[CLASS 2014] Palestra Técnica - Rafael Soares
-
Upload
ti-safe-seguranca-da-informacao -
Category
Technology
-
view
104 -
download
1
description
Transcript of [CLASS 2014] Palestra Técnica - Rafael Soares
Gerenciamento de Vulnerabilidades em Sistemas de
Controle Industriais
Rafael Ferreira!Sócio Diretor Té[email protected]
$ whoami
@rafaelsferreira
rafaelsoaresferreira
• Grupo Clavis
• Sócio Diretor Técnico
• Teste de Invasão em Redes, Sistemas e Aplicações
Agenda
• Sistemas de Controle Industriais
• Gerenciamento de Vulnerabilidades
• Estudos de Caso
• Conclusões
"Industrial control system (ICS) is a general term that encompasses several types of control systems, including supervisory control and data acquisition (SCADA) systems, distributed control systems (DCS), and
other control system configurations such as skid-mounted Programmable Logic Controllers (PLC) often found in the industrial
sectors and critical infrastructures.”
!
Fonte: NIST Special Publication 800-82
Sistemas de Controle Industriais
As 10 principais vulnerabilidades em sistemas de controles!Fonte: NERC - North American Eletric Reliability Council
1. Políticas e Processos Inadequados
2. Falha de Mecanismos de Defesa “em profundidade”
3. Controle de Acesso Remoto Insuficiente
4. Mecanismos de Administração Desprotegidos
5. Uso Inadequado de Redes sem Fio
Sistemas de Controle Industriais
As 10 principais vulnerabilidades em sistemas de controles!Fonte: NERC - North American Eletric Reliability Council
6. Uso não Dedicado de Canais para Comando e Controle
7. Mecanismos de Detecção e Registro de Anomalias Insuficiente
8. Uso não Autorizado ou Inapropriado de Softwares em Sistemas de Controle
9. Falha na Autenticação de Sistemas
10. Falha na Modelagem de Infraestruturas Críticas
Sistemas de Controle Industriais
• Auditoria é um processo cíclico.
• Verificação, Identificação e Mitigação.
• Importante atentar para o surgimento de novas vulnerabilidades (recomeço do ciclo).
Gerenciamento de Vulnerabilidades
• Mapeamento de Redes e de Dispositivos.
• Monitoramento pró-ativo e contínuo da rede.
• Auditoria de redes e gestão automatizada de vulnerabilidades.
Gerenciamento de Vulnerabilidades
Ciclo de Vida!
• Descoberta
• Priorização
• Avaliação
• Documentação
• Correção
• Verificação
Gerenciamento de Vulnerabilidades
• Possibilidade muito alta de ocorrência de efeitos colaterais e testes de experimentações por varreduras.
• Indisponibilidade, comportamento anômalo e falhas de operação.
• Ações incorretas podem causar perdas financeiras, danos físicos a equipamentos, ferimentos e até mortes.
• Utilização de técnicas "menos ativas" e menos intrusivas.
Gerenciamento de Vulnerabilidades
Identificação de: Cenário Comum Sistema de Controles Industriais
Hosts, dispositivos e redes Ping sweep (ex: hping)
Análise de arquivos de configuração e tabelas
de roteamento. Inspeção física.
verification (chasing
Serviços Scan de Portas (ex: nmap)
Verificações locais (ex: netstat).
Varredura em ambientes espelhados.
VulnerabilidadesScan de
Vulnerabilidades (ex: nessus)
Busca em base CVE. Varredura em
ambientes espelhados.
Gerenciamento de Vulnerabilidades
Estudos de Caso
• Controle de Tráfego Aéreo - Inglaterra - Março de 1997
• Acesso via modem dial up à rede de telefonia.
• Serviços críticos como torre de controle, policiamento, brigada de incêndio, meteorologia, logística, iluminação da pista e até impressão, ficaram incomunicáveis.
• Mais informações em:
http://www.cnn.com/TECH/computing/9803/18/juvenile.hacker/index.html
• Fornecimento de Gasolina - Estados Unidos - 1999
• Falha no sistema de monitoramento e controle da pressão nos dutos.
• Vazamento de 900 mil litros de gasolina.
• Além dos danos patrimoniais, 3 mortes e 8 feridos.
• Mais informações em:
http://www.ntsb.gov/news/2002/021008.htm
Estudos de Caso
• Tratamento de Lixo - Austrália - Abril de 2000
• Software malicioso instalado previamente por funcionário.
• Retaliação motivada por projeto reprovado.
• Aproximadamente 1000 litros de lixo despejados em rios e parques.
• Mais informações em:
http://www.theregister.co.uk/2001/10/31/hacker_jailed_for_revenge_sewage/
Estudos de Caso
• Usina Nuclear - Estados Unidos - Janeiro de 2003
• Software malicioso infectou servidores de banco de dados (Microsoft SQL Server) na rede privada da usina.
• Sistema de Monitoramento ficou fora do ar por pelo menos 5 horas.
• Os maiores danos foram causados pela grande quantidade de tráfego gerado pelo worm Slammer.
• Mais informações em:
http://www.securityfocus.com/news/6767
Estudos de Caso
• Sistema de Sinalização - Estados Unidos - Agosto de 2003
• Software malicioso infectou milhões de computadores.
• Uma série de composições de trem ficaram impossibilitadas de trafegar devido a falha na sinalização.
• Mais informações em:
http://www.cbsnews.com/stories/2003/08/21/tech/main569418.shtml
http://www.informationweek.com/story/showArticle.jhtml?articleID=13100807
Estudos de Caso
• Centrífugas Nucleares - Irã - Julho de 2010
• Utilização de software desenvolvido especificamente para sistemas de controle e automação -> Stuxnet Worm.
• Envolvia desde técnicas clássicas de contaminação ate exploração de zero days.
• Mais informações em:
http://www.seginfo.com.br/o-codigo-fonte-do-stuxnet-esta-disponivel-online/
Estudos de Caso
• Se algo está errado, você deve ser o primeiro a saber.
• Quanto mais rápida a resposta, melhor!
• Não existe sistema inviolável, é preciso monitorar de maneira contínua.
• Prepare-se pra tudo!
Conclusões