Industrial Security: Red Team Operations it-sa 2016, Forum Blau
Audits Trainings Intelligence
Audits IT Penetration Tests Social Engineering Physical Security Tests
Audits Tiger Team Assessments Critical Thinking
IT Hacking Social Engineering Physical Security Es gibt immer mehrere Wege zum Ziel
Angriffspfad abhängig von dem eigentlichen Ziel-Asset den zur Verfügung stehenden Mitteln der zur Verfügung stehenden Zeit der Unternehmenskultur der Umsetzung des Sicherheitskonzepts
2010-Cyber- Physical-Attack Beispiel
Angriff auf Öl-Pipeline in Türkei Explosion der Baku-Tbilisi-Ceyhan (BTC) Pipeline 7. August 2008 in Erzincan (Türkei) Zentrale Überwachung Druck, Durchfluss, Wireless und Satellit
Angriff auf Öl-Pipeline in Türkei Entdeckung 40 Minuten später durch Erkennung der Rauchentwicklung (keine Alarme) Kameras als Eintrittspunkt zum Netzwerk Kompromittierung eines Windows-Rechners und Infizierung mit Malware Manipulation der Ventile (Druck) Jamming der Satellitenverbindung
Industrie als Ziel
IT Security Assessment Definition des Angreifers Risikoanalyse aller Bereiche (IT, SE, Physical Sec.) Ermittlung möglicher Angriffspfade Praktischer Test der Angriffspfade Maßnahmen zur Minimierung der Risiken
IT Hacking Szenario #1
IT Hacking
Ukraine Beispiel
Ukraine Angriff auf das Stromn. Stromausfall am 23. Dezember 2015 Ausfall von 7 110 kv und 23 35 kv Umspannw. 3 Verteilerfirmen waren betroffen 225.000 Menschen ohne Strom
Ukraine Übersicht TLP: White Analysis of the Cyber Attack on the Ukrainian Power Grid, SANS
Ukraine Phishing E-Mail Black Energy Malware TLP: White Analysis of the Cyber Attack on the Ukrainian Power Grid, SANS
Ukraine OT Netzwerk TLP: White Analysis of the Cyber Attack on the Ukrainian Power Grid, SANS
Beispiel Phishing: Intelligence Gathering Vorbereitung des Payloads Umgehung von AntiVirus-Software Verteilung von Schadsoftware http://www.greatlaketaupo.com
Beispiel: Maltego für OSINT
Beispiel: Facebook für OSINT
Social Engineering Physischer Angriff Szenario #2
Physischer & SE Angriff
Typische Angriffspunkte Türen sind zugefallen, nicht verschlossen Einsatz von billigen Schließzylindern Unzureichende Videoüberwachung Keine Alarmüberwachung Authentifizierungssystem angreifbar
Beispiel Schließzylinder: Abbrechen von überstehenden Zylindern Nachsperren mit Dietrich Angriff über Sperrpistole Bumping
Typische Angriffspunkte Beispiel Alarmanlagen: Umgehung der Melder (Ausrichtung) Jamming von Funksignalen Angriff auf Fernsteuerung Angriff auf Zentrale IKT-Sicherheitskonferenz 2016, Oktober 2016
Beispiel Videoüberwachung: Umgehung der Kameras (Ausrichtung) Jamming von Funksignalen Angriff auf Zentrale Direkter Zugriff auf das Netzwerk
Beispiel Mifare Classic 1k / 4k: Berechnung der Schlüssel möglich Kopie mit bekannten Schlüsseln innerhalb Sekunden möglich Entwickelte App ermöglicht Kopie per Telefon
Kombinierter Angriff Szenario #3
Physischer & SE Angriff
Typische Aktivitäten Fotografie / Kopie von wichtigen Dokumenten Kopie von Zutrittskarten / Schlüsseln Sichern des Zugriffs auf das Netzwerk Backdoor auf ein oder mehreren Assets
Beispiel Zugriff auf: Rechner durch Backdoor Rechner durch DMA-Angriffe Rechner durch Boot-Angriffe Netzwerk durch Mini-Computer Netzwerk durch Rogue AP
Mögl. Aktivitäten in Industrie Installation von Backdoors auf Komponenten Diebstahl von Informationen Manipulation von Archiv-Systemen Angriff auf Netzwerkverkehr (HMI, PLC) Parametrierung / Firmwareupdate von PLCs
Viele Angriffsmöglichkeiten aber was nun?
Schutzmaßnahmen Einbeziehung aller Domänen in die Risikobetrachtung Effizienter Einsatz des Sicherheits-Budgets Überwachung und Reaktion bei Alarmen Installation eines Incident Response Plans Kontinuierliche Verbesserung
Thomas Hackner MSc, Security Consultant E-Mail: t.hackner@hackner-security.com Web: http://www.hackner-security.com