SCADA StrangeLove

Scada Strangelove je nezisková  výzkumná skupina v oblasti informační bezpečnosti založená v roce 2012 se zaměřením na bezpečnostní analýzu průmyslových řídicích systémů, jako jsou SCADA, PLC, RTU, SmartGrid.

Aktivity

Hlavní směry:

• identifikace a eliminace 0denních zranitelností a záložek;
• analýza bezpečnosti hlavních komponent automatizovaného systému řízení procesů, jako jsou protokoly, vývojové nástroje;
• Identifikace automatizovaných systémů řízení procesů připojených k internetu;
• vývoj doporučení pro zlepšení bezpečnosti průmyslových systémů;
• výzkum dopadu kybernetické bezpečnosti na funkční bezpečnost a obnovu po havárii;
• šířit informace o aktuálním stavu bezpečnosti průmyslových systémů a zvyšovat povědomí komunity.

Těžištěm výzkumu nejsou pouze systémy průmyslové úrovně, ale i další vestavěné systémy, jako jsou chytré domy, solární a větrné elektrárny, systémy SmartGrid atd.

Projekty

Nástroje jsou vyvíjeny a publikovány ve veřejné doméně pro identifikaci a analýzu bezpečnosti síťové interakce, výběr hesel pro průmyslové protokoly, jako je modbus, Siemens S7, MMS, IEC 60870 , ProfiNet [1] .

V roce 2014 byl vývoj použit v systému Shodan k vytvoření mapy komponent APCS [2] dostupných z internetu.

Některá vydání jsou zabudována do open source systémů pro analýzu bezpečnosti, jako je THC Hydra [3] , Metasploit [4] , DigitalBond Redpoint [5] .

Byl publikován soubor doporučení pro zlepšení bezpečnosti průmyslových systémů založených na produktech Siemens SIMATIC WinCC [6] a WinCC Flexible [7] . Dokumenty popisují vestavěné bezpečnostní mechanismy a jak je používat.

Jeden z projektů týmu, testovací model Choo Choo PWN, známý také jako útok na kritickou infrastrukturu (CIA), je město hraček, jehož infrastruktura (železnice, továrny, osvětlení) je řízena pomocí skutečného průmyslového vybavení. Systém byl použit na konferencích PHDays, Power of Community [8] , 30C3.

Rozvržení se používá jak pro trénink, tak pro hledání zranitelností. Například na fóru Positive Hack Days IV účastníci identifikovali několik 0denních zranitelností v Indusoft Web Studio 7.1 od Schneider Electric, RTU PET-7000 [9] .

Představení

Členové týmu aktivně vystupují na konferencích po celém světě, jako je CCC , SCADA Security Scientific Symposium, Positive Hack Days . Mezi nejvýznamnější projevy patří:

29C3

Je prezentován přehled zranitelností identifikovaných týmem v oblíbené platformě Siemens SIMATIC WinCC, nástroji pro detekci ICS na internetu. [10] .

PHDays

Prezentace PHDays III [11] a PHDays IV [12] představily zranitelnosti běžných platforem ICS od společností ABB, Emerson, Honeywell a Siemens.

Důvěra 2014

Výsledky bezpečnostní analýzy [13] obou známých protokolů Profinet, Modbus, DNP3 a síťových protokolů IEC 61850-8-1 (MMS), IEC 61870-5-101/104, FTE (Fault Tolerant Ethernet), Představeny jsou Siemens S7.

Pacsec 2014

Je prezentována analýza [14] dopadu používání rádiového přístupu a sítí 3G/4G na bezpečnost účastnických zařízení, včetně průmyslových zařízení.

Filosofie

Název, slogan a další prvky skupiny odkazují na kultovní film Stanleyho Kubricka Dr. Strangelove aneb: Jak jsem se naučil přestat se bát a milovat bombu“. Zprávy hojně využívají odkazy na epizody studené války, jako je kubánská raketová krize. Mezi závody v jaderném zbrojení a současnou eskalací kybernetické války se objevují paralely.

Tým se drží myšlenky „odpovědného odhalení“ a podle prohlášení je „ochotný čekat roky, než prodejce zacelí díru“. Tým nezveřejňuje exploity pro identifikované zranitelnosti s odkazem na dlouhý cyklus změn v průmyslových systémech, kdy od vydání opravy po její instalaci může trvat roky.

Občas však dochází ke konfliktům, např. v roce 2012 bylo zrušeno představení na DEF CON [15] .

Zmínky v tisku

• Velký hadronový urychlovač používal zranitelný systém SCADA, ITnews Australia Archivováno 29. listopadu 2014 na Wayback Machine
• WinCC Under X-Rays od Sergeje Gordeychika, Digital Bond Archived 29. listopadu 2014 na Wayback Machine
• Zabezpečení SCADA ve světě po Stuxnetu, Informační týden Dark Reading Archivováno 15. prosince 2014 na Wayback Machine
• Hackeři získávají „plnou kontrolu“ nad kritickými systémy SCADA, ITnews Australia Archivováno 29. listopadu 2014 na Wayback Machine
• Problémy se Stuxnetem se objevují, protože zranitelnosti zůstávají, PC Pro  (nedostupný odkaz)
• Software Siemens, na který se Stuxnet zaměřil, je stále plný děr, Computerworld Archived 29. listopadu 2014 na Wayback Machine

Poznámky

1. ↑ GitHub: scada-tools [1] Archivováno 28. dubna 2017 na Wayback Machine 
2. ↑ Shodan Archivovaná kopie (odkaz není k dispozici) . Získáno 23. prosince 2014. Archivováno z originálu dne 21. února 2015.  (neurčitý)   (Angličtina)
3. ↑ Changelog for hydra [2] Archivováno 19. prosince 2014 na Wayback Machine 
4. ↑ GitHub: wincc_harvester [3  ]
5. ↑ Redpoint Release: Siemens S7 Enumeration [4] Archivováno 12. listopadu 2014 na Wayback Machine 
6. ↑ Verze návrhu archivované verze průvodce SCADA zabezpečením Simatic WinCC 7.X Siemens Simatic WinCC 7.X (odkaz není k dispozici) . Získáno 20. listopadu 2014. Archivováno z originálu 27. května 2015. (Angličtina) (neurčitý)   
7. ↑ Siemens Simatic WinCC Flexible 2008 Security Hardening Guide [5] Archivováno 29. září 2014 na Wayback Machine 
8. ↑ [POC2013-TV] 실제 스카다 시스템, 2시간 만에 해킹당해 [6] Archivováno 18. prosince 2014 na Wayback Machine  (korejština)
9. ↑ Smart City Hacked at PHDays IV [7] Archivováno 23. prosince 2014 na Wayback Machine 
10. ↑ SCADA STRANGELOVE aneb: Jak jsem se naučil začít se obávat a milovat jaderné elektrárny [8] Archivováno 23. března 2017 na Wayback Machine 
11. ↑ Positive Hack Days III [9] Archivováno 23. prosince 2014 na Wayback Machine 
12. ↑ Positive Hack Days IV [10] Archivováno 23. prosince 2014 na Wayback Machine 
13. ↑ SCADA hluboko uvnitř: protokoly a bezpečnostní mechanismy Archivovaná kopie (odkaz není k dispozici) . Datum přístupu: 23. prosince 2014. Archivováno z originálu 19. prosince 2014.  (neurčitý)   (Angličtina)
14. ↑ Root přes SMS [11] Archivováno 12. října 2017 na Wayback Machine 
15. ↑ Průmyslový software Siemens, na který se Stuxnet zaměřuje, je stále plný děr [12] Archivováno 19. prosince 2014 na Wayback Machine