O vírus Stuxnet e a segurança das redes de automação ... · Como vingan ça, o empregado...

Standards

Certification

Education & Training

Publishing

Conferences & Exhibits

Novembro 2010 Copyright © 2010 ISA

O vírus Stuxnet e a segurança das redes de

automação industrial

ISA Brazil Automation 2010

1

Copyright © 2010 ISANovembro 2010 2

AGENDA

• Breve histórico dos incidentes de segurança da informação em redes de automação industrial;

• A atenção e os excessos da mídia não especializada;• O surgimento do vírus Stuxnet;• Características do vírus, estudos realizados e fatos concretos;• Algumas teorias;• Como podemos melhorar a segurança de nossas redes;• Alguns conceitos e aplicações básicas da norma ISA99;

Novembro 2010 Copyright © 2010 ISA 3

ANTES DO STUXNET

Maroochy Shire Sewage Spill 2000

Um ex-empregado de uma organização Australiana que desenvolve software para automação industrial, aplicou para uma vaga de emprego com o governo local e foi rejeitado. Como vingança, o empregado rejeitado utilizou-se de transmissores de radio para, num período de dois meses, realizar 46 invasões remotas aos controladores de uma estação de tratamento de esgoto. Ele alterou os dados de uma estação de bombeio, causando mal funcionamento na sua operação e lançando cerca de 264.000 galões de esgoto sem tratamento diretamente em rios e parques próximos a estação

Worcester Air Traffic Communications

1997

Um adolescente de Worcester, Massachusetts, desabilitou parte da rede de telefonia pública (PSTN) utilizando uma conexão dial-up através de um modem conectado ao sistema. Este evento desabilitou as linhas da torre de controle, segurança do aeroporto, brigada de incêndio, serviço meteorológico e empresas aéreas do aeroporto. Além disso, o ataque desabilitou o transmissor de rádio principal da torre, bem como outro transmissor que ativa as luzes de pouso da pista. Também foram impactadas cerca de 600 residências e empresas na cidade vizinha.

CSX Train Signaling System 2003O worm SOBIG foi considerado culpado por desativar os sistemas de sinalização ferroviário da costa leste dos EUA. O worm contaminou os computadores da empresa CSX Corp, responsável pela operação e controle desta malha.

Davis-Besse 2003

A agência reguladora de energia nuclear americana confirmou que o worm SQL Slammer, que afeta servidores de banco de dados Microsoft SQL Server, comprometeu uma rede privada na usina Davis-Besse, em Oak Harbor, desabilitando o sistema de EMS (emergency shutdown) por cerca de cinco horas. O worm também afetou a comunicação de toda a rede de automação e controle, deixando os controladores da planta incomunicáveis por cerca de seis horas.

Northeast Power Blackout 2003

Falha no processador de alarmes da rede SCADA da companhia First Energy, impediu que os operadores tivessem informações adequadas sobre as condições operacionais do grid elétrico. Como conseqüência, não foi possível detectar e ativar contramedidas para impedir que um problema iniciado numa das linhas de transmissão se propagasse para as demais, provocando um efeito cascata. A falha do sistema de alarmes foi causada por um vírus que afetou o servidor da aplicação.

Bellingham, Washington Gasoline Pipeline Failure

1999

Cerca de 237.000 galões de gasolina vazaram de um duto, incendiando-se cerca de uma hora e meia depois. O incêndio causou a morte de 3 pessoas. A falha no duto foi atribuída a incapacidade dos operadores do sistema SCADA de realizar suas funções de monitoração e controle, devido a baixa performance e resposta do sistema, que impediu os controladores de receber as informações adequadas sobre as condições do duto e da falha

Copyright © 2010 ISANovembro 2010

O ASSUNTO DA MODA…

4

Jornais e revistas descobriram que o tema é “quente” e atrai o interesse do público.

E de repente, tudo virou SCADA…alguém precisa avisá-los que nem tudo que é

automação é SCADA…

todo tipo de manufatura, refino, químicas… tudo é classificado como “scada”…

sim, existe DCS com funções de SCADA, e SCADA com funções DCS, mas dizer que tudo é SCADA na essência é

incorreto.

SCADA?

SCADA?

SCADA?


SCADA SE TORNOU “SEXY”…

5

Novembro 2010

MITOS E MIDIA HYPE

Copyright © 2009 ISA 6

Novembro 2010 7

MAS NÃO SE PODE ESQUECER…

que coisas quebram o tempo todo…muitas vezes, nem se nota…

bem, algumas vezes se percebe sim…mas a vida continua, não é o

Armageddon que a mídia anuncia…

Problemas não são impossíveis ouimprováveis, só não são triviais como

alguns tentam fazer parecer!

Novembro 2010

O QUE ELES NÃO SABEM É…

que a segurança do processo é a alma do negócio…

safety! safety! safety!

8

Novembro 2010

O QUE ELES NÃO SABEM É …

9

que há profissionais vigilantes…sempre…

Novembro 2010

O QUE ELES NÃO SABEM É …

10

que tudo é testado, simulado…várias vezes…


E ENTÃO O STUXNET

http://infrasecurity.wordpress.com/2010/07/22/novo-virus-usa-vulnerabilidade-do-windows-para-atacar-redes-scada/

• Primeiro malware desenvolvido exclusivamente para explorar falhas com objetivo de invadir sistemas de automação;

• Extremamente avançado e “silencioso”, há relatos de que foi detectado em 2009, porém ninguém tinha notado seu real propósito;

• Explora falhas até então desconhecidas do Windows, tomando o caminho inverso dos vírus tradicionais;

• Utiliza credenciais codificadas no software Siemens SIMATIC WinCC/Step 7 controller software para ganhar acesso irrestrito ao sistema

• Implementa várias formas de propagação, mas prefere o método off-line, através de mídias removíveis, como pen-drives;


FATOS… OU “O QUE SABEMOS”

• Implementa 4 exploits 0-day– Cada um vale milhares de dólares

no mercado negro (sim, existe um mercado de exploits!)

• Constrói um rede P2P (peer to peer), detectando outros hosts contaminados– Utiliza seus peers para enviar e

receber comandos e atualiza seu software a partir de outro peer

• Instala rootkits na forma de drivers de dispositivos assinados com certificados digitais válidos

http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdfInfected Hosts


MAIS FATOS...

• Procura pela presença de uma planta com PLC ou grupo de PLCs com características específicas:1. Quando invade uma máquina, tenta localizar estações de programação STEP 7;2. Se conseguir, altera as DLLs do software de modo a ocultar as alterações feitas na lógica

dos PLCs;3. Procura os modelos Siemens PLCs 6ES7-315-2 e 6ES7-417 e tenta identificar a presença

de certas strings e configurações;4. Se replica para todos os arquivos de projeto STEP 7 que encontrar (*.s7p, *.mcp e *.tmp);

• Se encontrar o que procura, inicia um processo para injetar código Step 7 nos PLCs:1. O driver PROFIBUS do PLC é substituído;2. O bloco de programação principal do PLC (Organizational Block 1) e o bloco primário de

watchdog (Org Block 35) sofrem grande modificação;3. Entre 17 e 32 novos blocos organizacionais e de dados são inseridos nos PLCs4. Estas modificações são invisíveis, pois o vírus oculta a sua presença alterando as DLLs

originais do Step 7 e do WinCC.

• Os PLCs modificados passam a esperar por um evento específico, monitorando o valor de uma variável:1. Se assumir o valor de 0xDEADF007, altera toda a lógica de execução do processo2. Impede a execução dos blocos originais.3. Como isso afeta o processo é desconhecido…

13


MAIS FATOS...

• Os autores sabiam o que estavam procurando e tomaram o cuidado para causar o mínimo de danos colaterais:1. Não executa modificações se os controladores não são baseados na

série S7-300 ou S7-400;2. Não interfere no processo caso não encontre as características

desejadas (veja próx. slide)

• Não se comporta como um vírus usado por grupos criminosos:1. Não rouba cartões de crédito, nem senhas...2. Não se espalha de forma indiscriminada3. Não transforma os hosts numa botnet4. Ele não ameaça causar sabotagem para conseguir extorsão, ele faz

sabotagem sem ameaçar...


Características do Processo Alvo

• Os PLCs devem estar associados a módulos de comunicação Profibus CP-342-5;• Os módulos Profibus, por sua vez, precisam estar conectados a uma série de Drivers Conversores

de Frequência de 2 fabricantes específicos, um da Finlândia e outro do Irã;• Estes conversores devem estar operando entre 807Hz e 1210Hz, velocidade considerada alta para

a maioria dos processos industriais de manufatura tradicionais;• Num período de vários meses, o Stuxnet modifica, durante curtos intervalos, o valor de output da

frequência destes drives, alterando a velocidade dos motores e sabotando o processo;

Nota: Low-harmonic frequency conveter drivers que operam acima de 600 Hz são protegidos contra exportação nos EUA pela Comissão de Energia Nuclear Americana.


Distribuição do vírus

• Irã desponta como a principal vítima do ataque, segundo dados da Symantec


QUESTÕES... OU “O QUE NÃO SABEMOS”

• Quem criou?– Melhor hipótese: agência de algum governo

• Por que foi criado?– Cyberwar?

• Ele cumpriu seu objetivo?• Ele continua ativo ou não? Por que não se

“removeu” dos sistemas após o ataque?• Novas versões estão a caminho?

17


TEORIAS... OU “O QUE IMAGINAMOS”

• Teoria #1: Desenvolvido por Israel ou EUA como arma para atacar o planta nuclear iraniana de Bushehr

• Teoria #2: Desenvolvido como um PoC (proof of concept) que acabou vazando

• Teoria #3: Desenvolvido pelas agências americanas como forma de aumentar a aprovação de fundos

• Teoria #5: o alvo seria as centrífugas de enriquecimento em Natanz e não o reator. Após o ataque do Stuxnet, o número de centrífugas ativas vem decaindo.

18


COMO ESTAR PREPARADO?

• Desenvolvendo e implementando um programa de segurança da informação para redes industriais

• Identificar e isolar as principais ameaças

• Há bastante material disponível

• ISA99

19


A NORMA ISA99

20

“Redes separadas

ou

interconectadas?

”

“Como gerenciar

os patches?”

“Quais são as

ameaças reais?”“Ter a Engenharia

ou TI gerenciando

a rede?”

“Como gerenciar

os riscos?”

“Quais produtos e

tecnologias são

adequados?”


TOMANDO COMO PREMISSA BÁSICA...

21

Tecnologias de Segurança de TI Adequadas,

Expertise em Segurança de Sistemas,

Expertise em Automação Industrial

Segurança Efetiva dos Sistemas de Automação =

f(

)


TÓPICOS COMUNS

22

Common Concepts, Models &

Terminology(ISA99.01.xx)

Management System

(ISA99.02.xx)

System Technical

Requirements

(ISA99.03.xx)

Component Technical

Requirements

(ISA99.04.xx)

Arquitetura de Referência e Modelos

Zonas e Conduítes

Requerimentos Fundamentais

Terminologia


ONDE SE POSICIONA...

23

IT S

ecur

ity P

olic

ies

and

Pra

ctic

es(I

SO

177

99)

Sec

urity

for

Indu

stria

l Aut

omat

ion

and

Con

trol

Sys

tem

s(I

SA

99)

Pro

cess

Saf

ety

(IS

A 8

4,

IEC

615

08,

IEC

615

11)

Business Planning & LogisticsPlant Production Scheduling,Operational Management, etc

ManufacturingOperations & Control

Dispatching Production, Detailed ProductionScheduling, Reliability Assurance, ...

BatchControl

DiscreteControl

ContinuousControl

Level 4

Level 3

Levels2,1,0


ISA99: UM TRABALHO EM ANDAMENTO…

24


ALGUNS CONCEITOS: CONDUÍTES E ZONAS

ZONA : Conforme item 3.2.116 da ISA–99.00.01–2007, a zona é um agrupamento de elementos lógicos ou físicos do ICS, que compartilham os mesmos requisitos de segurança.

CONDUÍTE : O item 3.2.27 define o conduíte como um grupo lógico de recursos de interconexão que protegem a comunicação e fluxo de dados entre duas zonas com requisitos de segurança distintos.

Uma zona possui limites e bordas bem definidas, e a sua política de segurança deve ser garantida por controles no seu interior, ou nestas bordas.

Zona HMIZona

Controladores

Conduíte

Novembro 2010 Copyright © 2010 ISA 26

ALGUNS CONCEITOS: ATRIBUTOS

Security Assurance Level Target (SALT): define o nível de segurança que se deseja para esta zona baseado na criticidade e potencial de impacto (conseqüência) que seus componentes possuem.

Security Assurance Level Capability (SALC): define o nível de segurança do componente, baseado nos recursos, tecnologias e funcionalidades nativas do equipamento.

Para que os objetivos de segurança sejam atingidos, estes os componentes (assets) e sua respectiva zona devem possuir atributos com o mesmo valor. Se eles não forem iguais, então, deve ser adicionado recursos de tecnologia de segurança.


UNINDO OS CONCEITOS…

27

Exemplo 1

Exemplo 2


COMO POR EM PRÁTICA NA PLANTA?

?

Re: Várias diretrizes em ISA99-03-02


VÁ COM CAUTELA, SEJA REALISTA…

• Comece simples, ganhe confiança;• Faça um diagnóstico comparando com as práticas

defindas na ISA-99.02.01• Aprenda mais, conhecendo melhor sua rede e onde

estão as principais ameaças;• Nem tudo se trata de firewalls, IPS, VPNs etc

– As vezes, só precisamos aparar as arestas, removendo os excessos: senhas default ou em branco, serviços desnecessários, usuários inativos…

• Lembre-se: perímetros (bordas) podem ser físicos ou lógicos.


Conheça seus sistemas...

• Consulte seus fornecedores– Principais fabricantes já homologaram soluções de

antivírus e outros agentes para grande parte de seus produtos;

• Verifique e pesquise sobre atualizações disponíveis;• Aprenda sobre Application Whitelisting

– Deixe rodar apenas aquilo que você conhece, bloqueie o resto:

http://infrasecurity.wordpress.com/2010/07/22/uma-alternativa-ao-antivirus/

• Performance e Safety são as prioridades: nunca instale um dispositivo de segurança de redes que possa impactá-las – teste antes e documente como fazer um bypass!

30


INFORME-SE, APRENDA, PERGUNTE…

31


Conclusões

• O Stuxnet não está interessado na sua empresa, portanto não há necessidade de pânico;

• O problema é o seu legado. O que será criado a partir dele. É isso que se deve temer e se preparar para estar protegido.

• É certo que o vírus está sendo estudado por outros desenvolvedores, que irão aprender a utilizar as DLLs do supervisório para fazer com que seus próprios vírus falem com os PLCs.

• O ataque do Stuxnet só foi tão invisível porque ele foi estruturado com muita informação interna sobre o processo e a planta alvo. Dificilmente outros ataques, na sua empresa por exemplo, seriam tão silenciosos, o que permitiria contramedidas manuais.

• Mesmo sem impactar seu processo, sua planta pode estar contaminada sem que você saiba, pois o vírus implanta um rootkit para ocultar a sua presença. Utilize as ferramentas de detecção e remoção disponíveis no site da Siemens.


PERGUNTAS

O vírus Stuxnet e a segurança das redes de automação ... · Como vingan ça, o empregado...

Documents

Transcript of O vírus Stuxnet e a segurança das redes de automação ... · Como vingan ça, o empregado...