Sieć bezpieczna czy niebezpieczna ?

46

Dziś zacznę nieco inaczej niż zazwyczaj, mianowicie nie będę pisał o naszych produktach, a przynajmniej nie wprost. W Dniu Bezpiecznego Komputera, który przypada właśnie na 12 października chciałbym zwrócić waszą uwagę na bezpieczeństwo instalacji automatyki. Czy są one prawidłowo zabezpieczone przed ingerencją osób trzecich, których zamiary mogą być delikatnie mówiąc nieetyczne?

Historia lubi się powtarzać, czyli o skoncentrowanym ataku na infrastrukturę przemysłową

Warto tu przypomnieć słynnego Stuxneta, czy Dragonfly/Havex. Pierwszy z nich posłużył jako cyberbroń, którą jak głoszą teorie spiskowe służby specjalne Izraela i Stanów Zjednoczony wymierzyły w irański program nuklearny.

Mechanizm działania pierwszego na świecie PLC rootkita był bardzo prosty. Wykorzystywał on bowiem 4 luki 0-day w systemie Windows. Po zainfekowaniu komputera automatycznie przeszukiwał sieć w celu odnalezienia dwóch głównych typów sterowników PLC firmy Siemens SIMATIC S7-300 i S7-400. „Szkodnik” wykorzystuje zainstalowane oprogramowanie Siemens SIMATIC WinCC/Step 7, za pomocą którego przejmuje kontrolę nad modułami sterującymi falowniki. Zmiana częstotliwości napięcia zasilającego powodowała zwiększenie prędkości obrotowej silników, a tym samym ich uszkodzenie. W grudniu 2010 prezydent Iranu Mahmud Ahmadineżad przyznał, że wirus spowodował pewne problemy w niewielkiej liczbie wirówek używanych w procesie wzbogacania uranu. Głównymi źródłami infekcji były prywatne komputery oraz przenośne pamięci USB pracowników odpowiedzialnych za utrzymanie infrastruktury. Cyber robak zanim uderzył we właściwy cel, przemierzył niemal cały glob siejąc spustoszenie w infrastrukturze przemysłowej, powodując niepoliczalne straty materialne.

Każde zabezpieczenie jest tak mocne jak jego najsłabszy element, a nim zawsze jest… człowiek

Drogi infekcji oraz luki, które wykorzystują cyberprzestępcy w procesie infiltracji oraz cyberataku:

  • Spreparowane pamięci USB
  • Zainfekowane komputery PC
  • Phishing mailowy
  • Social engineering (spreparowane strony WWW, banery, reklamy)
  • Malwary i wirusy komputerowe
  • Specjalistyczne oprogramowanie przeszukujące takie jak “Shodan”

Shodan – wyszukiwarka o dwóch twarzach

Shodan to projekt zainicjowany przez Johna Matherly’ego, którego ideą było stworzenie nietypowej wyszukiwarki. Projekt z pozoru mało innowacyjny, przy bliższym poznaniu okazuje się tworem o „dwóch twarzach”. W odróżnieniu do zwykłych wyszukiwarek internetowych takich jak Google, czy Yahoo, Shodan umożliwia wyszukiwanie rozmaitych urządzeń sieciowych , specjalistycznego oprogramowania, czy protokołów komunikacyjnych. Pod tym względem stanowi niezastąpione narzędzie dla osób zajmujących się testami penetracyjnymi oraz samym bezpieczeństwem sieci.

Spójrzmy bliżej na ten ciekawy serwis. Aplikacja to nic innego jak onlinowy skaner portów (TCP 21, 22, 23 oraz 80), który 24/7 przeczesuje „cyberprzestrzeń” w poszukiwaniu metadanych, przypisanych konkretnym urządzeniom lub usługom sieciowym. Dane te mogą mieć w swej strukturze zaszyte interesujące, ze względów bezpieczeństwa, dane (takie jak choćby hasła dostępu).

Czas spojrzeć się bliżej na to co oferuje Shodan. Po rejestracji otrzymujemy dostęp do różnych kategorii i obszarów badania sieci. Ja skupiłem się na tematyce związanej z przemysłem.

  1. Po wybraniu kategorii naszym oczom ukazuje się podstrona z najważniejszymi dostawcami sterowników PLC oraz protokołami komunikacyjnymi stosowanymi w przemyśle oraz energetyce.

protokoły plc z shodan

Źródło: https://www.shodan.io

2. Skupmy się na Phoenix Contact tak będzie bardziej poprawnie politycznie

wyszukiwarka wyśiwetla listę niezabezpieczonych urządzeń sieciowych

Źródło: https://www.shodan.io

3. Po wybraniu zakładki dotyczącej produktów Phoenix Contact otrzymujemy szereg rekordów takich jak: położenie, adres IP, nazwa urządzenia, numer modelu, wersja firmware oraz data jego aktualizacji.

4. Wybór konkretnego adresu IP urządzenia dostarcza nam jeszcze większej szczegółowych informacji, takich jak chociażby używane porty.

w serwisie shodan.io wybieramy konkretny adres IP urządzenia i dostajemy np. listę używanych portów

Źródło: https://www.shodan.io

Serwis udostępnia bardzo dużą ilość narzędzi płatnych oraz bezpłatnych, przydatnych podczas analizy oraz śledzenia słabych i podatnych na infiltrację obszarów struktur sieciowych.

Twórcy od samego początku odżegnywali się jakoby wyszukiwarka miała służyć jakimkolwiek niecnym celom. Jednak nie ukrywajmy stała się kopalnią informacji dla osób przeprowadzających różnego rodzaju ataki. Ocenę moralnych kwestii związanych z tym narzędziem pozostawiam każdemu z Was.

W następnym poście skupimy się na zabezpieczeniach sieci bezprzewodowych, przeprowadzimy próbę załamania zabezpieczeń sieci bezprzewodowej w wersji biurowej i przemysłowej za pomocą dystrybucji Kali Linux i oprogramowania Aircrack-ng. Sprawdzimy na co stać nasze produkty

Będzie to pole do dalszych rozważań i testów oraz kontynuacja postu dotyczącego bezprzewodowych standardów komunikacji.

Autor: Adam Kralewski, Lider Zespołu Szkoleń i Wsparcia Technicznego