EBITS 2013
Totalförsvarets Forskningsinstitut
David Lindahl
Erik Westring
Demo: Hur går ett angrepp till
• Något förenklat på grund av tidsbrist
• ..men bara något.
Antagonistiska hot
• Antagonistiska hot är sådana som syftar till att orsaka
skada.
– Personer
– Datorprogram, maskiner som aktiverats med syftet att orsaka skada
• MYCKET farligare än stokastiska hot.
– Sårbarheter kan studeras under lång tid.
– En sårbarhet som bara kan utnyttjas om ett antal villkor uppfylls
kan inte riskberäknas med slumpantaganden
– Kombinationer av sårbarheter kan leda till mycket värre
konsekvenser än ett stokastiskt hot skulle kunna åstadkomma
Demonstration
• Angriparen Erik (D00/\/\Br1|\|93r) vill ta sig
in och ställa till besvär hos ett företag
eftersom företaget anlitar en juristfirma som
också har företrätt antipiratindustrin
• Fiktiv-Erik är en medelgod hacker (Verklig-Erik
är betydligt bättre). Han är aktiv på forum och
känner till grunderna i SCADAsystem
• Han är en politiskt motiverad hacktivist
Aktörer
• Enskilda individer
– Hacktivister, Vandaler, Hämnare, Insiders
• Spioner
– Företag, länder, övriga
• Terrorister
– Osannolikt
• Organiserad brottslighet
• Främmande stater
– Militära förband eller OGA
• Automatiska angrepp via datorprogram som maskar eller
virus.
Syfte
• Status, uppmärksamhet, utmaningen
• Ekonomisk vinning
– Information, virtuell terräng,
marknadsmanipulation
•
•
•
•
Politiska mål
Åtkomst för andra attacker
Övning / Ni råkade vara i vägen
Personlig hämnd
Steg ett: UND-aktivitet
• Öppna källor
• Social ingenjörskonst*
• Forum och informationsdelning mellan
angripare
• Erik har fått reda på att en viss anläggning styr
en trafikkorsning och bestämmer sig för att
angripa den
*Social ingenjörskonst
• Få någon att vidta en åtgärd som leder till ett lyckat
angrepp
– Lämna ut sitt lösenord
– Öppna mailbilagor med malware
– Plocka upp ett USB-minne på parkeringen och
sätta in det i en dator innanför brandväggen
• Mycket lätt att få folk att ”göra en tjänst”…
• De flesta användare vet inte vilka åtgärder som är farliga
eller försätter systemet i ett osäkert läge.
En kille på Internet sa att det här
funkar….
”Hacking”
• Dator 1 ber dator 2 att göra något dåligt.
• Dator 2 är inställd på ett av två sätt
– A) Dator 2 försöker utföra tjänsten
– B) Dator 2 vägrar utföra tjänsten
• Fall A resulterar KANSKE i avsedd verkan
• Fall B ger ingen avsedd verkan, men KANSKE kan
angriparen få information och KANSKE varnas den angripne
om angreppet.
• Varför skulle en dator vara inställd på ett så dåligt sätt?
Säkerhetslager läggs till sist
Steg ett
• Om det finns en brandvägg finns det en väg ut
och in.
• Erik startar upp ett verktyg ZENmap som finns
gratis på Internet och börjar scanna
brandväggen
• Efter en stund får han upp en kontakt med en
dator på andra sidan brandväggen, i en DMZ
DMZ
Steg två: Sårbarheter?
• NexPose
• Verktyg fritt tillgängligt på Internet
• Specialiserat på att smyg-analysera
sårbarheter hos datorer
Steg tre: Armitage/Metasploit
• Verktyg för PENtest
• Globalt nätverk av utvecklare tillverkar
moduler som läggs in i ett färdigt ramverk
• Fritt tillgängligt, betalversion har bättre
användarstöd
• Hacking är inte längre ett enmansjobb
Steg tre fortsättning
•
•
•
•
Erik väljer en lämplig angreppsmodul
Han väljer en lämplig angreppsprogramvara,
och verktyget gör jobbet automatiskt
Har han tur får han fullständig kontroll över
datorn på ett ögonblick
Not in Kansas anymore
• Väl inne undersöker Erik datorn för att ta reda
på vad den är till för, vilka processer den kör
och hur den är kopplad mot omvärlden.
• Han letar upp lösenordsfilen och laddar ner
den till sin egen maskin
• Alla aktiviteter sker i minnet på maskinen och
få eller inga spår lämnas på disken.
• En skicklig hacker kan radera alla* loggar
• *På den lokala maskinen, se IDS
IDS
• En dator som ligger i systemet men inte
kommunicerar med andra delar
– Kanariefågel: Ska aldrig kontaktas av någon annan
dator. Om en scanning sker larmar datorn en
människa eller en mer kapabel IDS
– IDS lyssnar på all kommunikation och försöker matcha
detta mot tillåten trafik och kända attacksignaturer.
Rätt inställd är den jättebra.
– IPS dator som försöker vidta åtgärder för att stoppa
angrepp, T ex genom att helt stänga ner
kommunikation under viss tid, el dyl.
Regnbågstabeller
• Verktyg för knäckning av lösenordsfiler (m m)
• Förberedda databaser som ger en möjlighet
att under lång tid, offline* knäcka filer i lugn
och ro för att sedan kunna logga in i systemen
som en legitim användare.
Åter in i systemet
• Erik använder sina nya lösenord till att
fjärradministrera brandväggen och lägga in en
väg så att han i framtiden kan återvända när
han vill.
• Sedan går han in i DMZ-servern och ändrar
spelreglerna
• Han Pivoterar
Pivotering
• DMZ-servern har två nätverkskort.
• Den ska aldrig tillåta trafik in från det ena och
ut genom det andra.
• Men det finns bara mjukvaruspärrar mot detta
så Erik ändrar reglerna (bokstavligt)
Repetera från början
• Kartlägg det inre nätverket med den nya
datorn som framskjuten bas
(Databas… <-Nördhumor)
• Lyssna på all trafik i flera dygn (Moment
höppas över p g a tidsbrist.
• Kartlägg nätverket, ZENmap
• Identifiera intressanta servrar, portar och
sårbarheter, NexPose
• Angrip nya mål med Metasploit
SCADA!
• Det finns datorer i nätverket som pratar på
standard-SCADA-portar
– Port i det här fallet är som en postboxadress som
går till ett visst program i en dator.
– Vissa portar används som standard av vissa
program och kan inte trivialt ställas om.
• Erik börjar titta närmare på de datorerna.
Angrepp Trafikljus
• Erik sänder nya styrprogram till PLC:erna
• PLC:erna försöker utföra orderna och
resultatet är att det blir grönt åt flera håll
samtidigt.
• Beroende på hur systemet ser ut hade Erik
kanske kunnat störa processen på ett sådant
sätt att själva maskinerna PLC:erna styr hade
gått sönder. (Vi får inte dema detta för tillfället
av juridiska skäl)
Försvar
• IDS
– Datorer som lyssnar av trafik på nätet och larmar
om angrepp sker
• Autentisering
– Brandväggen sak bara kunna administreras från
vissa kända datorer
– PLC:er ska inte ta order från vem som helst
• Kontinuerligt säkerhetsarbete
– Kolla sårbarheter innan Erik gör det.
MSB publikation
• Vägledning till ökad säkerhet i industriella
kontrollsystem
• https://www.msb.se/RibData/Filer/pdf/25548
.pdf