KONVENČNÍ BEZPEČNOSTNÍ TESTY SCADA ČEZ ICT SERVICES

KONVENČNÍ BEZPEČNOSTNÍ TESTY SCADA ČEZ ICT SERVICES

27.3.2015

Ing. Luboš Řádek

ÚVOD OSNOVA 1. 2. 3. 4. 5. 6.

2

Prostředí Skupiny ČEZ Jak to všechno začalo Co vlastně budeme testovat První výsledky Kdo má odpovědnost? Závěr, doporučení

KYBERNETICKÁ BEZPEČNOST PROSTŘEDÍ SKUPINY ČEZ Struktura

Desítky společností a majetkových účastí (tuzemsko / zahraničí)

Procesy

Široké portfolio core business a podpůrných procesů

Umístění

Rozmístění lokalit po celém území ČR a části Evropy

ICT

Uživatelé

Stovky ICT systémů a aplikací, tisíce infrastrukturních prvků

Desítky tisíc uživatelů

Skupina ČEZ je dynamickou organizací, která vyžaduje ICT služby s ohledem na požadavky portfolia core business, podpůrných procesů a legislativy. 3

Veřejné informace – bez požadavků na ochranu

JAK TO VŠECHNO ZAČALO (NE)STANEME SE SCADA TESTERY Fiktivní příběh: Byl jednou jeden pracovní den … … šéf vychází z kanceláře s telefonem na uchu a dokončuje hovor: šéf: „… jasně, kluci se na to přijedou mrknout … v klidu, to zvládnou …“. Pokládá telefon. „Hoši, zbalte si fidlátka, pojedete testovat SCADU do elektrárny na severu …“ geek: „Hmm, SCADA! Jasně, to slovo znám …“. Jakmile šéf zmizí, geek píše do Googlu:

„S … C … A … D … A“ Nalezeno přibližně 21 300 000 záznamů geek: „Hmm, to bude dlouhá noc  … potřebuju víc kafe …“ 4

SCADA SCHEMATICKY & REALISTICKY

! ! ! ! ! OUT OF SCOPE 5

!

! IN SCOPE

SCADA POPRVÉ PÍDÍME SE PO SCHÉMATECH

Bezpečnostní chyby „by design“  Nesystematická architektura ICT infrastruktury  Veřejná adresace PC  Chybějící bariérová ochrana, preventivní opatření  Remote site přes Internet bez VPN  Vzdálené přístupy dodavatele bez VPN 6

SCADA PODRUHÉ PÍDÍME SE PO SCHÉMATECH

7

TESTOVÁNÍ BICT S ČÍM ZAČÍT, ANEB TESTUJEME SCADA

 Co to vlastně jdeme testovat?  PLC, MTU/RTU, Modbus, Profibus, …  Operátorské stanice (PC s Windows …)  Síťová infrastruktura (switche, routery, modemy ..)  Servery (Unix/WIN, DB, …)

 Co se na to hodí?  Běžné tooly (nmap, wireshark, …)  Scannery se SCADA pluginy  Zdravý rozum …

 Google ;-)  Někdy se stačí prostě zeptat – operátorů, dodavatele, IT oddělení 8

PRVNÍ VÝSLEDKY RDP, TELNET, FTP – OPRAVDU TO POTŘEBUJEME? Rozsah

OS Windows XP Windows 7

X.X.1.0/24

Windows 2003 server

X.X.5.0/24 X.X.6.0/24

Síťové prvky (3Com, Cisco..) PLC a automaty Windows 7 Windows XP Windows 2003 server Síťové prvky (Alied Telesyn, Moxa, 3Com) Unix (HP-UX) Windows XP Unix (Linux) Unix (HP-UX) Unix (HP-UX)

X.X.7.0/24

Unix (HP-UX)

X.X.2.0/24

X.X.3.0/24

X.X.4.0/24

9

Detekované služby RPC, HTTP, FTP, NetBIOS RPC, HTTP, FTP, NetBIOS RPC, HTTP, NetBIOS, Terminal services HTTP, telnet, SSH HTTP, TMS IRC, RPC, HTTP, RPC, NetBIOS, RPC, NetBIOS, SQL, IRC

HTTP, SSH, Telnet SMTP, FTP, Telnet, X11 RPC, PRINT server FTP, SSH, Telnet, X11 FTP, SSH, Telnet, NFS, POP3, SMTP FTP, SSH, Telnet, NFS, POP3, SMTP FTP, SSH, Telnet, NFS, POP3, SMTP, IMAP, X11

STANDARDNÍ ODPOVĚDI KDYŽ ZJISTÍM ŽE NA PRVKU JE TELNET „Dodavatel pouští telnet na switch … jaké je asi heslo???“

„Hmmm, … to jsem taky mohl vygooglit …“ 10

WINDOWS KOMPONENTY PATCHOVAT SE NEMUSÍ / NESMÍ / NELZE

Operátorská stanice

11

Celá testovaná infrastruktura

DEFAULTNÍ HESLA CO NEZNÁM TO SI NAJDU Typ zranitelnosti Microsoft Windows Administrator Default Password Detection Zjištěno defaultní (známé) heslo pro bulit-in účet „administrator“ v systému Popis Windows Útočník se může bez problémů přihlásit ke stanici a provádět úpravy Důsledky a rizika v systému s plným oprávněním. Doporučené Změna hesla pro účet „administrator“ v systému Windows řešení

12

TESTOVÁNÍ BICT PLC/MTU/RTU

 Příprava nutná …  Studujte dokumentaci … co vendor, to specifika  Věnujte se místním odlišnostem  Nezkoušejte plošné /exploring scany ani pakety s „větším“ payloadem

 Testujte pouze PLC odstavených technologií  Typické zranitelnosti  „IP nestabilita“  Defaultní hesla, chybějící autentizace  Otevřené protokoly 13

KONTROLY SHODY NAKONEC CO JSEM NENAŠEL, NA TO SE ZEPTÁM… Požadavek Jednotný registr identity

Výsledek NESOULAD

Poznámka Neexistuje jednotné místo s uvedením všech účtů, které mají oprávněný přístupu do systému

Tak už dost … někde jsemSOULAD tu měl security checklist

Jednoznačné identity Správa identit Autorizační koncept

NESOULAD NESOULAD

Přidělování přístupů

NESOULAD

Uložení hesel k admin účtům

NESOULAD

Minimální délka hesla

NESOULAD

Neexistuje centrální řízení správy identit Neexistuje dokument s přesným popisem jednotlivých uživatelských či administrátorských účtů a rolí Neexistuje schvalovací workflow, které by proces přidělení přístupu/role řídilo. Hesla k účtům root či administrator nejsou uložena na zabezpečeném místě. Minimální délka hesla není vyžadována žádnými politikami či procesy

Komplexita hesla

NESOULAD

Komplexita hesla není vyžadována / vynucena.

Expirace hesla

NESOULAD

Změny dočasných hesel Vícefaktorová autentizace

NESOULAD N/A

Maximální doba platnosti hesla není procesně vyžadována / vynucena. Není zajištěno, že dočasná hesla se mění při prvním přihlášení

Volně přístupná hesla

SOULAD

Hlášení ztrát autentizačních prostředků

SOULAD

Záznam použití administrátorského hesla

SOULAD

Pravidelný audit nastavení oprávnění 14

NESOULAD

Kontrola nastavených oprávnění není kontrolována pravidelně

ZJIŠTĚNÁ REALITA TAK TO PROSTĚ JE  Všechny řídící systémy jsou připojeny do internetu nebo korporátní sítě 

Integrační software (ERP, údržba), telefon/modem/3G, špatná konfigurace síťových prvků (switche, routery, firewally), vyjímatelná média, vzdálený přístup

 Většina sítí je provozováno operátory s nízkou IT znalostí 

Způsobují bezpečnostní incidenty, provádí nebezpečné činnosti během pracovní doby na výpočetních zařízení (hry, nebezpečné web stránky, stahování), informační bezpečnost je nezajímá, pouze chtějí dělat svou práci

 Většina sítí a serverů je spravováno IT personálem 

Nízká znalost průmyslových řídících systémů, dopadů hackerských útoků, způsobují množství chyb při nastavení zařízení

 99,9 % průmyslových zařízení je lehce „hackovatelných“

15



Architektura nevhodná a technologie x let stará



Chybějící bezpečnostní záplaty, aktualizace antivirů, aplikací



Používané služby typu TELNET, FTP, RPC, …



Veřejné IP adresy – dostupné weby řídících systémů, povolená RDP,..



Defaultní či jednoduchá hesla – všude



Otevřené wifi

SCADA BABYLON KDO MÁ TEDY ŘEŠIT BEZPEČNOST SCADA?

SCADA operátor

SCADA (a místně)

•

Stanovte odpovědnosti

•

 Rozumí dané technologii Stanovte politiku a pravidla

 Žije ve svém světě •  Mluví „ajťácky“ ;-) •  ICT bezpečnost řeší•

roky

IT personál

16

 Technická profese  Rozumí dané technologii  Umí technologii řídit pomocí

Pro operátory Pro dodavatele Pro ICT SCADA

 Umí projektovat a nasadit

řízení SCADA pro příslušnou technologii  Dělá, co má ve smlouvě

SCADA dodavatel

ZÁVĚR DOPORUČENÍ

 Nerezignujte na ověřené bezpečnostní principy  Řiďte rizika – chraňte to důležité

 Volte správnou architekturu  Nebojte se segmentace, použijte bariérovou ochranu  Vyžadujte bezpečnost od dodavatele SCADA  Dbejte na bezpečnost infrastruktury, system hardening  …

17

AMPER DOPORUČENÍ

Děkuji za pozornost.

Luboš Řádek ČEZ ICT Services, a. s.