O vírus Stuxnet e a segurança das redes de automação ... · Como vingan ça, o empregado...
Transcript of O vírus Stuxnet e a segurança das redes de automação ... · Como vingan ça, o empregado...
Standards
Certification
Education & Training
Publishing
Conferences & Exhibits
Novembro 2010 Copyright © 2010 ISA
O vírus Stuxnet e a segurança das redes de
automação industrial
ISA Brazil Automation 2010
1
Copyright © 2010 ISANovembro 2010 2
AGENDA
• Breve histórico dos incidentes de segurança da informação em redes de automação industrial;
• A atenção e os excessos da mídia não especializada;• O surgimento do vírus Stuxnet;• Características do vírus, estudos realizados e fatos concretos;• Algumas teorias;• Como podemos melhorar a segurança de nossas redes;• Alguns conceitos e aplicações básicas da norma ISA99;
Novembro 2010 Copyright © 2010 ISA 3
ANTES DO STUXNET
Maroochy Shire Sewage Spill 2000
Um ex-empregado de uma organização Australiana que desenvolve software para automação industrial, aplicou para uma vaga de emprego com o governo local e foi rejeitado. Como vingança, o empregado rejeitado utilizou-se de transmissores de radio para, num período de dois meses, realizar 46 invasões remotas aos controladores de uma estação de tratamento de esgoto. Ele alterou os dados de uma estação de bombeio, causando mal funcionamento na sua operação e lançando cerca de 264.000 galões de esgoto sem tratamento diretamente em rios e parques próximos a estação
Worcester Air Traffic Communications
1997
Um adolescente de Worcester, Massachusetts, desabilitou parte da rede de telefonia pública (PSTN) utilizando uma conexão dial-up através de um modem conectado ao sistema. Este evento desabilitou as linhas da torre de controle, segurança do aeroporto, brigada de incêndio, serviço meteorológico e empresas aéreas do aeroporto. Além disso, o ataque desabilitou o transmissor de rádio principal da torre, bem como outro transmissor que ativa as luzes de pouso da pista. Também foram impactadas cerca de 600 residências e empresas na cidade vizinha.
CSX Train Signaling System 2003O worm SOBIG foi considerado culpado por desativar os sistemas de sinalização ferroviário da costa leste dos EUA. O worm contaminou os computadores da empresa CSX Corp, responsável pela operação e controle desta malha.
Davis-Besse 2003
A agência reguladora de energia nuclear americana confirmou que o worm SQL Slammer, que afeta servidores de banco de dados Microsoft SQL Server, comprometeu uma rede privada na usina Davis-Besse, em Oak Harbor, desabilitando o sistema de EMS (emergency shutdown) por cerca de cinco horas. O worm também afetou a comunicação de toda a rede de automação e controle, deixando os controladores da planta incomunicáveis por cerca de seis horas.
Northeast Power Blackout 2003
Falha no processador de alarmes da rede SCADA da companhia First Energy, impediu que os operadores tivessem informações adequadas sobre as condições operacionais do grid elétrico. Como conseqüência, não foi possível detectar e ativar contramedidas para impedir que um problema iniciado numa das linhas de transmissão se propagasse para as demais, provocando um efeito cascata. A falha do sistema de alarmes foi causada por um vírus que afetou o servidor da aplicação.
Bellingham, Washington Gasoline Pipeline Failure
1999
Cerca de 237.000 galões de gasolina vazaram de um duto, incendiando-se cerca de uma hora e meia depois. O incêndio causou a morte de 3 pessoas. A falha no duto foi atribuída a incapacidade dos operadores do sistema SCADA de realizar suas funções de monitoração e controle, devido a baixa performance e resposta do sistema, que impediu os controladores de receber as informações adequadas sobre as condições do duto e da falha
Copyright © 2010 ISANovembro 2010
O ASSUNTO DA MODA…
4
Jornais e revistas descobriram que o tema é “quente” e atrai o interesse do público.
E de repente, tudo virou SCADA…alguém precisa avisá-los que nem tudo que é
automação é SCADA…
todo tipo de manufatura, refino, químicas… tudo é classificado como “scada”…
sim, existe DCS com funções de SCADA, e SCADA com funções DCS, mas dizer que tudo é SCADA na essência é
incorreto.
SCADA?
SCADA?
SCADA?
Copyright © 2010 ISANovembro 2010
SCADA SE TORNOU “SEXY”…
5
Novembro 2010
MITOS E MIDIA HYPE
Copyright © 2009 ISA 6
Novembro 2010 7
MAS NÃO SE PODE ESQUECER…
que coisas quebram o tempo todo…muitas vezes, nem se nota…
bem, algumas vezes se percebe sim…mas a vida continua, não é o
Armageddon que a mídia anuncia…
Problemas não são impossíveis ouimprováveis, só não são triviais como
alguns tentam fazer parecer!
Novembro 2010
O QUE ELES NÃO SABEM É…
que a segurança do processo é a alma do negócio…
safety! safety! safety!
8
Novembro 2010
O QUE ELES NÃO SABEM É …
9
que há profissionais vigilantes…sempre…
Novembro 2010
O QUE ELES NÃO SABEM É …
10
que tudo é testado, simulado…várias vezes…
Copyright © 2010 ISANovembro 2010 11
E ENTÃO O STUXNET
http://infrasecurity.wordpress.com/2010/07/22/novo-virus-usa-vulnerabilidade-do-windows-para-atacar-redes-scada/
• Primeiro malware desenvolvido exclusivamente para explorar falhas com objetivo de invadir sistemas de automação;
• Extremamente avançado e “silencioso”, há relatos de que foi detectado em 2009, porém ninguém tinha notado seu real propósito;
• Explora falhas até então desconhecidas do Windows, tomando o caminho inverso dos vírus tradicionais;
• Utiliza credenciais codificadas no software Siemens SIMATIC WinCC/Step 7 controller software para ganhar acesso irrestrito ao sistema
• Implementa várias formas de propagação, mas prefere o método off-line, através de mídias removíveis, como pen-drives;
Copyright © 2010 ISANovembro 2010 12
FATOS… OU “O QUE SABEMOS”
• Implementa 4 exploits 0-day– Cada um vale milhares de dólares
no mercado negro (sim, existe um mercado de exploits!)
• Constrói um rede P2P (peer to peer), detectando outros hosts contaminados– Utiliza seus peers para enviar e
receber comandos e atualiza seu software a partir de outro peer
• Instala rootkits na forma de drivers de dispositivos assinados com certificados digitais válidos
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdfInfected Hosts
Novembro 2010 Copyright © 2010 ISA
MAIS FATOS...
• Procura pela presença de uma planta com PLC ou grupo de PLCs com características específicas:1. Quando invade uma máquina, tenta localizar estações de programação STEP 7;2. Se conseguir, altera as DLLs do software de modo a ocultar as alterações feitas na lógica
dos PLCs;3. Procura os modelos Siemens PLCs 6ES7-315-2 e 6ES7-417 e tenta identificar a presença
de certas strings e configurações;4. Se replica para todos os arquivos de projeto STEP 7 que encontrar (*.s7p, *.mcp e *.tmp);
• Se encontrar o que procura, inicia um processo para injetar código Step 7 nos PLCs:1. O driver PROFIBUS do PLC é substituído;2. O bloco de programação principal do PLC (Organizational Block 1) e o bloco primário de
watchdog (Org Block 35) sofrem grande modificação;3. Entre 17 e 32 novos blocos organizacionais e de dados são inseridos nos PLCs4. Estas modificações são invisíveis, pois o vírus oculta a sua presença alterando as DLLs
originais do Step 7 e do WinCC.
• Os PLCs modificados passam a esperar por um evento específico, monitorando o valor de uma variável:1. Se assumir o valor de 0xDEADF007, altera toda a lógica de execução do processo2. Impede a execução dos blocos originais.3. Como isso afeta o processo é desconhecido…
13
Novembro 2010 Copyright © 2010 ISA
MAIS FATOS...
• Os autores sabiam o que estavam procurando e tomaram o cuidado para causar o mínimo de danos colaterais:1. Não executa modificações se os controladores não são baseados na
série S7-300 ou S7-400;2. Não interfere no processo caso não encontre as características
desejadas (veja próx. slide)
• Não se comporta como um vírus usado por grupos criminosos:1. Não rouba cartões de crédito, nem senhas...2. Não se espalha de forma indiscriminada3. Não transforma os hosts numa botnet4. Ele não ameaça causar sabotagem para conseguir extorsão, ele faz
sabotagem sem ameaçar...
Novembro 2010 Copyright © 2010 ISA
Características do Processo Alvo
• Os PLCs devem estar associados a módulos de comunicação Profibus CP-342-5;• Os módulos Profibus, por sua vez, precisam estar conectados a uma série de Drivers Conversores
de Frequência de 2 fabricantes específicos, um da Finlândia e outro do Irã;• Estes conversores devem estar operando entre 807Hz e 1210Hz, velocidade considerada alta para
a maioria dos processos industriais de manufatura tradicionais;• Num período de vários meses, o Stuxnet modifica, durante curtos intervalos, o valor de output da
frequência destes drives, alterando a velocidade dos motores e sabotando o processo;
Nota: Low-harmonic frequency conveter drivers que operam acima de 600 Hz são protegidos contra exportação nos EUA pela Comissão de Energia Nuclear Americana.
Novembro 2010 Copyright © 2010 ISA
Distribuição do vírus
• Irã desponta como a principal vítima do ataque, segundo dados da Symantec
Novembro 2010 Copyright © 2010 ISA
QUESTÕES... OU “O QUE NÃO SABEMOS”
• Quem criou?– Melhor hipótese: agência de algum governo
• Por que foi criado?– Cyberwar?
• Ele cumpriu seu objetivo?• Ele continua ativo ou não? Por que não se
“removeu” dos sistemas após o ataque?• Novas versões estão a caminho?
17
Novembro 2010 Copyright © 2010 ISA
TEORIAS... OU “O QUE IMAGINAMOS”
• Teoria #1: Desenvolvido por Israel ou EUA como arma para atacar o planta nuclear iraniana de Bushehr
• Teoria #2: Desenvolvido como um PoC (proof of concept) que acabou vazando
• Teoria #3: Desenvolvido pelas agências americanas como forma de aumentar a aprovação de fundos
• Teoria #5: o alvo seria as centrífugas de enriquecimento em Natanz e não o reator. Após o ataque do Stuxnet, o número de centrífugas ativas vem decaindo.
18
Novembro 2010 Copyright © 2010 ISA
COMO ESTAR PREPARADO?
• Desenvolvendo e implementando um programa de segurança da informação para redes industriais
• Identificar e isolar as principais ameaças
• Há bastante material disponível
• ISA99
19
Novembro 2010 Copyright © 2010 ISA
A NORMA ISA99
20
“Redes separadas
ou
interconectadas?
”
“Como gerenciar
os patches?”
“Quais são as
ameaças reais?”“Ter a Engenharia
ou TI gerenciando
a rede?”
“Como gerenciar
os riscos?”
“Quais produtos e
tecnologias são
adequados?”
Novembro 2010 Copyright © 2010 ISA
TOMANDO COMO PREMISSA BÁSICA...
21
Tecnologias de Segurança de TI Adequadas,
Expertise em Segurança de Sistemas,
Expertise em Automação Industrial
Segurança Efetiva dos Sistemas de Automação =
f(
)
Novembro 2010 Copyright © 2010 ISA
TÓPICOS COMUNS
22
Common Concepts, Models &
Terminology(ISA99.01.xx)
Management System
(ISA99.02.xx)
System Technical
Requirements
(ISA99.03.xx)
Component Technical
Requirements
(ISA99.04.xx)
Arquitetura de Referência e Modelos
Zonas e Conduítes
Requerimentos Fundamentais
Terminologia
Novembro 2010 Copyright © 2010 ISA
ONDE SE POSICIONA...
23
IT S
ecur
ity P
olic
ies
and
Pra
ctic
es(I
SO
177
99)
Sec
urity
for
Indu
stria
l Aut
omat
ion
and
Con
trol
Sys
tem
s(I
SA
99)
Pro
cess
Saf
ety
(IS
A 8
4,
IEC
615
08,
IEC
615
11)
Business Planning & LogisticsPlant Production Scheduling,Operational Management, etc
ManufacturingOperations & Control
Dispatching Production, Detailed ProductionScheduling, Reliability Assurance, ...
BatchControl
DiscreteControl
ContinuousControl
Level 4
Level 3
Levels2,1,0
Copyright © 2010 ISANovembro 2010
ISA99: UM TRABALHO EM ANDAMENTO…
24
Copyright © 2010 ISANovembro 2010 25
ALGUNS CONCEITOS: CONDUÍTES E ZONAS
ZONA : Conforme item 3.2.116 da ISA–99.00.01–2007, a zona é um agrupamento de elementos lógicos ou físicos do ICS, que compartilham os mesmos requisitos de segurança.
CONDUÍTE : O item 3.2.27 define o conduíte como um grupo lógico de recursos de interconexão que protegem a comunicação e fluxo de dados entre duas zonas com requisitos de segurança distintos.
Uma zona possui limites e bordas bem definidas, e a sua política de segurança deve ser garantida por controles no seu interior, ou nestas bordas.
Zona HMIZona
Controladores
Conduíte
Novembro 2010 Copyright © 2010 ISA 26
ALGUNS CONCEITOS: ATRIBUTOS
Security Assurance Level Target (SALT): define o nível de segurança que se deseja para esta zona baseado na criticidade e potencial de impacto (conseqüência) que seus componentes possuem.
Security Assurance Level Capability (SALC): define o nível de segurança do componente, baseado nos recursos, tecnologias e funcionalidades nativas do equipamento.
Para que os objetivos de segurança sejam atingidos, estes os componentes (assets) e sua respectiva zona devem possuir atributos com o mesmo valor. Se eles não forem iguais, então, deve ser adicionado recursos de tecnologia de segurança.
Novembro 2010 Copyright © 2010 ISA
UNINDO OS CONCEITOS…
27
Exemplo 1
Exemplo 2
Copyright © 2010 ISANovembro 2010 28
COMO POR EM PRÁTICA NA PLANTA?
?
Re: Várias diretrizes em ISA99-03-02
Copyright © 2010 ISANovembro 2010 29
VÁ COM CAUTELA, SEJA REALISTA…
• Comece simples, ganhe confiança;• Faça um diagnóstico comparando com as práticas
defindas na ISA-99.02.01• Aprenda mais, conhecendo melhor sua rede e onde
estão as principais ameaças;• Nem tudo se trata de firewalls, IPS, VPNs etc
– As vezes, só precisamos aparar as arestas, removendo os excessos: senhas default ou em branco, serviços desnecessários, usuários inativos…
• Lembre-se: perímetros (bordas) podem ser físicos ou lógicos.
Novembro 2010 Copyright © 2010 ISA
Conheça seus sistemas...
• Consulte seus fornecedores– Principais fabricantes já homologaram soluções de
antivírus e outros agentes para grande parte de seus produtos;
• Verifique e pesquise sobre atualizações disponíveis;• Aprenda sobre Application Whitelisting
– Deixe rodar apenas aquilo que você conhece, bloqueie o resto:
http://infrasecurity.wordpress.com/2010/07/22/uma-alternativa-ao-antivirus/
• Performance e Safety são as prioridades: nunca instale um dispositivo de segurança de redes que possa impactá-las – teste antes e documente como fazer um bypass!
30
Novembro 2010 Copyright © 2010 ISA
INFORME-SE, APRENDA, PERGUNTE…
31
Novembro 2010 Copyright © 2010 ISA
Conclusões
• O Stuxnet não está interessado na sua empresa, portanto não há necessidade de pânico;
• O problema é o seu legado. O que será criado a partir dele. É isso que se deve temer e se preparar para estar protegido.
• É certo que o vírus está sendo estudado por outros desenvolvedores, que irão aprender a utilizar as DLLs do supervisório para fazer com que seus próprios vírus falem com os PLCs.
• O ataque do Stuxnet só foi tão invisível porque ele foi estruturado com muita informação interna sobre o processo e a planta alvo. Dificilmente outros ataques, na sua empresa por exemplo, seriam tão silenciosos, o que permitiria contramedidas manuais.
• Mesmo sem impactar seu processo, sua planta pode estar contaminada sem que você saiba, pois o vírus implanta um rootkit para ocultar a sua presença. Utilize as ferramentas de detecção e remoção disponíveis no site da Siemens.
Copyright © 2010 ISANovembro 2010 33
PERGUNTAS