Presentación realizada en el congreso Navaja Negra 2016 sobre como vulnerar edificios inteligentes para realizar ataques contra ciudades, los propios edificios o las organizaciones.
7. Eduardo Arriols Nuñez
Red Team Leader
Profesor universitario de grado y post-grado
OSWP, CSX, CEH, CHFI, ECSA, …
eduardo_arriols@innotecsystem.com
@_Hykeos
Whoami
12
23. Identificación de usuarios por defecto que según la versión de
manual aparecían o no en el documento (backdoor)
• guest / *****
• test / ****
• demo / ****
• admin / ***** (Directamente administrador)
En versiones mas modernas existen otros usuarios ampliamente
utilizados por defecto
• default / *******
• tridium / *******
• …
Vector de Ataque
1
24. Vector de Ataque
Se utiliza el acceso como el usuario identificado que únicamente
tiene permisos de lectura. Esto impide la posibilidad de realizar
acciones sobre el edifico.
2
25. Se analiza el sistema y se identifica la ruta del archivo de
configuración (Existen varios). El usuario tiene acceso de lectura a
los archivos de configuración donde se encuentran los usuarios y
su contraseña cifrada.
Vector de Ataque
3
26. Se identifica el directorio donde se encuentran todas las librerías
(no publicas) que utiliza el sistema. Entre las librerías, existe una
que contiene funciones para cifrar y descifrar.
Vector de Ataque
4
Obtención de librerías no publicas
27. Vector de Ataque
Creación de un simple script que haga uso de la librería para
descifrar las claves cifradas.
5
28. Acceso como usuario administrador al sistema BMS Tridium
Niagara y control completo del edificio.
Vector de Ataque
IMPORTANTE Versiones afectadas 1 y 2 (3 y 4 NO! Por ahora…)
6
29. Una vez se tiene acceso al software podemos realizar otras
muchas acciones sobre el sistema, algunas son:
- Acceso backups
- Acceso direccionamiento internos y JACE conectados
- Acceso a librerías, herramientas, licencias, …
- Acceso a archivos de configuración
Vector de Ataque
7
30. Uso de herramientas como Shodan y ZoomEye para localizar
dispositivos.
Localizando Sistemas Vulnerables
44. Automatizaciones de Acciones
- Obtención de información (Tipo de sistema, módulos
desplegados, usuarios y credenciales, organización, etc)
Autenticación realizada mediante cookie en Base64 (user@pass)
- Realización de acciones sobre el edificio en cuestión
- Alteración de las señales de determinados módulos
- Posibilidad de ‘congelar’ el edificio en un estado
- Automatizar acciones simultaneas sobre equipos en un mismo
área geográfica
45. Acceso a la Red Industrial*
Parte de los sistemas conectados tienen además habilitado el
servicio RDP, nateado contra la maquina que aloja el sistema BMS.
En la mayoría de casos probados, alguno de los usuarios existentes
en el software BMS es capaz de autenticarse por RDP.
46. Comprometiendo la Organización*
Cuando el edificio pertenece enteramente a una organización
puede encontrarse conectado a la red interna de dicha organización
con el objetivo de que sea gente interna quien tenga control de el.
53. Líneas Futuras de Investigación
Principalmente las líneas en las que se esta trabajando son:
- Publicación de scripts para la interacción y ataque sobre los
Smart-Building (Una vez finalizados).
- Realizar el análisis de las librerías y buscar funcionalidades como
subida de ficheros Evitar la necesidad de tener que utilizar RDP
para el acceso a la red interna (Ejemplo: Subir ReGeorg).
- Investigar nuevas versiones de Tridium Niagara (AX y v4).
- Realizar análisis por área geográfica de edificios vulnerables.
Las ciudades crecen cada vez mas y a través del IoT y el avance de las tecnologías se busca optimizar todo.
Un ejemplo, las Smart-Cities y dentro de ellas los Smart-Buildings que permiten un control centralizado del edificio
Pero… ¿Que peligros conllevan estos edificios para la ciudad, el propio edificio y o la organización?
Se os puede venir a la cabeza hacer el troll y jugar un tetris, que si, se podría pero sin duda hay cosas mucho mas preocupantes
La idea de la presentación es demostrar que de forma tremendamente sencilla y sin apenas conocimientos técnicos se podría hacer mucho daño.
Se hace uso de vulnerabilidades realmente simples y clasicas.
La idea de la presentación es demostrar que de forma tremendamente sencilla y sin apenas conocimientos técnicos se podría hacer mucho daño.
Se hace uso de vulnerabilidades realmente simples y clasicas.
Agenda de temas que serán tratados
Vamos a exponer de forma breve que es eso de las Smart-Cities
Nacen por la necesidad de gestionar mejor las ciudades y potenciadas por el avance del IoT
¿Qué es realmente una Smart-City? Una aglomeración de otros sistemas que dotan a la ciudad de una capacidad para hacerle la vida mas fácil a los ciudadanos y las organizaciones.
Subdivisión común de elementos dentro de una Smart-City
Vamos a ver ahora lo que son los Smart-Buildings o edificios inteligentes
La presentación se centra en este tipo de sistemas, que podrían servir como vector de entrada a la Smart-City en caso de tener esta un nivel suficiente de madurez.
Aun no teniéndolo podrían afectar mucho a la ciudad.
Tridium Niagara Fácil identificar los nuevos (Protocolo Niagara Fox)
Totales: ~50k
Versión 1 y 2: ~22k
Vulnerables: ~8k
Las claves también se puede obtener en otros sitios como el backup.
No utiliza un cifrado estándar, sino uno propio.
Posibilidad de acceder a los planos del edificio (intrusión física)
Es posible localizar mas de 5k de las versiones 1 y 2
Es posible localizar mas de 40k de las versiones 3 y 4
Todo con simples búsquedas. Realmente existen mas sistemas conectados
Existen ciudades donde se encuentran desplegados una gran cantidad de sistemas… ¿Ideas?
Vamos a ver ahora otras acciones que podríamos realizar además de tener control sobre la domótica del edificio en cuestión
Posibilidad de falsificar cualquier tipo de señal
¿Qué pasa si cortas la electricidad de un quirófano o una UVI y en el panel evitas que se muestre el cambio?
Trivial desarrollar pequeños scripts que interactúen con los edificios
Comentar que además la autenticación la realiza con el usuario y pass en Base64 como cookie
En España se han deshabilitado la mayoría durante los últimos meses (Se les aviso hace 2 años…)
Hace una año aproximadamente había muchos.
Puede tener algo que ver la guardia civil
Únicamente se ha basado en el ejercicio intrusión que fue realizado hace un par de años
Exponer la intrusión realizada
Hemos visto como seria posible vulnerar las versiones 1 y 2, pero… También es posible acceder a los sistemas 3 y 4 mediante la reutilización de credenciales del implantador en muchos casos.
Para ello es necesario un análisis de los usuarios y contraseñas por área geográfica. Esto ha sido probado en 3 ciudades donde existían bastantes sistemas y en los sistemas 3 y 4 el porcentaje de accesos mediante algún usuario reutilizado es alto
Vulnerar un edificio podría suponer vulnerar una Smart-City o por lo menos causar cierto daño en la ciudad
Ampliación de nuevo vectores de ataque y con ello nuevas amenazas
¿Que pasa si se coordina un ataque contra ciudades donde hay cientos de estos sistemas?
¿Qué pasa si se corta la electricidad de una zona de un hospital y se falsean los datos para que todo parezca normal, eliminando además las modificaciones realizada?
Como todo, bueno siempre y cuando se verifique la seguridad antes de exponerse
Politicas, procedimientos y poder auditar a los 3º
Se aceptan ideas nuevas y por supuesto colaboración en el tema
¿Alguien tiene un edificio que prestarme?