Industrial Security: Red Team Operations. it-sa 2016, Forum Blau

Transkript

1 Industrial Security: Red Team Operations it-sa 2016, Forum Blau

2 Audits Trainings Intelligence

3 Audits IT Penetration Tests Social Engineering Physical Security Tests

4 Audits Tiger Team Assessments Critical Thinking

5 IT Hacking Social Engineering Physical Security Es gibt immer mehrere Wege zum Ziel

6 Angriffspfad abhängig von dem eigentlichen Ziel-Asset den zur Verfügung stehenden Mitteln der zur Verfügung stehenden Zeit der Unternehmenskultur der Umsetzung des Sicherheitskonzepts

7 2010-Cyber- Physical-Attack Beispiel

8 Angriff auf Öl-Pipeline in Türkei Explosion der Baku-Tbilisi-Ceyhan (BTC) Pipeline 7. August 2008 in Erzincan (Türkei) Zentrale Überwachung Druck, Durchfluss, Wireless und Satellit

9 Angriff auf Öl-Pipeline in Türkei Entdeckung 40 Minuten später durch Erkennung der Rauchentwicklung (keine Alarme) Kameras als Eintrittspunkt zum Netzwerk Kompromittierung eines Windows-Rechners und Infizierung mit Malware Manipulation der Ventile (Druck) Jamming der Satellitenverbindung

10 Industrie als Ziel

11 IT Security Assessment Definition des Angreifers Risikoanalyse aller Bereiche (IT, SE, Physical Sec.) Ermittlung möglicher Angriffspfade Praktischer Test der Angriffspfade Maßnahmen zur Minimierung der Risiken

12 IT Hacking Szenario #1

13 IT Hacking

14 Ukraine Beispiel

15 Ukraine Angriff auf das Stromn. Stromausfall am 23. Dezember 2015 Ausfall von kv und kv Umspannw. 3 Verteilerfirmen waren betroffen Menschen ohne Strom

16 Ukraine Übersicht TLP: White Analysis of the Cyber Attack on the Ukrainian Power Grid, SANS

17 Ukraine Phishing Black Energy Malware TLP: White Analysis of the Cyber Attack on the Ukrainian Power Grid, SANS

18 Ukraine OT Netzwerk TLP: White Analysis of the Cyber Attack on the Ukrainian Power Grid, SANS

19 Beispiel Phishing: Intelligence Gathering Vorbereitung des Payloads Umgehung von AntiVirus-Software Verteilung von Schadsoftware

20 Beispiel: Maltego für OSINT

21 Beispiel: Facebook für OSINT

22 Social Engineering Physischer Angriff Szenario #2

23 Physischer & SE Angriff

24 Typische Angriffspunkte Türen sind zugefallen, nicht verschlossen Einsatz von billigen Schließzylindern Unzureichende Videoüberwachung Keine Alarmüberwachung Authentifizierungssystem angreifbar

25 Beispiel Schließzylinder: Abbrechen von überstehenden Zylindern Nachsperren mit Dietrich Angriff über Sperrpistole Bumping

26 Typische Angriffspunkte Beispiel Alarmanlagen: Umgehung der Melder (Ausrichtung) Jamming von Funksignalen Angriff auf Fernsteuerung Angriff auf Zentrale IKT-Sicherheitskonferenz 2016, Oktober 2016

27 Beispiel Videoüberwachung: Umgehung der Kameras (Ausrichtung) Jamming von Funksignalen Angriff auf Zentrale Direkter Zugriff auf das Netzwerk

28 Beispiel Mifare Classic 1k / 4k: Berechnung der Schlüssel möglich Kopie mit bekannten Schlüsseln innerhalb Sekunden möglich Entwickelte App ermöglicht Kopie per Telefon

29 Kombinierter Angriff Szenario #3

30 Physischer & SE Angriff

31 Typische Aktivitäten Fotografie / Kopie von wichtigen Dokumenten Kopie von Zutrittskarten / Schlüsseln Sichern des Zugriffs auf das Netzwerk Backdoor auf ein oder mehreren Assets

32 Beispiel Zugriff auf: Rechner durch Backdoor Rechner durch DMA-Angriffe Rechner durch Boot-Angriffe Netzwerk durch Mini-Computer Netzwerk durch Rogue AP

33 Mögl. Aktivitäten in Industrie Installation von Backdoors auf Komponenten Diebstahl von Informationen Manipulation von Archiv-Systemen Angriff auf Netzwerkverkehr (HMI, PLC) Parametrierung / Firmwareupdate von PLCs

34 Viele Angriffsmöglichkeiten aber was nun?

35 Schutzmaßnahmen Einbeziehung aller Domänen in die Risikobetrachtung Effizienter Einsatz des Sicherheits-Budgets Überwachung und Reaktion bei Alarmen Installation eines Incident Response Plans Kontinuierliche Verbesserung

36 Thomas Hackner MSc, Security Consultant Web: