2. $ whoami
rafael@clavis.com.br
@rafaelsferreira
rafaelsoaresferreira
• Grupo Clavis
• Sócio Diretor Técnico
• Teste de Invasão em Redes, Sistemas e Aplicações
3. Agenda
• Sistemas de Controle Industriais
• Gerenciamento de Vulnerabilidades
• Estudos de Caso
• Conclusões
4. Sistemas de Controle Industriais
"Industrial control system (ICS) is a general term that encompasses
several types of control systems, including supervisory control and data
acquisition (SCADA) systems, distributed control systems (DCS), and
other control system configurations such as skid-mounted
Programmable Logic Controllers (PLC) often found in the industrial
sectors and critical infrastructures.”
!
Fonte: NIST Special Publication 800-82
5. Sistemas de Controle Industriais
As 10 principais vulnerabilidades em sistemas de controles!
Fonte: NERC - North American Eletric Reliability Council
1. Políticas e Processos Inadequados
2. Falha de Mecanismos de Defesa “em profundidade”
3. Controle de Acesso Remoto Insuficiente
4. Mecanismos de Administração Desprotegidos
5. Uso Inadequado de Redes sem Fio
6. Sistemas de Controle Industriais
As 10 principais vulnerabilidades em sistemas de controles!
Fonte: NERC - North American Eletric Reliability Council
6. Uso não Dedicado de Canais para Comando e Controle
7. Mecanismos de Detecção e Registro de Anomalias Insuficiente
8. Uso não Autorizado ou Inapropriado de Softwares em Sistemas de
Controle
9. Falha na Autenticação de Sistemas
10. Falha na Modelagem de Infraestruturas Críticas
7. Gerenciamento de Vulnerabilidades
• Auditoria é um processo cíclico.
• Verificação, Identificação e Mitigação.
• Importante atentar para o surgimento de novas vulnerabilidades
(recomeço do ciclo).
8. Gerenciamento de Vulnerabilidades
• Mapeamento de Redes e de Dispositivos.
• Monitoramento pró-ativo e contínuo da rede.
• Auditoria de redes e gestão automatizada de vulnerabilidades.
9. Ciclo de Vida!
• Descoberta
• Priorização
• Avaliação
• Documentação
• Correção
• Verificação
Gerenciamento de Vulnerabilidades
10. Gerenciamento de Vulnerabilidades
• Possibilidade muito alta de ocorrência de efeitos colaterais e testes
de experimentações por varreduras.
• Indisponibilidade, comportamento anômalo e falhas de operação.
• Ações incorretas podem causar perdas financeiras, danos físicos a
equipamentos, ferimentos e até mortes.
• Utilização de técnicas "menos ativas" e menos intrusivas.
11. Gerenciamento de Vulnerabilidades
Identificação de: Cenário Comum
Sistema de Controles
Industriais
Hosts, dispositivos e
redes
Ping sweep (ex: hping)
Análise de arquivos de
configuração e tabelas
de roteamento.
Inspeção física.
verification (chasing
Serviços
Scan de Portas (ex:
nmap)
Verificações locais (ex:
netstat).
Varredura em
ambientes espelhados.
Vulnerabilidades
Scan de
Vulnerabilidades (ex:
nessus)
Busca em base CVE.
Varredura em
ambientes espelhados.
12. Estudos de Caso
• Controle de Tráfego Aéreo - Inglaterra - Março de 1997
• Acesso via modem dial up à rede de telefonia.
• Serviços críticos como torre de controle, policiamento, brigada de
incêndio, meteorologia, logística, iluminação da pista e até
impressão, ficaram incomunicáveis.
• Mais informações em:
http://www.cnn.com/TECH/computing/9803/18/juvenile.hacker/
index.html
13. Estudos de Caso
• Fornecimento de Gasolina - Estados Unidos - 1999
• Falha no sistema de monitoramento e controle da pressão nos
dutos.
• Vazamento de 900 mil litros de gasolina.
• Além dos danos patrimoniais, 3 mortes e 8 feridos.
• Mais informações em:
http://www.ntsb.gov/news/2002/021008.htm
14. • Tratamento de Lixo - Austrália - Abril de 2000
• Software malicioso instalado previamente por funcionário.
• Retaliação motivada por projeto reprovado.
• Aproximadamente 1000 litros de lixo despejados em rios e parques.
• Mais informações em:
http://www.theregister.co.uk/2001/10/31/
hacker_jailed_for_revenge_sewage/
Estudos de Caso
15. • Usina Nuclear - Estados Unidos - Janeiro de 2003
• Software malicioso infectou servidores de banco de dados
(Microsoft SQL Server) na rede privada da usina.
• Sistema de Monitoramento ficou fora do ar por pelo menos 5 horas.
• Os maiores danos foram causados pela grande quantidade de
tráfego gerado pelo worm Slammer.
• Mais informações em:
http://www.securityfocus.com/news/6767
Estudos de Caso
16. Estudos de Caso
• Sistema de Sinalização - Estados Unidos - Agosto de 2003
• Software malicioso infectou milhões de computadores.
• Uma série de composições de trem ficaram impossibilitadas de
trafegar devido a falha na sinalização.
• Mais informações em:
http://www.cbsnews.com/stories/2003/08/21/tech/main569418.shtml
http://www.informationweek.com/story/showArticle.jhtml?
articleID=13100807
17. Estudos de Caso
• Centrífugas Nucleares - Irã - Julho de 2010
• Utilização de software desenvolvido especificamente para sistemas
de controle e automação -> Stuxnet Worm.
• Envolvia desde técnicas clássicas de contaminação ate exploração
de zero days.
• Mais informações em:
http://www.seginfo.com.br/o-codigo-fonte-do-stuxnet-esta-disponivel-online/
18. • Se algo está errado, você deve ser o primeiro a saber.
• Quanto mais rápida a resposta, melhor!
• Não existe sistema inviolável, é preciso monitorar de maneira
contínua.
• Prepare-se pra tudo!
Conclusões