exigem acesso direto à internet não são redes viáveis, pois muitas redes de controles são bloqueadas por Firewalls.

Ao mesmo tempo, as redes de controle de processos têm várias áreas de vulnerabilidades que devem ser protegidas. A Interface Homem-Máquina (em inglês, The Humam Machine Interface), os servidores de processos e históricos são normalmente baseados em Microsoft Windows e são pontos potenciais de entrada para qualquer invasor que tenha acesso através da rede corporativa e que esteja utilizando exploits conhecidos. A Unidade Terminal Remota (RTU) e Controladores Lógicos Programáveis (CLPs) são muitas vezes proprietários e exigem conhecimento sofisticado no sistema de controle para que seja possível a invasão, como acontece com o Stuxnet e Duqu.

As seguintes diretrizes podem ajudar as empresas a identificar as soluções de segurança que respeitem as exigências e prioridades do processo de controle de ambiente de rede, ao mesmo tempo em que reforçam sua proteção. As empresas devem pensar em soluções que podem:
• Fornecer a flexibilidade para operar de modo passivo ou in-line sem interromper o processo de circuito fechado, mesmo quando acontece alguma falha no software, hardware ou energia;
• Apoiar uma vasta biblioteca de normas e em formato de código aberto para aceitar conjuntos de regras SCADA, além das normas determinadas pelas agências do governo, outras regras de terceiros e proprietárias, únicas para a rede da própria empresa;
• Controlar o uso da rede por aplicação, usuário e grupo como uma forma ideal de segregar zonas de controle de rede para obter a máxima flexibilidade;
• Prover a descoberta passiva de dispositivos, avaliação automática de impacto e ajuste de regras para tomar uma ação corretiva somente nas ameaças que são relevantes para uma rede específica da empresa;
• Oferecer monitoramento e gerenciamento centralizados para unificar funções críticas de segurança de rede, agilizar a administração e resposta.

Os processos de controle de rede e sua segurança são de extrema importância. Cada vez mais no radar dos invasores profissionais, é a vez da rede SCADA simplificar o gerenciamento da empresa e obter a atenção e proteção que merece.

y98h

 

* Matéria originalmente publicada na revista Mecatrônica Atual; Ano:11; N° 58; Set/ Out – 2012

 

Sistemas SCADA – Melhorar

19.06.2014 (1:11 am) – Filed under: Scada ::

Redes de controle de supervisão e aquisição de dados (SCADA) contêm computadores e software que executam tarefas críticas e proporcionam serviços essenciais na infra-estrutura crítica,são considerados infra-estruturas críticas, e em sistemas de controle em particular, necessitam de proteção contra uma variedade de ameaças virtuais que podem comprometer o funcionamento em si,são usados para monitorar os principais parâmetros do processo de produção,operações de controle dentro outros, e esses sistemas foram projetados em um ambiente com o único intuito de monitorar os processos, sem considerar os requisitos de segurança e as necessidades para protegê-los de ameaças externas,e muitos desses componentes críticos estão operando ate hoje expostos na internet com os riscos de varias falhas.

O comprometimento de redes SCADA pode causar interrupção dos serviços críticos tornando assim graves consequências  para a população.

Podemos nos perguntar : Quais são as melhores práticas para implementar para melhorar a segurança do SCADAS? Que ações devem ser tomadas para proteger esses sistemas já ativos na empresa?

Várias auditorias realizadas por pesquisadores,auditores,pentests e afins em suas infra-estruturas críticas ilustraram um cenário perigoso,demostrando uma falta de mecanismos de segurança para os vários sistemas localizados em todo o mundo.

Temos o caso do  Stuxnet um worm que apareceu por volta de 2009-2010 têm mostrado ao mundo que é possível a realização de ataques terroristas,isso aumentou a consciência de ameaças cibernéticas, e a necessidade de implementação de contra medidas adequadas para mitigar o risco a essas instalações industriais, com mecanismos de defesa praticamente ausente, os componentes do sistema SCADA são muitas vezes  lidados com pessoal com uma má formação, ou que  operam com orçamentos limitados tornando assim mais inviáveis a varias falhas,isto significa que estes tipos de dispositivos de controle são instalados em todos os lugares sem ter um devida inspeção na hora de das instalações,á também muitos sistemas implantados com as configurações de fábrica, com as configurações padrões comum a vários dispositivos.

Em um sistema SCADA, temos os controladores lógicos programáveis ​​(PLCs) que estão diretamente ligados a sensores de campo interno que fornecem dados para controlar os componentes críticos (ex.: centrífugas,turbinas),muitas vezes, as senhas padrão são codificados em placas Ethernet e esses  cartões enviam os comandos para os dispositivos, permitindo que os administradores acessar remotamente as máquinas,senhas codificadas são uma fraqueza comum construído em muitos sistemas de controle industrial, incluindo a  séries dos PLCs S7 da Siemens.

Fazendo uma pesquisa no motor de busca Shodan  encontrar varios links de modelos Schneider vulneráveis em operação,tornando isso muito alarmante,revelando assim a necessidade de ter uma mudança radical,isso tem notado e varios paises tomaram frente disso e com isso produziram recomendações para a europa e seus estados membros sobre como proteger sistemas de controle industrial,este documento descreve o estado atual da segurança do sistema de controle industrial e propõe sete recomendações para melhoria.

Imediatamente depois que o worm stuxnet explodiu  os governos e as agências de inteligência de todo o mundo solicitada avaliação da segurança da infra-estrutura crítica de seus países tomando medidas defensivas adotadas para proteger SCADAS e ICSes de ataques cibernéticos,tudo indica que as principais ameaças para sistemas de controle estão ficando cada vez mais avançadas e cada vez mais vemos operações cibernéticas realizadas por grupos de hacktivistas, e campanhas de hacking de terroristas cibernéticos e ainda mais hackers sendo  patrocinados pelo Estado,como já disse em alguns post desse blog o que é mesmo composta os sistemas SCADA veja :

  • Por  um sistema de supervisão, responsável pela aquisição de dados para as atividades de controle no processo.
  • CLPs  atuando como dispositivos de campo.
  • HMI responsável pela apresentação de dados para um operador humano normalmente temos um console que possibilitam o monitoramento e controle do processo.
  • UTRs  são dispositivos eletrônicos controlados por microprocessador que interagem os sensores para o SCADA por envio de dados de telemetria.
  • Infra-estrutura de comunicação que liga o sistema de supervisão às unidades terminais remotas.
  • Vários processos e instrumentação

9ry49er4

 

Os atacantes poderiam ter como alvo cada um dos componentes nesse figura acima e assim comprometer o processo,um  sistema de supervisão é normalmente um computador baseado em um sistema operacional comercial,com isso é possível explorar vulnerabilidades conhecidas ou vulnerabilidades 0-day, é os sistemas SCADA podem ser infectado explorando vetores de ataque através de suporte móvel (ex.: pendrives, USB,CD/DVD-ROM) ou as proprias conexões de rede.

Estabelecer e seguir uma estrutura de gerenciamento de risco mitiga esses ataques cibernéticos para as empresas,o padrão NERC deve ser seguido em cada processo:

  • Identificar os riscos
  • Implementação de controles, mitigação de riscos
  • A manutenção de níveis aceitáveis ​​através da avaliação e monitoramento

Identificação e Monitoramento de conexão a redes SCADA

Para proteger SCADAS, é essencial  identificar cada ligação à rede SCADA, avaliando o risco de exposição a ataques e implementação de todas as medidas preventivas necessárias para mitigá-los,enumerando as conexões gerais, os pontos finais de comunicação (ex.: sistema de gestão, parceiros de negócios, fornecedores), os mecanismos de autenticação implementados, protocolos adotados, a conexão, a adoção de mecanismos de criptografia, o tipo de comunicações (ex,: Ethernet, rede sem fio) e os sistemas de defesa implantados para defendê-los.

Qualquer ligação a outra rede devendo introduz riscos de segurança, especialmente para conexões de Internet,para melhorar a segurança, é necessário, em muitos casos para isolar a rede SCADA de outras conexões de rede com o uso DMZs,armazenamento de dados pode facilitar a transferência segura de dados da rede SCADA das redes empresariais.

Mapeamento de todos os ativos de rede e as ligações de comunicação digital que estão conectados tudo detalhado são essencial para identificar os ativos a fim de evitar qualquer alarme mais crítico.

Auditoria na rede documentando de forma clara e precisa e registra todas as informações sobre todos os ativos de rede é o que eles tem nos seus componentes

  • Identificador como número de série ou número da etiqueta atribuído
  • Descrição da funcionalidade
  • Localização física
  • Mecanismos de segurança física que protegem o dispositivo como cercas, armários trancados, etc
  • As conexões de rede para o dispositivo
  • Os endereços de rede MAC, IP, SCADA, tudo bem atribuído ao dispositivo
  • Interfaces físicas disponíveis tudo atribuido

Evitando o uso de configurações padrão facilmente exploráveis ​​por invasores,pentest e avaliações de vulnerabilidade para fornecer uma análise objetiva do nível de segurança de uma rede SCADA,não podemos esquecer de firewalls, sistemas de detecção de intrusão (IDSs),sistema de prevenção de intrusos (IPSs) e todos os sistemas de defesa necessárias em cada ponto de entrada,gestão de organização devem compreender e aceitar a responsabilidade pelos riscos

Proteção contra ameaças em tempo real

Ataques recentes realizados contra infraestruturas críticas são caracterizadas pelo aumento da sofisticação, um gerenciamento de patches adequado dos sistemas internos ou manter o acesso e controle de serviço,implementação de segurança entre amadas. Cada camada de defesa representa categorias de componentes do sistema, que tem de ser fortalecido:

  • Controle de Perímetro
  • Os funcionários com políticas adequadas e treinamentos de conscientização, recuperação de desastres
  • Arquitetura de Rede,adotando,firewalls, roteadores, switches, VPNs
  • Sistemas operacionais de rede como Active Directory, segurança de domínio, etc
  • Hospedar de Segurança

weifhefe

Podemos ver essas segurança em camadas na figura acima,bem galera isso e um pouco do que podemos fazer para melhorar esses sistemas SCADA que estão a cada dia sendo mais visados em ciber terrorismo,ate o próximo tópico onde tentarei explicar os recursos de segurança e controles de um ambiente SCADA, autenticação, vulnerabilidades, segurança física, administração, configuração, backups do sistema e os planos de recuperação de desastres. 😉

Tenho Segurança em sistemas SCADA ? O que vamos fazer agora!

25.05.2014 (11:52 am) – Filed under: Scada ::

O que esperar em um  primeiro episódio de sistema SCADA : Algumas perguntas podem ser feitas
“Como garantir diferente ICSs e protegê-lo”
“Como eles estão sendo usados ​​agora – ligações à Internet,conectividade remota?”
“Como  proteger sistemas ICSs e SCADA de diferentes redes.”

O que esperar a partir do segundo episódio SCADA :Algumas perguntas podem ser feitas

“Ocorreram vários incidentes  e ameaças em ICSs: como Aurora e Stuxnet”
“As conseqüências não intencionais de Stuxnet fizeram ICSs um alvo legítimos?”

o grande problema em sistemas SCADA são que esses sistemas industriais não foram feitos para ser conectado à web e muitos destes sistemas têm vulnerabilidades incrivelmente,a dados que mais de 60.000 sistemas SCADA estão exposto é e claro fáceis para serem explorados por qualquer usuário mal intencionado,como sistemas de energia, produtos químicos, petróleo e etc.

 

Infra-estrutura crítica no Reino Unido coloca em risco sistemas SCADA

19.01.2014 (10:37 am) – Filed under: Noticias ::

O Sistema de Controle de Cyber ​​Team Industrial de Resposta de Emergência (ICS-CERT) pediu para as empresas envolvidas na infra-estrutura crítica para ficarem mais vigilantes, uma vez que investigam uma potencial falha crítica em um sistema SCADA comumente usados.”ICS-CERT tem conhecimento de que a  vulnerabilidade de buffer overflow, com a prova de conceito (PoC) código de exploração com isso afetando Ecava IntegraXor, um controle de supervisão e aquisição de dados / interface homem-máquina do produto (SCADA / IHM)”, disse a assessoria.

“IntegraXor é actualmente utilizado em diversas áreas de controle de processo em 38 países com a maior instalação baseada no Reino Unido, Estados Unidos, Austrália, Polônia, Canadá e Estónia. ICS-CERT recomenda que os usuários tomem medidas defensivas para minimizar o risco de exploração destas vulnerabilidades. ”

A vulnerabilidade listada no alerta é particularmente perigosa, pois poderia, teoricamente, ser explorada por hackers para lançar uma variedade de ataques, incluindo a DDoS.Ataques a sistemas de infra-estruturas críticas têm sido um problema crescente voltada para empresas e governos. O perigo foi apresentado em 2011, quando o malware Stuxnet foi descoberto visando usinas nucleares iranianas.

Fonte : v3

O avanço de ameaças persistentes

23.12.2013 (11:21 pm) – Filed under: Rede Industrial ::

Ou também APT tem ganhado ampla atenção em recenter anos. O projeto aurora e o stuxnet aumentou a publicidade e consciencia de novas ameaças tanto de dentro quanto de fora, comunidades de pesquisadores de incidentes como Exida, Lofty Perch , e Red Tiger Segurança  estão se especializando em resposta a incidentes da APT tais como a RISI (Repository dos Industriais de Segurança Incidentes ) tem desenvolvido um catalago de comportamento de incidentes regularmente no CERT.

Com toda essa atenção, um diferencial de um APT é sua mudança nos ataques focando em determinado detalhe no alvo da rede.Ouro diferencial da APT e a tentativa de ficar oculto e  proriferar na rede,tentando a todo momento obter informações do alvo,dificultando assim sua detectção.

Apt e Cyber War

13.12.2013 (5:17 pm) – Filed under: Rede Industrial ::

Esses termos são muitas vezes usados como sinonimos relacionandos,mas eles são bastante diferentes galera,com classificaçoes modernas de ataques e ameaças,mas devemos saber a diferença entre eles :

* APT -> esse grupo de exploit infecta uma rede com uma codigo mal-intencionado que e projetado para alcançar um determinado objetivo,pode ser usado para obter informaçoes que depois podem ser usadas para construir 0-day,podendo obter informaçoes necessarias para criar uma carga para alvo, tais como as que foi utilizada no Stuxnet em suas exploraçoes.
* Cyber War -> e semelhante mas pode incluir diferentes mecanismos de entrega de exploits com outros propositos,embora utilize tecnicar semelhantes para exploits,codigo em comum.
As diferenças entre o APT e a Cyber War podem ser vistas abaixo,assim como o APT e a Cyber War  diferem na intenção eles tem diferença em seus objetivos como visto na tabela 3.4

8yuigu

Novamente novos métodos  são utilizados para roubar propriedade intelectual para obter lucro para ssim sabotar os sistemas industriais.

 

 

Night Dragon

10.12.2013 (5:49 pm) – Filed under: Rede Industrial ::

Galera não irei falar de dragões,fadas,duendes e etc, irei falar um pouco desse ataque chamado de Night Dragon,bem sem mais falação:

Em fevereiro de 2011 a McAfee anunciou uma descoberta de um serie de ataques coordenados contra empresas de petroleo,energia e petroquimica, os ataques originaram principalmente na china e tiveram origem em 2009 mas a operação continuava de forma encoberta.

A noite do dragao “Night Dragon” é mais uma evidencia de um atacate pode infiltrar em sistemas criticos,embora o ataque não resultou em uma sabotagem,como era o caso do Stuxnet que envolveu roubo de informaçoes sensiveis onde ele usou SQLi contra os servidores web da empresa,usando padrão de ferramentas ganhando username e senhas para assim infiltrar em PCs e servidores da mesma.

A noite do dragão “Night Dragon” estabelecia comando e controle de servidores bem como administração remota usando Toolkit para extrair e-mail e arquivos de contas executivas.

Night Dragon, o que isso !

09.12.2013 (6:11 pm) – Filed under: Rede Industrial ::

Em fevereiro de 2011 a McAfee anunciou uma descoberta de um serie de ataques coordenados contra empresas de petroleo,energia e petroquimica, os ataques originaram principalmente da china e tiveram origem em 2009 mas a operação continuava de forma encoberta

A noite do dragão e mais uma evidencia de como uma atacante pode infiltrar em sistemas criticos,embora o taque não resulta em sabotagem,como era o caso do Stuxnet que envolveu roubo de informaçoes sensiveis onde ele usou SQLi contra os servidores web da empresa,usando padrão de ferramentas ganhando username e senhas para assim infiltrar em PCs e servidores da mesma.

A noite do dragão estabelecia comando e controle de servidores bem como administração remota usando Toolkit para extrair e-mail e arquivos de contas executivas.

Alguns incidentes em redes industriais

04.12.2013 (11:51 pm) – Filed under: Rede Industrial ::
Bom galera vamos falar de alguns incidentes que ocorreram em alguns anos, de la para cá a muitos relatos de ataques a redes industriais,falhas em sistemas seja em SCADA, RTU ou etc,vamos la
  • ** Em 2000 um homem na Austrália, que foi rejeitado pelo governo do trabalho,foi acusado de usar um radio transmissor par alterar os dados dos eletrônicos dentro de um sistema de esgoto da estação, causando assim a liberação de mais de 2 centenas de milhares de litros de esgoto nos rios.
  • ** Em 2007 o projeto Aurora controlado pelo Idaho National Laboratories (INL) demostrou que um controlador poderia ser destruído atravez de ciber ataques,esse vulnerabilidade permitia que usuários mau intencionado que foi mostrado por pesquisadores poderia abrir perto dos dinjuntores um disel que ficava fora de sincronia, causando assim uma explosão
  • A vulnerabilidade aurora permenace ate hoje uma preocupação,embora o NERC (norte americano elétrica confiabilidade corporação) emitiu um alerta poucos meses depois antes da CNN em junho de 2007, fornecendo informações adicionais, e assim em outubro de 2010 foi feito um alerta fornecendo claras mitigações e estratégicas para lidar com essa vulnerabilidade.
  • ** Em 2008 um worm intilado agent.btz começou a infectar milhares de maquinas militares nos EUA era supostamente realizado em CENTCOM na rede que foi dissiminado em USB ano mais tarde.O CENTCOM foi relatado pela CBS “60 minutes” em novembro de 2009,os detalhes são dificeis de determinar e os dados e intenções permanecem altamente especulados.
  • ** Projeto Aurora não pode ser confundico com Operação Aurora, que bateu no gigante google e outros no final de 2009 com foco de sofisticado arsenal e provocando uma cyber guerrilha.A operação aurora utilizava 0-day do internet explorer, causando assim um DoS e malwares projetados para danificar ou desativar redes,operando sem enterrupção, permanecendo clamuflado roubando assim informaçoes sem ser detectado.A Aurora consistia em vários malware individuais q ficavam combinados e ocultos na presença dos hospedeiros, e em seguida comunicava com seu atacante em modo criptografado.
  • ** Em 2010 um worm intulado de Stuxnet começou a infectar sistemas de industrias em 2010, o Stuxnet e uma tática nuclear de de misseis em ciber guerra,ele bateu sua marca e deixou para traz provas de que foi realizado ataques sofisticados com alvos em redes industriais,utilizava quatro 0-day para infectar e se espalhar, olhando para SIMATIC WinCC e PCS 7 programas da Simmens e em seguida usando o padrão SQL para infectar credenciais dos PLCs por injeção de rootkits via Simmens fielbus do protocolo Profibus.

Em seguida o Stuxnet olhava para os dispositivos de automação e controlava a velocidade do motor,se ele ve um controlador operarem dentro de uma gama de 800-1200 Hz ele tentava sabota-lo.Embora pouco foi conhecido em primeiro lugar a Siemens efetivamente respondeu ao problema rapidamente,com alvos para sistemas SCADA e levantou a industria a consciencia e ameaças avançadas,precisando sim de melhoras na sua rede.

 

Ate o próximo tópico galera.. = )

Ativos críticos,cyber ativos,cyber crítico

22.11.2013 (6:38 pm) – Filed under: Rede Industrial ::

Bem galera vamos falar um pouquinho desses ativos;

Um ativo e um único dispositivo usado dentro de uma rede industrial de controle de sistemas.Ativos muitas vezes são computadores,que incluem rede, roteadores, firewall, IHM, PLC, UTRs(remoto terminal único), reles, atuadores, sensores.

Cyber Ativo é qualquer dispositivo conectado via algum protocolo rotavel, que limita um papel de um ciber ativo para esses dispositivos de comunicação de um rede LAN rotavel

Cyber Critico  cuja a operação pode avetar o sistema de energia.

A definicação ampla de ativo é para fim de estender cyber segurança para os dispositivos não rotais como o UTRs que tem sido um explorado constantemente como o que ocorreu em 2010 um surto de Stuxnet afetando varias redes industriais.