Die Legende vom Inselnetz -

Transkript

1 Die Legende vom Inselnetz - von Firewalls, Virenscannern, Intrusion Detection Systemen und deren Nutzlosigkeit von Oliver SUCKER/ 1

2 Wer wir sind Oliver SUCKER Sicherheitsforscher und Computer-Forensiker Geprüfter und anerkannter EDV-Sachverständiger mit Focus Sicherheit Erfahrung im Softwaremanagement in der Industrie seit 15 Jahren Erfahrung in Computersicherheit seit fast 30 Jahren Erstes Softwareprogramm im Alter von 11 Jahren geknackt Mein Senior Reinhard SUCKER Hat Industrieanlagen verschiedensten Branchen auf der ganzen Welt in Betrieb gesetzt Erfahrung in industriellem Engineering seit über 35 Jahren Hat über 40 Jahre für SIEMENS gearbeitet 2

3 Spezialgebiete (1): Sicherheit Funksysteme/M2M-Kommunikation WLAN GSM, DECT GPS BlueTooth ZigBee NFC, RFID,... 3

4 Spezialgebiete (2): Embedded Systeme Sicherheit/Reverse Engineering PLCs RTUs Router Switches SmartMeter... 4

5 Spezialgebiete (3): Penetration Testing, Forensik, Incident Response Penetration Testing, Audits Fuzzing, Debugging, Proof of Concept, Zero Day Exploit Entwicklung Incident Response Klassische Forensik, NetzwerkForensik, Speicher-Forensik 5

6 Häufig gehört: die Legende vom Inselnetz Was ist Wunschvorstellung? Was ist Realität? 6

7 Wirklich ein Inselnetz? verteilte Standorte VPN, Remote Access Cloud -Lösungen Datenträger Roaming ERP Level 4: Unternehmensebene MES Level 3: Betriebsleitebene SCADA SPS Ein-/Ausgangssignale Fertigung / Produktionsprozess Level 2: (Prozess-)Leitebene Level 1: Steuerungsebene Level 1: Feldebene Level 0: Prozessebene Geräte Roaming Tragbare Festplatten Notebooks Flash-Speicher (USB-Sticks) Tablets Optische Datenträger (CDs/DVDs/BluRays) Planen Gas, Wasser, Fernwärme, Elektrizität, Bahn Daten erfassen Verteilte Netze Smartphones 7

8 Häufig auftretende Probleme in der Praxis 'Default' oder leicht zu erratende Passwörter, nie geändert Allgemein bekannte Kennwörter Login mit vollen Administrator-Rechten Veraltete Software Veraltete Embedded Firmware Windows XP oder älter Fehlerhafte Implementierung oder Konfiguration Klartext-Protokolle ohne Verschlüsselung und Authentifizierung bzw. schwache Authentifizierung Zwei- oder mehrstufige Angriffe Angreifen ist einfacher als Verteidigen! Niemand überlebt den ersten PenTest! 8

9 Helfen bekannte Schutzlösungen? 9

10 Antivirus (1): Grundlagen und Besonderheiten im ICS-Umfeld Erkennungsmechanismen Musterbasiert ( reaktiv ) Verhaltensbasiert ( proaktiv ) Cloudbasiert Im ICS-Umfeld Echtzeitschutz, zeitgesteuerte Überprüfung normal deaktiviert (Performance!) Keine oder keine regelmäßigen Updates Cloudbasierter Ansatz funktioniert nicht! 10

11 Antivirus (2): Effizienz Erkennungsquote ~90% bei aktueller Muster-Datenbank bei bekannter Schadsoftware ("WildList") 2010: ~15-100% reaktiv (musterbasiert), Schnitt ~80% ~20-90% proaktiv (verhaltensbasiert) 2014 ~60-100% reaktiv (musterbasiert), Schnitt ~90% (besser) ~50-80% proaktiv (verhaltensbasiert) (schlechter!) 11

12 Antivirus (3): Effizienz Grafik

13 Antivirus (4): Effizienz Grafik

14 Antivirus (5): Konsequenzen für die Praxis Bei ~90% Erkennungsquote und täglich neuen Schadprogrammen [1] heißt das ~1Mio nicht erkannte Schädlinge kommen IN JEDEM FALL JEDEN MONAT NEU hinzu! Bei fehlender Aktualisierung der Muster-Datenbank und täglich neuen Schadprogrammen, von denen im Idealfall 80% erkannt werden ergeben sich rechnerisch 1,89Mio NEUE NICHT DETEKTIERTE SCHADPROGRAMME PRO MONAT OHNE UPDATE In einer Untersuchung[2] von AV-Comparatives[3] kam heraus, dass selbst die fast identisch erscheinenden sehr hohen Erkennungsquoten von Kaspersky (99,8%) und BitDefender (99,5%) zu 0,18% bzw. 3,6% Infektionen in Deutschland geführt haben. [1] Kaspersky Lab entdeckt täglich neue Schadprogramme [2] Virenscanner Testlabor analysiert das fehlende Prozent [3] AV-Comparatives Website 14

15 Antivirus (6): Visualisierte Fakten: Malware insgesamt 15

16 Antivirus (7): Visualisierte Fakten: Malware neu im Jahr 16

17 Antivirus (8): Angreifen leichter als verteidigen! Testen: VirusTotal [1] Testen: Underground Services Test mit verschiedenen Scannern, Dateien werden an AV-Hersteller weitergegeben [1] VirusTotal Website Test mit verschiedenen Scannern, Dateien werden NICHT an AV-Hersteller weitergegeben Scanner bekannt? Einfach abschalten! SIEMENS=> TrendMicro/Symantec 'Werbung' in -headern oder Betreff (bad idea ) 17

18 Antivirus (9): Beispiel GammaElaman FinFisher ( Staatstrojaner ) Geleaktes Dokument mit Erkennungsquoten "FinFisher" 35 Scanner 8 Scanner _TEILWEISE_ Warnungen 5 Scanner _TEILWEISE_ Erkennung 0 Scanner korrekte Erkennung 99%+ nicht erkannt 97%+ nicht einmal Warnung Gamma FinFisher Twitter Account veröffentlicht interne Dokumente über weltweit eingesetzten Staatstrojaner FinFisher und FinSpy: Twitter-Account veröffentlicht interne Dokumente über Staatstrojaner Trojaner-Hersteller FinFisher wurde vermutlich gehackt FinFisher-Hack zeigt Überwachung von Oppositionellen FinFisher-Hack zeigt Überwachung einer Regierungskommission 18

19 Antivirus (10): Vergrößerung der Angriffsfläche, Antivirus-Software tot Antivirussoftware kann selbst zum Sicherheitsrisko werden! [1] Mehrzahl der Programme schlecht geschrieben Warnung insbesondere vor Bitdefender und anderen Virenscannern, die die Bitdefender-Engine verwenden (F-Secure, G-Data, escan, LavaSoft, Immunet,...): beeindruckende Anzahl von Fehlern Symantec: Antivirus-Software tot [2] Derzeit 40% des Umsatzes mit Antivirus-Software [1] Schutzlose Wächter - Antiviren-Software als Sicherheitslücke [2] Symantec erklärt Antivirus-Software für tot 19

20 Firewalls Angreifbare Software/Dienste dahinter! Browser verbindet sich zu Website mit Schadsoftware (Browser, Adobe Flash, Java) /Datei mit Schadsoftware wird hinter Firewall geöffnet (Word, Excel, PowerPoint, PDF, Bild) Einzige Wirkung: schottet etwas Angriffsfläche ab Im LAN/Subnetz: meist ALLES erlaubt LAN->WAN: meist ALLES erlaubt Standard-Angriff: Reverse Shell 20

21 Intrusion Detection/Prevention Systeme (IDS/IPS) Erkennungsmechanismen Musterbasiert Antivirus Blacklists (RBL) Advanced Evasion Techniques (AET) Im ICS-Umfeld Intrusion Prevention normal deaktiviert Keine oder keine regelmäßigen Updates Kaum brauchbare Signaturmuster für Angriffe auf ICS/SCADA 21

22 Danke für Ihre Aufmerksamkeit! 22

23 Q&A 23

24 Also was tun? (1) Vorbeugen Erkennen Wiederherstellen, Fehler korrigieren! Vorbeugen Aktualisieren! Pentests & Audits Awareness-Schulungen Sicherungskopien, Desaster Recovery Übungen Whitelisting, Sofware Restriction Policies (SRP) Enhanced Mitigation Experience Toolkit (EMET) Gateway-System vom Netz abschirmen! 24

25 Also was tun? (2) Erkennen Zentrales Logging, SIEM (und auch reinschauen!) Incident Response: Speicherforensik Incident Response: Netzwerkforensik Incident Response: Klassische Forensik (Post Mortem Disk) Wiederherstellen Incident Response: Ausgenutzte Sicherheitslücke finden! Desaster Recovery Isoliert absichern! 25

26 Kontakt & Feedback Falls Sie Fragen zu dieser Präsentation haben, zögern Sie nicht mich zu kontaktieren. Jede Art von Feedback ist willkommen, seien es Kommentare, Fehler in der Präsentation, Kritik oder Anregungen für Verbesserungen. Falls die hier gegebenen Informationen nützlich für Sie waren, ziehen Sie uns bitte als Dienstleister in Betracht. Vielen Dank! Zu unseren Dienstleistungen gehören weiterhin: Software Deployment & Management/Software & Hardware Inventory, Integrity Management/Desaster Recovery Solutions, Vulnerability Assessment/Patch Management und Security Auditing, Intrusion Detection, Incident Response und Forensik aus einer Hand, ausgerichtet auf die Bedürfnisse von ICS und SCADA Netzwerk-Betreibern. Website: Blog: 26