hacking scada
DESCRIPTION
Charla impartida por Rubén Santamarta en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.TRANSCRIPT
S C A D AS C A D A● SUPERVISORY CONTROL AND DATA ACQUISITIONSUPERVISORY CONTROL AND DATA ACQUISITION
ANTESANTES
● NECESIDAD DE CONTROL DE GRANDES PLANTAS DE PRODUCCIÓNNECESIDAD DE CONTROL DE GRANDES PLANTAS DE PRODUCCIÓN
● EVITAR EL FALLO HUMANOEVITAR EL FALLO HUMANO
AHORAAHORA
● TELECONTROLTELECONTROL
● MONITORIZACIÓN PERMANENTEMONITORIZACIÓN PERMANENTE
● TELEMETRÍA TELEMETRÍA
● OPTIMIZACIÓN DE LA PRODUCCIÓNOPTIMIZACIÓN DE LA PRODUCCIÓN
● SMART METERINGSMART METERING
SUPERVISORY SUPERVISORY CONTROLCONTROL
DATADATAACQUISITIONACQUISITION
3Infraestructuras CríticasInfraestructuras Críticas
• SECTORESSECTORES
• ENERGÉTICO
• HÍDRICO
• SANITARIO
• ALIMENTACION
• TELECOMUNICACIONES
• TRANSPORTES
• ADMINISTRACIÓN
“Aquellas instalaciones, redes, servicios y equipos físicos y de tecnologíaDe la información cuya interrupción o destrucción produciría un impactoMayor en la salud, seguridad o el bienestar económico de los ciudadanosO en el eficaz funcionamiento de la Administracion”
ARQUITECTURAS DE SISTEMAS ARQUITECTURAS DE SISTEMAS DE CONTROL INDUSTRIALDE CONTROL INDUSTRIAL
ELEMENTOS DE ANTESELEMENTOS DE ANTES
● DISPOSITIVOS DE CAMPO
● BUSES DE CAMPO
● REDES AISLADAS
● PLCs/RTUs ● HMI
ARQUITECTURAS DE SISTEMAS ARQUITECTURAS DE SISTEMAS DE CONTROL INDUSTRIAL IIDE CONTROL INDUSTRIAL II
ELEMENTOS NUEVOSELEMENTOS NUEVOS
LA NUBE
ROUTERS!!!!ROUTERS!!!!
SERVIDORESSERVIDORES
PERSONAS PERSONAS HUMANAS CON HUMANAS CON FACEBOOK!!!!FACEBOOK!!!!
INTERNEEEEEL!!INTERNEEEEEL!!
GATEWAYSGATEWAYS
WIRELESS
MODEMS!!!MODEMS!!!
SMSsSMSs
MÓVILESMÓVILES
TELECONTROL
REMOTE REMOTE HMIHMI
PDAs
ARQUITECTURA DE SISTEMAS ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL IIIDE CONTROL INDUSTRIAL III
¿CÓMO ADECUAR LOS SISTEMAS DE ¿CÓMO ADECUAR LOS SISTEMAS DE ANTES A LAS NECESIDADES DE AHORA?ANTES A LAS NECESIDADES DE AHORA?
PLCPLC GATEWAYGATEWAY PCPCBUS ETHERNET
PLCPLC GATEWAYGATEWAY PCPC
MODBUS/TCPMODBUS/RTU
MODBUS/TCP – PORT 502MODBUS/RTU – RS-232 RS-485 etc...
ARQUITECTURA DE SISTEMAS ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL IVDE CONTROL INDUSTRIAL IV
Gateway
PLCs/RTUs/DCSs
HMI
DATA
SCADA PC/Operador
REDCORPORATIVA
Red industrial
OperadorRemoto
ETHERNET
ROUTERINDUSTRIAL
VPN
SIN VPN Browser/Softwarepropietario
INTERNET
REDES “ABIERTAS”REDES “ABIERTAS”
ARQUITECTURA DE SISTEMAS ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL VDE CONTROL INDUSTRIAL V
““SIM-AND-BROWSER” DEVICESSIM-AND-BROWSER” DEVICES
● RTU/PLC +GPRS/EDGE/3G +WEBSERVER +GATEWAY = WIN!!
INFRAESTRUCTURA
S&B
TELEMETRÍA
TELECONTROL
Browser
● HMI => Browser
ARQUITECTURA DE SISTEMAS ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL VIDE CONTROL INDUSTRIAL VI
REDES AISLADAS
● INSTALACIONES NUCLEARES● STUXNET
Centrifugadoras
HMI
SCADA PCs
STUXNETSTUXNET
p0wnedp0wned ● 4 0DAYS
● ESTABILIDAD MÁXIMA
● TOTALMENTE DIRIGIDO
● AUTÓNOMO
● MENSAJES “Escondidos”
● UN ARMA HECHA DE BYTES
● Afectó a sistemas de empresas españolas● http://www.caf.es/caste/home/index.php
ATACANDO SISTEMAS SCADAATACANDO SISTEMAS SCADA
¿POR QUÉ ATACAR SISTEMAS INDUSTRIALES?¿POR QUÉ ATACAR SISTEMAS INDUSTRIALES?
● GEOPOLÍTICA/CIBERGUERRA
● EXTORSIÓN
● TERRORISMO
● APAGAR Y ENCENDER LUCES
● HACERLOS MÁS SEGUROS
FASESFASES
1. RECOPILACIÓN DE INFORMACIÓN SOBRE EL OBJETIVO
2. IDENTIFICACIÓN DE VECTORES DE ATAQUE
3. SIMULACIÓN DEL OBJETIVO EN NUESTRO ENTORNO
4. REVERSING DE PROTOCOLOS, FIRMWARE, SOFTWARE
5. REALIZACIÓN DE ATAQUE
1. RECOPILACIÓN DE INFORMACIÓN SOBRE EL OBJETIVO1. RECOPILACIÓN DE INFORMACIÓN SOBRE EL OBJETIVO
● OPEN SOURCE INTELLIGENCEOPEN SOURCE INTELLIGENCE
● Pliegos de proyectos (BOE...)● www.metromadrid.es/export/sites/metro/comun/proveedores/licitacion/6010900214/IO_09094_Cortafuegos_trafico_IP.pdf
● Documentación fabricante/integrador ● Noticias, notas de prensa
● http://www.ge-ip.com/es/news-events/detail/2680● CVs de ex-empleados
● http://www.araquebelagua.com/curriculum-vitae/● Revistas/webs especializadas
● http://www.railforum.net/
● INGENIERÍA SOCIALINGENIERÍA SOCIAL● Falsa oferta de trabajo
● “Egoniería” social
● Foros del sector● http://blog.48bits.com/2009/10/15/ingenieria-social-para-abrirte-camino-en-sistemas-opacos/
● INSIDERSINSIDERS
EJEMPLOEJEMPLO
2. IDENTIFICACIÓN DE VECTORES DE ATAQUE2. IDENTIFICACIÓN DE VECTORES DE ATAQUE
TIPODE
INSTALACIÓN
EXPUESTA SIM &BROWSER
AISLADA
SERVICIOSPROTOCOLOS
REDCONTRASEÑAS SOFTWARE
EMPLEADOSACCESOFÍSICO
3. SIMULACIÓN DEL OBJETIVO EN NUESTRO ENTORNO 3. SIMULACIÓN DEL OBJETIVO EN NUESTRO ENTORNO
●ADQUISICIÓN HARDWARE/SOFTWARE NECESARIO
●SIMULACIÓN DEL DISPOSITIVO● EMULADORES (HMI,MODBUS,LONWORKS...)● PILAS LIBRES (MODBUS,BACNET...)● MAPA DE REGISTROS (MODBUS)
● ALLEN-BRADLEY PANELVIEW SIMULATOR● FREE MODBUS PLC SIMULATOR
Data Type Common name Starting addressModbus Coils Bits, binary values, flags 00001Digital Inputs Binary inputs 10001Analog Inputs Binary inputs 30001Modbus Registers Analog values, variables 40001
4. REVERSING DE PROTOCOLOS, FIRMWARE,SOFTWARE 4. REVERSING DE PROTOCOLOS, FIRMWARE,SOFTWARE
PROTOCOLOS PROPIETARIOSPROTOCOLOS PROPIETARIOS
● ANÁLISIS DE TRAFICOANÁLISIS DE TRAFICO● REVERSING DE UTILIDADES DE CONFIGURACIÓNREVERSING DE UTILIDADES DE CONFIGURACIÓN● http://www.reversemode.com/index.php?option=com_content&task=view&id=65&Itemid=1
FIRMWAREFIRMWARE
HEADER + Compressed Blob● MIPS● ARM● Linux● WINDOWS CE
SOFTWARESOFTWARE
INFINITO+1
20Ejemplo
Conocer un sistema SCADASupervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos).
http://www.trihedral.com/trialsanddemos/demo/http://www.trihedral.com/trialsanddemos/demo/
21Ejemplo
Conocer un sistema SCADASupervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos).
http://www.trihedral.com/trialsanddemos/demo/http://www.trihedral.com/trialsanddemos/demo/
EJEMPLOSEJEMPLOS
c:\windows\system32\bwocxrun.ocx [WebAccess Client]
ADVANTECH
void sub_401000( /* [in] */ handle_t arg_1, ...)
MIDA.plw + MIDL.exe + Opcode 0x00 + others...
ADVANTECH
3. WebAccess does use RPC to communicate between Client andserver. But all the server side functions are password protected. With HTTPS and VPN, we think it is safe on the internet. It would be extremely complicate to reverse engineer the RPC code and the alter the data in WebAccess.
If txt_Password.Text <> Dlb_SMSPassword.Value Or txt_password.text = "" Then
msgbox "The Password is incorrect!!" & vbCrlf & "A passord is ...." & vbCrlf & "Contact your local distributor to get the password.",Vbexclamation,"Password"
Exit SubEnd If
TBOX
VARIOS
VARIOS
VARIOS
GRACIAS POR VENIR
¿preguntas? ¿dudas? ¿sugerencias?
Rubén Santamarta @reversemode www.reversemode.com