Más contenido relacionado
Similar a (In)Seguridad Industrial 101
Similar a (In)Seguridad Industrial 101 (20)
Último
Último (20)
(In)Seguridad Industrial 101
- 1. (In)Seguridad Industrial 101 Mikel Iturbe Urretxa EuskalHack aurkezpena 2016-02-18 Donostia
- 2. $ whoami ● Doctorando en Mondragon Unibertsitatea ● Trabajando en la seguridad de redes industriales desde 2013 ● Detección y diagnosis de anomalías en redes industriales mediante el análisis de datos (In)Seguridad Industrial Mikel Iturbe Urretxa
- 3. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 4. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 5. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 6. Audiencia CC-BY-SA 2.0 Paul Keller @ Flickr
- 7. Puesta en escena CC-BY-SA 3.0 Anula Grzesiak (In)Seguridad Industrial Mikel Iturbe Urretxa
- 8. Sistemas de control CC-BY-SA 3.0 Kreuzschnabel, Schmimi1848, Wolkenkratzer, Brian Cantoni, Hermann Luyken, Beroesz (In)Seguridad Industrial Mikel Iturbe Urretxa
- 9. Sistemas de control ● PCS, DCS, SCADA, ICS, IACS, PLC... © 2016 Little Bobby All Rights Reserved (In)Seguridad Industrial Mikel Iturbe Urretxa
- 10. Reparto: PLCs CC-BY 2.0 Robert Kevin Moore @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 11. Reparto: PLCs CC-BY-SA 2.0 Ferruccio Zanone @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 12. Reparto: HMI & SCADA CC-BY-ND 2.0 Green Mamba @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 13. Reparto:Operadores © 2016 21st Century Fox All Rights Reserved (In)Seguridad Industrial Mikel Iturbe Urretxa
- 14. Guión: Protocolos ● Modbus, S7, MMS... – Diferentes protocolos, antiguos – Antes iban por líneas de serie y hoy en día van encima de TCP/IP – Autenticación, cifrado... (In)Seguridad Industrial Mikel Iturbe Urretxa
- 15. Personajes: ICS & IT Mi PC ABB PM856A-eA Memoria RAM 8 GB 16 MB Frecuencia del reloj del CPU 3,1 GHz 48 MHz Precio ~700€ ~2500€ (In)Seguridad Industrial Mikel Iturbe Urretxa
- 16. Problemas ● Las redes industriales están formadas por “ordenadores” especializados. ● Con hosts viejunos (años/décadas funcionando), que no se diseñaron para trabajar conectados a Internet. ● “Hay una segmentación absoluta entre la red de control y el exterior” más conocido como Air Gap. (In)Seguridad Industrial Mikel Iturbe Urretxa
- 17. Ya... Air Gap (In)Seguridad Industrial Mikel Iturbe Urretxa
- 18. Ya... Air Gap (In)Seguridad Industrial Mikel Iturbe Urretxa
- 19. ¿Y si son atacados? ● Aguas de Maroochy (Australia) – 142 estaciones de bombeo ● Ex-operador con material (soft y hard) robado ataca el sistema. ● >1 m de litros de aguas residuales sin tratar enviadas a ríos, parques... 2000 Slay, Jill, and Michael Miller. Lessons learned from the maroochy water breach. Springer US, 2007. CC-BY 2.0 USDA @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 20. ¿Y si son atacados? ● Aurora. ● En un entorno de experimentación, investigadores consiguieron sabotear generadores de electricidad mediante inyeccion de paquetes. 2000 → 2007 Zeller, Mark. "Myth or reality—Does the Aurora vulnerability pose a risk to my generator?." Protective Relay Engineers, 2011 64th Annual Conference for. IEEE, 2011. (In)Seguridad Industrial Mikel Iturbe Urretxa
- 21. ¿Y si son atacados? ● Stuxnet – Malware dirigido a sabotear el programa nuclear iraní – 4 zero-days – Equipamientos de Siemens – Sabotaje de centrifugadoras de uranio haciendolas girar más rápidamente 2000 → 2007 → 2010 Langner, Ralph. "Stuxnet: Dissecting a cyberwarfare weapon." Security & Privacy, IEEE 9.3 (2011): 49-51. (In)Seguridad Industrial Mikel Iturbe Urretxa
- 22. ¿Y si son atacados? ● Incidente de la acería alemana – No hay muchos detalles ● Quién, cuándo, dónde... – Spear-Phising → Red IT → Red OT – No se pudo apagar un alto horno de forma controlada, causando daños “masivos” 2000 → 2007 → 2010 → 2014 De Maizière, Thomas. "Die Lage Der IT-Sicherheit in Deutschland 2014." Federal Office for Information Security (2014). (In)Seguridad Industrial Mikel Iturbe Urretxa
- 23. ¿Y si son atacados? ● Red ucraniana de electricidad – Durante el invierno de 2015-16 – Variante de BlackEnergy – Miles de personas sin electricidad durante periodos breves 2000 → 2007 → 2010 → 2014 → 2015/2016 (In)Seguridad Industrial Mikel Iturbe Urretxa
- 24. Y otros... ● Sabotaje industrial ● Espionaje – Flame – Duqu (In)Seguridad Industrial Mikel Iturbe Urretxa
- 25. Empieza... (In)Seguridad Industrial Mikel Iturbe Urretxa
- 26. First job (In)Seguridad Industrial Mikel Iturbe Urretxa
- 29. Moraleja NUNCA hay que realizar auditorías, tests de intrusiones... activas en una instalación en marcha. En serio, nunca. Pueden (y suelen) pasar cosas impredecibles. (In)Seguridad Industrial Mikel Iturbe Urretxa
- 30. Testbed (aka los experimentos, con gaseosa) (In)Seguridad Industrial Mikel Iturbe Urretxa
- 31. Testbed CC-BY-SA 2.0 Nick Ares @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 32. Plantas Industriales ● http://www.ippe.com/Plants ● http://usedplants.com (In)Seguridad Industrial Mikel Iturbe Urretxa
- 33. Testbed (Plan B) CC-BY 2.0 Jason Rogers @ Flickr (In)Seguridad Industrial Mikel Iturbe Urretxa
- 34. Testbed ● Hardware: Equipamiento industrial – PLCs de segunda mano (In)Seguridad Industrial Mikel Iturbe Urretxa
- 35. Testbed ● Hardware: Switches (In)Seguridad Industrial Mikel Iturbe Urretxa
- 36. Testbed ● Juguetes – Bus Pirate – Taps – SDR – Convertores serial/usb/ethernet (In)Seguridad Industrial Mikel Iturbe Urretxa
- 37. Testbed ● Damn Vulnerable Chemical Process (DVCP) – Indispensable seguir el trabajo de Marina Krotofil y Jason Larsen – Modelos de Matlab/Simulink – TE: https://github.com/satejnik/DVCP-TE – VAM: https://github.com/satejnik/DVCP-VAM (In)Seguridad Industrial Mikel Iturbe Urretxa Krotofil, Marina, and Jason Larsen. "Rocking the pocket book: Hacking chemical plants." (2015).
- 38. Testbed (DVCP) (In)Seguridad Industrial Mikel Iturbe Urretxa
- 39. Testbed (DVCP) (In)Seguridad Industrial Mikel Iturbe Urretxa
- 40. Testbed (DVCP) ● Intrusiones a bajo nivel ● Entrenamiento ataques sofisticados – Disminuir la calidad/pureza del producto – Aumentar costes de producción ● Conocimientos de control (In)Seguridad Industrial Mikel Iturbe Urretxa
- 41. Testbed (Coms.) ● Muchos protocolos privados pero documentación pública y algunas implementaciones. ● Modbus – Pymodbus - Implementación completa Modbus. – Modsak - Modbus diagnostic program – Modbuspal - Simulador esclavo Modbus – Smod - Framework para Pentesting Modbus ● S7 – Wireshark dissector plugin – Snap7 - Implementación S7 (In)Seguridad Industrial Mikel Iturbe Urretxa
- 42. Testbed (Coms.) ● Protocolos privados sin documentación – Reversing ● Una vez especificado el protocolo... – Fuzzing! (In)Seguridad Industrial Mikel Iturbe Urretxa FOSDEM 2009 Reverse Engineering of Proprietary Protocols, Tools and Techniques
- 43. Honeypots ● Conpot – Siemens S7-200 – https://github.com/mushorg/conpot ● GridPot – Red eléctrica – https://github.com/sk4ld/gridpot ● Cosas a tener en cuenta – http://xiphosresearch.com/2015/12/09/OPSEC-For-Honeypots.html (In)Seguridad Industrial Mikel Iturbe Urretxa
- 45. Demo: Embotelladora ● Demo – Modelo virtuaplant desarrollada por Jan Seidl. ● https://github.com/jseidl/virtuaplant – Pygame, Pymodbus, Pymunk... – Ataques (In)Seguridad Industrial Mikel Iturbe Urretxa
- 46. thnx miturbe@mondragon.edu mikel@hamahiru.org Clave GPG: 0x8141DED2 Twitter: @azken_tximinoa Github: @mikeliturbe http://iturbe.info (In)Seguridad Industrial Mikel Iturbe Urretxa