SlideShare una empresa de Scribd logo

Hacking Scada

Eventos Creativos
Eventos Creativos

Charla impartida por Rubén Santamarta en el IV Curso de Verano de Seguridad Informática de la Universidad Europea de Madrid.

1 de 30
Descargar para leer sin conexión
Hacking Scada
SCADA ● SUPERVISORY CONTROL AND DATA ACQUISITION ANTES ● NECESIDAD DE CONTROL DE GRANDES PLANTAS DE PRODUCCIÓN ● EVITAR EL FALLO HUMANO AHORA ● TELECONTROL SUPERVISORY CONTROL ● MONITORIZACIÓN PERMANENTE ● TELEMETRÍA DATA ● OPTIMIZACIÓN DE LA PRODUCCIÓN ACQUISITION ● SMART METERING
Infraestructuras Críticas 3 “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología De la información cuya interrupción o destrucción produciría un impacto Mayor en la salud, seguridad o el bienestar económico de los ciudadanos O en el eficaz funcionamiento de la Administracion” • SECTORES • ENERGÉTICO • HÍDRICO • SANITARIO • ALIMENTACION • TELECOMUNICACIONES • TRANSPORTES • ADMINISTRACIÓN
ARQUITECTURAS DE SISTEMAS DE CONTROL INDUSTRIAL ELEMENTOS DE ANTES ● DISPOSITIVOS DE CAMPO ● BUSES DE CAMPO ● REDES AISLADAS ● PLCs/RTUs ● HMI
ARQUITECTURAS DE SISTEMAS DE CONTROL INDUSTRIAL II ELEMENTOS NUEVOS PDAs SERVIDORES REMOTE ROUTERS!!!! WIRELESS HMI INTERNEEEEEL!! LA NUBE SMSs GATEWAYS MÓVILES PERSONAS HUMANAS CON MODEMS!!! TELECONTROL FACEBOOK!!!!
Hacking Scada
ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL III ¿CÓMO ADECUAR LOS SISTEMAS DE ANTES A LAS NECESIDADES DE AHORA? BUS ETHERNET PLC PLC GATEWAY GATEWAY PC PC MODBUS/ MODBUS/TCP RTU PLC PLC GATEWAY GATEWAY PC PC MODBUS/TCP – PORT 502 MODBUS/RTU – RS-232 RS-485 etc...
ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL IV REDES “ABIERTAS” RED Red industrial INTERNET CORPORATIVA SCADA PC/Operador HMI Operador DATA Remoto ROUTER VPN INDUSTRIAL ETHERNET Gateway SIN VPN Browser/ Software propietario PLCs/RTUs/DCSs
ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL V “SIM-AND-BROWSER” DEVICES INFRAESTRUCTURA TELEMETRÍA S&B Browser TELECONTROL ● RTU/PLC +GPRS/EDGE/3G +WEBSERVER +GATEWAY = WIN!! ● HMI => Browser
ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL VI REDES AISLADAS SCADA PCs HMI Centrifugadoras ● INSTALACIONES NUCLEARES ● STUXNET
STUXNET p0wned ● 4 0DAYS ● ESTABILIDAD MÁXIMA ● TOTALMENTE DIRIGIDO ● AUTÓNOMO ● MENSAJES “Escondidos” ● UN ARMA HECHA DE BYTES ● Afectó a sistemas de empresas españolas ● http://www.caf.es/caste/home/index.php
ATACANDO SISTEMAS SCADA
¿POR QUÉ ATACAR SISTEMAS INDUSTRIALES? ● GEOPOLÍTICA/CIBERGUERRA ● EXTORSIÓN ● TERRORISMO ● APAGAR Y ENCENDER LUCES ● HACERLOS MÁS SEGUROS
FASES 1. RECOPILACIÓN DE INFORMACIÓN SOBRE EL OBJETIVO 2. IDENTIFICACIÓN DE VECTORES DE ATAQUE 3. SIMULACIÓN DEL OBJETIVO EN NUESTRO ENTORNO 4. REVERSING DE PROTOCOLOS, FIRMWARE, SOFTWARE 5. REALIZACIÓN DE ATAQUE
1. RECOPILACIÓN DE INFORMACIÓN SOBRE EL OBJETIVO ● OPEN SOURCE INTELLIGENCE ● Pliegos de proyectos (BOE...) ● www.metromadrid.es/export/sites/metro/comun/proveedores/licitacion/6010900214/IO_09094_Cortafuegos_trafico_IP.pdf ● Documentación fabricante/integrador ● Noticias, notas de prensa ● http://www.ge-ip.com/es/news-events/detail/2680 ● CVs de ex-empleados ● http://www.araquebelagua.com/curriculum-vitae/ ● Revistas/webs especializadas ● http://www.railforum.net/ ● INGENIERÍA SOCIAL ● Falsa oferta de trabajo ● “Egoniería” social ● Foros del sector ● http://blog.48bits.com/2009/10/15/ingenieria-social-para-abrirte-camino-en-sistemas-opacos/ ● INSIDERS
EJEMPLO
2. IDENTIFICACIÓN DE VECTORES DE ATAQUE TIPO DE INSTALACIÓN SIM EXPUESTA & AISLADA BROWSER PROTOCOLOS SERVICIOS CONTRASEÑAS SOFTWARE RED ACCESO EMPLEADOS FÍSICO
3. SIMULACIÓN DEL OBJETIVO EN NUESTRO ENTORNO ● ADQUISICIÓN HARDWARE/SOFTWARE NECESARIO ● SIMULACIÓN DEL DISPOSITIVO ● EMULADORES (HMI,MODBUS,LONWORKS...) ● PILAS LIBRES (MODBUS,BACNET...) ● MAPA DE REGISTROS (MODBUS) Data Type Common name Starting address Modbus Coils Bits, binary values, flags 00001 Digital Inputs Binary inputs 10001 Analog Inputs Binary inputs 30001 Modbus Registers Analog values, variables 40001 ● ALLEN-BRADLEY PANELVIEW SIMULATOR ● FREE MODBUS PLC SIMULATOR
4. REVERSING DE PROTOCOLOS, FIRMWARE,SOFTWARE PROTOCOLOS PROPIETARIOS ● ANÁLISIS DE TRAFICO ● REVERSING DE UTILIDADES DE CONFIGURACIÓN ● http://www.reversemode.com/index.php?option=com_content&task=view&id=65&Itemid=1 FIRMWARE HEADER + Compressed Blob ● MIPS ● ARM ● Linux ● WINDOWS CE SOFTWARE INFINITO+1
Ejemplo 20 Conocer un sistema SCADA Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos). http://www.trihedral.com/trialsanddemos/demo/
Ejemplo EJEMPLOS 21 Conocer un sistema SCADA Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos). http://www.trihedral.com/trialsanddemos/demo/
ADVANTECH c:windowssystem32bwocxrun.ocx [WebAccess Client]
ADVANTECH MIDA.plw + MIDL.exe + Opcode 0x00 + others... void sub_401000( /* [in] */ handle_t arg_1, ...) 3. WebAccess does use RPC to communicate between Client andserver. But all the server side functions are password protected. With HTTPS and VPN, we think it is safe on the internet. It would be extremely complicate to reverse engineer the RPC code and the alter the data in WebAccess.
TBOX If txt_Password.Text <> Dlb_SMSPassword.Value Or txt_password.text = "" Then msgbox "The Password is incorrect!!" & vbCrlf & "A passord is ...." & vbCrlf & "Contact your local distributor to get the password.",Vbexclamation,"Password" Exit Sub End If
VARIOS
VARIOS
VARIOS
Hacking Scada
Hacking Scada
GRACIAS POR VENIR ¿preguntas? ¿dudas? ¿sugerencias? Rubén Santamarta @reversemode www.reversemode.com

Más contenido relacionado

Hacking Scada

  • 2. SCADA ● SUPERVISORY CONTROL AND DATA ACQUISITION ANTES ● NECESIDAD DE CONTROL DE GRANDES PLANTAS DE PRODUCCIÓN ● EVITAR EL FALLO HUMANO AHORA ● TELECONTROL SUPERVISORY CONTROL ● MONITORIZACIÓN PERMANENTE ● TELEMETRÍA DATA ● OPTIMIZACIÓN DE LA PRODUCCIÓN ACQUISITION ● SMART METERING
  • 3. Infraestructuras Críticas 3 “Aquellas instalaciones, redes, servicios y equipos físicos y de tecnología De la información cuya interrupción o destrucción produciría un impacto Mayor en la salud, seguridad o el bienestar económico de los ciudadanos O en el eficaz funcionamiento de la Administracion” • SECTORES • ENERGÉTICO • HÍDRICO • SANITARIO • ALIMENTACION • TELECOMUNICACIONES • TRANSPORTES • ADMINISTRACIÓN
  • 4. ARQUITECTURAS DE SISTEMAS DE CONTROL INDUSTRIAL ELEMENTOS DE ANTES ● DISPOSITIVOS DE CAMPO ● BUSES DE CAMPO ● REDES AISLADAS ● PLCs/RTUs ● HMI
  • 5. ARQUITECTURAS DE SISTEMAS DE CONTROL INDUSTRIAL II ELEMENTOS NUEVOS PDAs SERVIDORES REMOTE ROUTERS!!!! WIRELESS HMI INTERNEEEEEL!! LA NUBE SMSs GATEWAYS MÓVILES PERSONAS HUMANAS CON MODEMS!!! TELECONTROL FACEBOOK!!!!
  • 7. ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL III ¿CÓMO ADECUAR LOS SISTEMAS DE ANTES A LAS NECESIDADES DE AHORA? BUS ETHERNET PLC PLC GATEWAY GATEWAY PC PC MODBUS/ MODBUS/TCP RTU PLC PLC GATEWAY GATEWAY PC PC MODBUS/TCP – PORT 502 MODBUS/RTU – RS-232 RS-485 etc...
  • 8. ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL IV REDES “ABIERTAS” RED Red industrial INTERNET CORPORATIVA SCADA PC/Operador HMI Operador DATA Remoto ROUTER VPN INDUSTRIAL ETHERNET Gateway SIN VPN Browser/ Software propietario PLCs/RTUs/DCSs
  • 9. ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL V “SIM-AND-BROWSER” DEVICES INFRAESTRUCTURA TELEMETRÍA S&B Browser TELECONTROL ● RTU/PLC +GPRS/EDGE/3G +WEBSERVER +GATEWAY = WIN!! ● HMI => Browser
  • 10. ARQUITECTURA DE SISTEMAS DE CONTROL INDUSTRIAL VI REDES AISLADAS SCADA PCs HMI Centrifugadoras ● INSTALACIONES NUCLEARES ● STUXNET
  • 11. STUXNET p0wned ● 4 0DAYS ● ESTABILIDAD MÁXIMA ● TOTALMENTE DIRIGIDO ● AUTÓNOMO ● MENSAJES “Escondidos” ● UN ARMA HECHA DE BYTES ● Afectó a sistemas de empresas españolas ● http://www.caf.es/caste/home/index.php
  • 13. ¿POR QUÉ ATACAR SISTEMAS INDUSTRIALES? ● GEOPOLÍTICA/CIBERGUERRA ● EXTORSIÓN ● TERRORISMO ● APAGAR Y ENCENDER LUCES ● HACERLOS MÁS SEGUROS
  • 14. FASES 1. RECOPILACIÓN DE INFORMACIÓN SOBRE EL OBJETIVO 2. IDENTIFICACIÓN DE VECTORES DE ATAQUE 3. SIMULACIÓN DEL OBJETIVO EN NUESTRO ENTORNO 4. REVERSING DE PROTOCOLOS, FIRMWARE, SOFTWARE 5. REALIZACIÓN DE ATAQUE
  • 15. 1. RECOPILACIÓN DE INFORMACIÓN SOBRE EL OBJETIVO ● OPEN SOURCE INTELLIGENCE ● Pliegos de proyectos (BOE...) ● www.metromadrid.es/export/sites/metro/comun/proveedores/licitacion/6010900214/IO_09094_Cortafuegos_trafico_IP.pdf ● Documentación fabricante/integrador ● Noticias, notas de prensa ● http://www.ge-ip.com/es/news-events/detail/2680 ● CVs de ex-empleados ● http://www.araquebelagua.com/curriculum-vitae/ ● Revistas/webs especializadas ● http://www.railforum.net/ ● INGENIERÍA SOCIAL ● Falsa oferta de trabajo ● “Egoniería” social ● Foros del sector ● http://blog.48bits.com/2009/10/15/ingenieria-social-para-abrirte-camino-en-sistemas-opacos/ ● INSIDERS
  • 17. 2. IDENTIFICACIÓN DE VECTORES DE ATAQUE TIPO DE INSTALACIÓN SIM EXPUESTA & AISLADA BROWSER PROTOCOLOS SERVICIOS CONTRASEÑAS SOFTWARE RED ACCESO EMPLEADOS FÍSICO
  • 18. 3. SIMULACIÓN DEL OBJETIVO EN NUESTRO ENTORNO ● ADQUISICIÓN HARDWARE/SOFTWARE NECESARIO ● SIMULACIÓN DEL DISPOSITIVO ● EMULADORES (HMI,MODBUS,LONWORKS...) ● PILAS LIBRES (MODBUS,BACNET...) ● MAPA DE REGISTROS (MODBUS) Data Type Common name Starting address Modbus Coils Bits, binary values, flags 00001 Digital Inputs Binary inputs 10001 Analog Inputs Binary inputs 30001 Modbus Registers Analog values, variables 40001 ● ALLEN-BRADLEY PANELVIEW SIMULATOR ● FREE MODBUS PLC SIMULATOR
  • 19. 4. REVERSING DE PROTOCOLOS, FIRMWARE,SOFTWARE PROTOCOLOS PROPIETARIOS ● ANÁLISIS DE TRAFICO ● REVERSING DE UTILIDADES DE CONFIGURACIÓN ● http://www.reversemode.com/index.php?option=com_content&task=view&id=65&Itemid=1 FIRMWARE HEADER + Compressed Blob ● MIPS ● ARM ● Linux ● WINDOWS CE SOFTWARE INFINITO+1
  • 20. Ejemplo 20 Conocer un sistema SCADA Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos). http://www.trihedral.com/trialsanddemos/demo/
  • 21. Ejemplo EJEMPLOS 21 Conocer un sistema SCADA Supervisory Control And Data Acquisition (Supervisión, Control y Adquisición de Datos). http://www.trihedral.com/trialsanddemos/demo/
  • 23. ADVANTECH MIDA.plw + MIDL.exe + Opcode 0x00 + others... void sub_401000( /* [in] */ handle_t arg_1, ...) 3. WebAccess does use RPC to communicate between Client andserver. But all the server side functions are password protected. With HTTPS and VPN, we think it is safe on the internet. It would be extremely complicate to reverse engineer the RPC code and the alter the data in WebAccess.
  • 24. TBOX If txt_Password.Text <> Dlb_SMSPassword.Value Or txt_password.text = "" Then msgbox "The Password is incorrect!!" & vbCrlf & "A passord is ...." & vbCrlf & "Contact your local distributor to get the password.",Vbexclamation,"Password" Exit Sub End If
  • 30. GRACIAS POR VENIR ¿preguntas? ¿dudas? ¿sugerencias? Rubén Santamarta @reversemode www.reversemode.com