Gerenciamento de Vulnerabilidades em Sistemas de

Controle Industriais

Rafael Ferreira!Sócio Diretor Técnico!rafael@clavis.com.br

$ whoami

rafael@clavis.com.br

@rafaelsferreira

rafaelsoaresferreira

• Grupo Clavis

• Sócio Diretor Técnico

• Teste de Invasão em Redes, Sistemas e Aplicações

Agenda

• Sistemas de Controle Industriais

• Gerenciamento de Vulnerabilidades

• Estudos de Caso

• Conclusões

"Industrial control system (ICS) is a general term that encompasses several types of control systems, including supervisory control and data acquisition (SCADA) systems, distributed control systems (DCS), and

other control system configurations such as skid-mounted Programmable Logic Controllers (PLC) often found in the industrial

sectors and critical infrastructures.”

!

Fonte: NIST Special Publication 800-82

Sistemas de Controle Industriais

As 10 principais vulnerabilidades em sistemas de controles!Fonte: NERC - North American Eletric Reliability Council

1. Políticas e Processos Inadequados

2. Falha de Mecanismos de Defesa “em profundidade”

3. Controle de Acesso Remoto Insuficiente

4. Mecanismos de Administração Desprotegidos

5. Uso Inadequado de Redes sem Fio

Sistemas de Controle Industriais

As 10 principais vulnerabilidades em sistemas de controles!Fonte: NERC - North American Eletric Reliability Council

6. Uso não Dedicado de Canais para Comando e Controle

7. Mecanismos de Detecção e Registro de Anomalias Insuficiente

8. Uso não Autorizado ou Inapropriado de Softwares em Sistemas de Controle

9. Falha na Autenticação de Sistemas

10. Falha na Modelagem de Infraestruturas Críticas

Sistemas de Controle Industriais

• Auditoria é um processo cíclico.

• Verificação, Identificação e Mitigação.

• Importante atentar para o surgimento de novas vulnerabilidades (recomeço do ciclo).

Gerenciamento de Vulnerabilidades

• Mapeamento de Redes e de Dispositivos.

• Monitoramento pró-ativo e contínuo da rede.

• Auditoria de redes e gestão automatizada de vulnerabilidades.

Gerenciamento de Vulnerabilidades

Ciclo de Vida!

• Descoberta

• Priorização

• Avaliação

• Documentação

• Correção

• Verificação

Gerenciamento de Vulnerabilidades

• Possibilidade muito alta de ocorrência de efeitos colaterais e testes de experimentações por varreduras.

• Indisponibilidade, comportamento anômalo e falhas de operação.

• Ações incorretas podem causar perdas financeiras, danos físicos a equipamentos, ferimentos e até mortes.

• Utilização de técnicas "menos ativas" e menos intrusivas.

Gerenciamento de Vulnerabilidades

Identificação de: Cenário Comum Sistema de Controles Industriais

Hosts, dispositivos e redes Ping sweep (ex: hping)

Análise de arquivos de configuração e tabelas

de roteamento. Inspeção física.

verification (chasing

Serviços Scan de Portas (ex: nmap)

Verificações locais (ex: netstat).

Varredura em ambientes espelhados.

VulnerabilidadesScan de

Vulnerabilidades (ex: nessus)

Busca em base CVE. Varredura em

ambientes espelhados.

Gerenciamento de Vulnerabilidades

Estudos de Caso

• Controle de Tráfego Aéreo - Inglaterra - Março de 1997

• Acesso via modem dial up à rede de telefonia.

• Serviços críticos como torre de controle, policiamento, brigada de incêndio, meteorologia, logística, iluminação da pista e até impressão, ficaram incomunicáveis.

• Mais informações em:

http://www.cnn.com/TECH/computing/9803/18/juvenile.hacker/index.html

• Fornecimento de Gasolina - Estados Unidos - 1999

• Falha no sistema de monitoramento e controle da pressão nos dutos.

• Vazamento de 900 mil litros de gasolina.

• Além dos danos patrimoniais, 3 mortes e 8 feridos.

• Mais informações em:

http://www.ntsb.gov/news/2002/021008.htm

Estudos de Caso

• Tratamento de Lixo - Austrália - Abril de 2000

• Software malicioso instalado previamente por funcionário.

• Retaliação motivada por projeto reprovado.

• Aproximadamente 1000 litros de lixo despejados em rios e parques.

• Mais informações em:

http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/

Estudos de Caso

• Usina Nuclear - Estados Unidos - Janeiro de 2003

• Software malicioso infectou servidores de banco de dados (Microsoft SQL Server) na rede privada da usina.

• Sistema de Monitoramento ficou fora do ar por pelo menos 5 horas.

• Os maiores danos foram causados pela grande quantidade de tráfego gerado pelo worm Slammer.

• Mais informações em:

http://www.securityfocus.com/news/6767

Estudos de Caso

• Sistema de Sinalização - Estados Unidos - Agosto de 2003

• Software malicioso infectou milhões de computadores.

• Uma série de composições de trem ficaram impossibilitadas de trafegar devido a falha na sinalização.

• Mais informações em:

http://www.cbsnews.com/stories/2003/08/21/tech/main569418.shtml

http://www.informationweek.com/story/showArticle.jhtml?articleID=13100807

Estudos de Caso

• Centrífugas Nucleares - Irã - Julho de 2010

• Utilização de software desenvolvido especificamente para sistemas de controle e automação -> Stuxnet Worm.

• Envolvia desde técnicas clássicas de contaminação ate exploração de zero days.

• Mais informações em:

http://www.seginfo.com.br/o-codigo-fonte-do-stuxnet-esta-disponivel-online/

Estudos de Caso

• Se algo está errado, você deve ser o primeiro a saber.

• Quanto mais rápida a resposta, melhor!

• Não existe sistema inviolável, é preciso monitorar de maneira contínua.

• Prepare-se pra tudo!

Conclusões

Muito Obrigado!

rafael@clavis.com.br

@rafaelsferreira

rafaelsoaresferreira