EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring Demo: Hur går ett angrepp till • Något förenklat på grund av tidsbrist • ..men bara något. Antagonistiska hot • Antagonistiska hot är sådana som syftar till att orsaka skada. – Personer – Datorprogram, maskiner som aktiverats med syftet att orsaka skada • MYCKET farligare än stokastiska hot. – Sårbarheter kan studeras under lång tid. – En sårbarhet som bara kan utnyttjas om ett antal villkor uppfylls kan inte riskberäknas med slumpantaganden – Kombinationer av sårbarheter kan leda till mycket värre konsekvenser än ett stokastiskt hot skulle kunna åstadkomma Demonstration • Angriparen Erik (D00/\/\Br1|\|93r) vill ta sig in och ställa till besvär hos ett företag eftersom företaget anlitar en juristfirma som också har företrätt antipiratindustrin • Fiktiv-Erik är en medelgod hacker (Verklig-Erik är betydligt bättre). Han är aktiv på forum och känner till grunderna i SCADAsystem • Han är en politiskt motiverad hacktivist Aktörer • Enskilda individer – Hacktivister, Vandaler, Hämnare, Insiders • Spioner – Företag, länder, övriga • Terrorister – Osannolikt • Organiserad brottslighet • Främmande stater – Militära förband eller OGA • Automatiska angrepp via datorprogram som maskar eller virus. Syfte • Status, uppmärksamhet, utmaningen • Ekonomisk vinning – Information, virtuell terräng, marknadsmanipulation • • • • Politiska mål Åtkomst för andra attacker Övning / Ni råkade vara i vägen Personlig hämnd Steg ett: UND-aktivitet • Öppna källor • Social ingenjörskonst* • Forum och informationsdelning mellan angripare • Erik har fått reda på att en viss anläggning styr en trafikkorsning och bestämmer sig för att angripa den *Social ingenjörskonst • Få någon att vidta en åtgärd som leder till ett lyckat angrepp – Lämna ut sitt lösenord – Öppna mailbilagor med malware – Plocka upp ett USB-minne på parkeringen och sätta in det i en dator innanför brandväggen • Mycket lätt att få folk att ”göra en tjänst”… • De flesta användare vet inte vilka åtgärder som är farliga eller försätter systemet i ett osäkert läge. En kille på Internet sa att det här funkar…. ”Hacking” • Dator 1 ber dator 2 att göra något dåligt. • Dator 2 är inställd på ett av två sätt – A) Dator 2 försöker utföra tjänsten – B) Dator 2 vägrar utföra tjänsten • Fall A resulterar KANSKE i avsedd verkan • Fall B ger ingen avsedd verkan, men KANSKE kan angriparen få information och KANSKE varnas den angripne om angreppet. • Varför skulle en dator vara inställd på ett så dåligt sätt? Säkerhetslager läggs till sist Steg ett • Om det finns en brandvägg finns det en väg ut och in. • Erik startar upp ett verktyg ZENmap som finns gratis på Internet och börjar scanna brandväggen • Efter en stund får han upp en kontakt med en dator på andra sidan brandväggen, i en DMZ DMZ Steg två: Sårbarheter? • NexPose • Verktyg fritt tillgängligt på Internet • Specialiserat på att smyg-analysera sårbarheter hos datorer Steg tre: Armitage/Metasploit • Verktyg för PENtest • Globalt nätverk av utvecklare tillverkar moduler som läggs in i ett färdigt ramverk • Fritt tillgängligt, betalversion har bättre användarstöd • Hacking är inte längre ett enmansjobb Steg tre fortsättning • • • • Erik väljer en lämplig angreppsmodul Han väljer en lämplig angreppsprogramvara, och verktyget gör jobbet automatiskt Har han tur får han fullständig kontroll över datorn på ett ögonblick Not in Kansas anymore • Väl inne undersöker Erik datorn för att ta reda på vad den är till för, vilka processer den kör och hur den är kopplad mot omvärlden. • Han letar upp lösenordsfilen och laddar ner den till sin egen maskin • Alla aktiviteter sker i minnet på maskinen och få eller inga spår lämnas på disken. • En skicklig hacker kan radera alla* loggar • *På den lokala maskinen, se IDS IDS • En dator som ligger i systemet men inte kommunicerar med andra delar – Kanariefågel: Ska aldrig kontaktas av någon annan dator. Om en scanning sker larmar datorn en människa eller en mer kapabel IDS – IDS lyssnar på all kommunikation och försöker matcha detta mot tillåten trafik och kända attacksignaturer. Rätt inställd är den jättebra. – IPS dator som försöker vidta åtgärder för att stoppa angrepp, T ex genom att helt stänga ner kommunikation under viss tid, el dyl. Regnbågstabeller • Verktyg för knäckning av lösenordsfiler (m m) • Förberedda databaser som ger en möjlighet att under lång tid, offline* knäcka filer i lugn och ro för att sedan kunna logga in i systemen som en legitim användare. Åter in i systemet • Erik använder sina nya lösenord till att fjärradministrera brandväggen och lägga in en väg så att han i framtiden kan återvända när han vill. • Sedan går han in i DMZ-servern och ändrar spelreglerna • Han Pivoterar Pivotering • DMZ-servern har två nätverkskort. • Den ska aldrig tillåta trafik in från det ena och ut genom det andra. • Men det finns bara mjukvaruspärrar mot detta så Erik ändrar reglerna (bokstavligt) Repetera från början • Kartlägg det inre nätverket med den nya datorn som framskjuten bas (Databas… <-Nördhumor) • Lyssna på all trafik i flera dygn (Moment höppas över p g a tidsbrist. • Kartlägg nätverket, ZENmap • Identifiera intressanta servrar, portar och sårbarheter, NexPose • Angrip nya mål med Metasploit SCADA! • Det finns datorer i nätverket som pratar på standard-SCADA-portar – Port i det här fallet är som en postboxadress som går till ett visst program i en dator. – Vissa portar används som standard av vissa program och kan inte trivialt ställas om. • Erik börjar titta närmare på de datorerna. Angrepp Trafikljus • Erik sänder nya styrprogram till PLC:erna • PLC:erna försöker utföra orderna och resultatet är att det blir grönt åt flera håll samtidigt. • Beroende på hur systemet ser ut hade Erik kanske kunnat störa processen på ett sådant sätt att själva maskinerna PLC:erna styr hade gått sönder. (Vi får inte dema detta för tillfället av juridiska skäl) Försvar • IDS – Datorer som lyssnar av trafik på nätet och larmar om angrepp sker • Autentisering – Brandväggen sak bara kunna administreras från vissa kända datorer – PLC:er ska inte ta order från vem som helst • Kontinuerligt säkerhetsarbete – Kolla sårbarheter innan Erik gör det. MSB publikation • Vägledning till ökad säkerhet i industriella kontrollsystem • https://www.msb.se/RibData/Filer/pdf/25548 .pdf