Hacking Industrial Control Systems - Angriff am Fließband [ Veranstaltung Ort ]

Transkript

1 Compass Security [The ICT-Security Experts] Hacking Industrial Control Systems - Angriff am Fließband [ Veranstaltung Ort ] Marco Di Filippo Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax team@csnc.de Darf ich mich vorstellen? Marco Di Filippo Seit 2008 bei Compass, ab 2012 als Managing Director CSDG verheiratet, eine Tochter Werdegang: Von der Elektrotechnik, über TK-Security zur IT-Security Kompetenzen Empirische Sicherheitsprüfungen ICT- Security (VoIP, PSTN, GSM ) Hobbys Meine zwei Frauen Fußball-Schiedsrichter Electronic Music ICT-Security Slide 2

2 Nach Feierabend... Slide 3 Compass Security Probieren geht über Studieren Slide 4

3 Einführung Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax Automatisierung im Alltag Slide 6

4 Automatisierung im Alltag Fertigung Prozesse Gebäude r2mvzjws&feature=plcp Bikinger, Raffinerie Schwechat, CC- Lizenz (BY 2.0) teakettle, u1, CC-Lizenz (BY 2.0) Transport BVzYaH_E Qualität Produktivität Paul-Gerhard Koch, Kaprun Bikinger, CC-Lizenz (BY 2.0) kritische Infrastruktur Alle Bilder stammen aus der kostenlosen Bilddatenbank Quelle: Ing. DI(FH) Herbert Dirnberger,, MA, CISM- Leiter der Arbeitsgruppe Sicherheit der industriellen Automation (CSA) Slide 7 Automatisierung in 2 min. SCADA HMI Bediener Sensor Steuerung Bussystem (Feldbus) Aktor Physikalischer Prozess Quelle: Ing. DI(FH) Herbert Dirnberger,, MA, CISM- Leiter der Arbeitsgruppe Sicherheit der industriellen Automation (CSA) Slide 8

5 Industrial Network Architecture Slide 9 Industrial Network Architecture Software-Schnittstellen für den Datenaustausch (OPC) OPC Client OPC Client greift auf die vom OPC Server bereitgestellten Daten zu und stellt diese in der Leitstation (GLT) grafisch dar. TCP/IP-Kommunikation OPC Server holt Prozessdaten über properitären Feldbus und stellt diese als OPC Objekte zur Verfügung. OPC Server Slide 10

6 Industrial Network Architecture Begriffserkla rung IACS Remote Maintenance Systems acquisition and development Industrial Automation and Control System (IACS) Applications (Controlling, Measurement) Services Integration (Middleware, Database) Infrastructure/Data Processing (Network, Network Devices, Facilities) Industrial Control System TCP/IP Threat Threat Threat Threat Threat Industrial IT - Security Embedded Security Operational Services Quelle: Dr. Thomas Sto rtkuhl - TU V SU D D AG Slide 11 Verständigung Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax team@csnc.de

7 Gegenseitiges Verständnis Verantwortlichkeit Wer ist verantwortlich für die IT- Sicherheit der ICAS? Electrician o. Producer Automation o.. Electro Engineer EDV, Administrator o. IT-Manager Slide 13 Gegenseitiges Verständnis Peripherie (Office-Network) Slide 14

8 Gegenseitiges Verständnis Peripherie (ICS-Network) Slide 15 Gegenseitiges Verständnis Lebenszyklen Slide 16

9 Gegenseitiges Verständnis Security vs. Safety Sind Ihre Anlagen sicher? Natürlich!!! Slide 17 Gegenseitiges Verständnis Schutzzielpriorisierung Confidentiality Integrity Availability Availability Availability Integrity Confidentiality Slide 18

10 Angriffsflächen Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax Industrial Network Architecture Ansatzpunkte möglicher Angriffe Slide 20

11 Industrial Network Architecture The Real World... Slide 21 Industrial Network Architecture The Real World... Slide 22

12 Industrielle IT-Security - Hype oder Notwendigkeit? Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax team@csnc.de Hype oder Notwendigkeit? Hallo, darf ich mich kurz vorstellen? Ich wurde im Juni 2010 entdeckt Ich beherrsche die Sabotage von Siemens SCADA-Komponenten (Simatic S7, WinCC) Mein Ziel ist der Eingriff im Frequenzumrichter (Vacon) Ich nutzte mehrere Zero-Day Exploits und ein Rootkit Fortgepflanzt habe ich mich via USB und Netzwerk Ich habe die Welt kurzzeitig in Angst und Schrecken versetzt Mein Name ist Stuxnet Stuxnet Slide 24

13 Hype oder Notwendigkeit? WORM_STUXNET.A RTKT_STUXNET.A LNK_STUXNET.A Konzept: threats.trendmicro.com/dumpimages/ jpeg Slide 25 Hype oder Notwendigkeit? Die Nachkommen! 2012 durch Kaspersky Labs entdeckt Seit spätestens März 2010 aktiv Infizierung über die Windows Update-Funktion Nutzt gefälschtes Code-Signing-Zertifikat Selbstzerstörung bei Entdeckung Ähnlichkeit zu Stuxnet und Duqu Ressourcenträchtig Flame Slide 26

14 Hype oder Notwendigkeit? Slide 27 Hype oder Notwendigkeit? Slide 28

15 Hype oder Notwendigkeit? EU Cybersecurity Strategie Jedes Mitgliedsland muss eine nationale NIS (Network and Information Security)-Behörde einrichten, bei der Sicherheitsvorfälle zentral gemeldet werde. Diese Behörden sollen auch als ICS-CERT fungieren. Kernbereiche (Energie, Transport, Banking, Finanz Transfer, Netz- Anbieter, Öffentliche Einrichtungen) müssen über ein geeignetes Risikomanagement die Bedrohungen aufzeigen und analysieren, sowie die identifizierten Informationen an die nationale NIS-Behörde weiterleiten. Diese nationalen Behörden sind erforderlich, um ein EU-weites Netzwerk zu bilden, welches mit der ENISA (European Network and Information Security Agency) zusammen an der Verbesserung der EU-weiten Cybersicherheit arbeitet. Gesetzestext und weitere Infos : ://ec.europa.eu/digital-agenda/en/cybersecurity agenda/en/cybersecurity Slide 29 Hype oder Notwendigkeit? Slide 30

16 Hype oder Notwendigkeit? Slide 31 Hype oder Notwendigkeit? Slide 32

17 24h Honeypot-Test S7-300 CPU CP up to 6 moduels 31 devices module www lights motors Slide h Honeypot-Test Ergebnisse 24 Angriffsversuche auf Anwendungsebene (XXS, API etc.) 13 nicht autorisierte Zugriffe auf Feldbusebene 4 direkte Eingriffe in den Steuerungsprozess Slide 34

18 Situation und Entwicklung Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax Situation und Entwicklung Ursprüngliche Anforderungen Autarke Netzfragmente Komplexe proprietäre u. technologiespezifische Protokolle Kopplung an überlagerte Systeme erfolgte in der Regel direkt Lokal begrenzte Störungen und Bedrohungen Fernwartung ausschließlich per Modem bei geringer Bandbreite Netz A Netz B Wartungspersona l Slide 36

19 Situation und Entwicklung Aktuelle Anforderungen Echtzeitfaḧigkeit Einheitliche Kommunikationsinfrastrukturen Standardprotokolle (TCP/IP, Web, Dateifreigaben) Durchga ngige Kommunikation von der Managementebene bis in die Feldebene Verknu pfung von ERP, MES & Automation Systems Zentrale/s Steuerung und Reporting Onlineu berwachung und breitbandige Fernwartung Slide 37 Situation und Entwicklung Automatisierungspyramide Quelle: Wikipedia Slide 38

20 LiveDemo [Attack Industrial Control Systems] Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax Simulationsaufbau S7-300 CPU CP up to 6 moduels 31 devices module lights motors + Slide 40

21 Gute Gründe für Industrial Security Weltweit öffentlich zugängliche Systeme Aber wie? Ich wurde im Juni 2010 entdeckt?????? Systeme mit bekannten Sch wachstellen Quelle: Éireann P. Leverett - Quantitatively Assessing and Visualising Industrial System Attack Surfaces Slide 41 Gute Gründe für Industrial Security Öffentlich zugängliche Systeme Slide 42

22 Gute Gründe für Industrial Security Öffentlich zugängliche Systeme Slide 43 Gute Gründe für Industrial Security Öffentlich zugängliche Systeme Slide 44

23 Gute Gründe für Industrial Security Beispiele Slide 45 WarGoogling 2.0 Noch einfacher... Slide 46

24 WarGooglling 2.0 Slide 47 Gute Gründe für Industrial Security Aber wie? Netzwerk Segmentierung des Produktionsnetzes Fernwartungskonzept Perimeter Security Gateway (Firewalls, IDS/IPS) Security Information and Event Management (SIEM) Schnittstelle Geräte- und Daten-Management (Device Control) System Systemsicherheit durch Härtung durch Whitelisting-Technologie (nicht scan-basierende Technologie) API Aufrufe von Prozessen, die sich nicht auf der Whitelist befinden werden unterbunden Schutz vor Buffer Overflows Slide 48

25 The Real World Needs Real Solutions Today Compass Security Deutschland GmbH Tauentzienstr. 18 De Berlin Tel Fax Gute Gründe für Industrial Security klassische AntiVirus Anwendung Application Whitelisting bekannte Blacklist what Bedrohungen (Viren, you don t Würmer, Trojaner) bekannte Whitelist what Anwendungen you trust (WinCC, etc ) Slide 50

26 Wissen ist Macht... Wir wollen niemanden zur einer Straftat anstiften! Alle gezeigten Informationen dienen ausschließlich dazu sie zu sensibilisieren! Denn nur wer um die Gefahren weiss, kann sich davor schützen. Wenn sie Fragen im Bereich IT Sicherheit haben, sprechen sie uns an. Slide 51 Offene Diskussion Slide 52

27 Vielen Dank! Vielen Dank für Ihre Aufmerksamkeit! Slide 53 Kontakt Compass Security Deutschland GmbH Tauentzienstr Berlin Germany Secure File Exchange: PGP-Fingerprint: Slideconcept: Review: Marco Di Filippo Laura-Louise Di Filippo Slide 54