SCADA StrangeLove

Scada Strangelove on  vuonna 2012 perustettu voittoa tavoittelematon tietoturvatutkimusryhmä , joka keskittyy teollisuuden ohjausjärjestelmien, kuten SCADA, PLC, RTU, SmartGrid, turvallisuusanalyysiin.

Aktiviteetit

Pääohjeet:

• 0 päivän haavoittuvuuksien ja kirjanmerkkien tunnistaminen ja poistaminen;
• analyysi automatisoidun prosessinohjausjärjestelmän pääkomponenttien, kuten protokollien, kehitystyökalujen, turvallisuudesta;
• Internetiin kytkettyjen automatisoitujen prosessinohjausjärjestelmien tunnistaminen;
• suositusten kehittäminen teollisuusjärjestelmien turvallisuuden parantamiseksi;
• tutkimus kyberturvallisuuden vaikutuksista toiminnalliseen turvallisuuteen ja katastrofien palautumiseen;
• levittää tietoa teollisten järjestelmien turvallisuuden nykytilasta ja lisätä yhteisön tietoisuutta.

Tutkimuksen painopiste ei ole vain teollisuustason järjestelmät, vaan myös muut sulautetut järjestelmät, kuten älykodit, aurinko- ja tuulivoimalat, SmartGrid-järjestelmät jne.

Projektit

Apuohjelmia kehitetään ja julkaistaan ​​julkisesti verkkovuorovaikutuksen turvallisuuden tunnistamiseen ja analysointiin sekä salasanojen valintaan teollisille protokollille, kuten modbus, Siemens S7, MMS, IEC 60870 , ProfiNet [1] .

Vuonna 2014 kehityksiä käytettiin Shodan -järjestelmässä luomaan kartta APCS-komponenteista [2] , jotka ovat saatavilla Internetistä.

Jotkut julkaisut on rakennettu avoimen lähdekoodin tietoturva-analyysijärjestelmiin, kuten THC Hydra [3] , Metasploit [4] , DigitalBond Redpoint [5] .

Siemens SIMATIC WinCC [6] ja WinCC Flexible [7] -tuotteisiin perustuvien teollisten järjestelmien turvallisuuden parantamiseksi on julkaistu joukko suosituksia . Asiakirjoissa kuvataan sisäänrakennetut turvamekanismit ja niiden käyttö.

Yksi tiimin projekteista, Choo Choo PWN -testimalli, joka tunnetaan myös nimellä Critical Infrastructure Attack (CIA), on lelukaupunki, jonka infrastruktuuria (rautatietä, tehtaita, valaistusta) ohjataan aidoilla teollisuuslaitteilla. Järjestelmää käytettiin PHDays, Power of Community [8] , 30C3 konferensseissa.

Ulkoasua käytetään sekä koulutukseen että haavoittuvuuksien etsimiseen. Esimerkiksi Positive Hack Days IV -foorumilla osallistujat tunnistivat useita 0 päivän haavoittuvuuksia Schneider Electricin, RTU PET-7000:n Indusoft Web Studio 7.1:ssä [9] .

Esitykset

Tiimin jäsenet puhuvat aktiivisesti konferensseissa ympäri maailmaa, kuten CCC , SCADA Security Scientific Symposium, Positive Hack Days . Tärkeimpiä puheita ovat mm.

29C3

Esitetään yleiskatsaus ryhmän havaitsemiin haavoittuvuuksiin suositussa Siemens SIMATIC WinCC -alustassa, työkaluissa ICS:n havaitsemiseen Internetissä. [10] .

PHdays

PHDays III [11] ja PHDays IV [12] esitykset esittelivät ABB:n, Emersonin, Honeywellin ja Siemensin yleisten ICS-alustojen haavoittuvuuksia.

Confidence 2014

Molempien tunnettujen Profinet-, Modbus-, DNP3- ja verkkoprotokollien IEC 61850-8-1 (MMS), IEC 61870-5-101/104, FTE (Fault Tolerant Ethernet) suojausanalyysin [13] tulokset, Siemens S7 esitellään.

Pacsec 2014

Esitetään analyysi [14] radioliityntä- ja 3G/4G-verkkojen käytön vaikutuksista tilaajalaitteiden, mukaan lukien teollisuuslaitteiden, turvallisuuteen.

Filosofia

Ryhmän nimi, iskulause ja muut elementit viittaavat Stanley Kubrickin kulttielokuvaan Dr. Strangelove tai: Kuinka opin lopettamaan murehtimisen ja rakastamaan pommia. Raporteissa käytetään laajasti viittauksia kylmän sodan jaksoihin, kuten Kuuban ohjuskriisiin. Ydinasekilpailun ja nykyisen kybersodankäynnin kiihtymisen välille vedetään yhtäläisyyksiä.

Tiimi noudattaa ajatusta "vastuullisesta paljastamisesta" ja lausuntojen mukaan "on valmis odottamaan vuosia, että myyjä sulkee aukon". Tiimi ei julkaise havaittujen haavoittuvuuksien hyväksikäyttöä vedoten teollisiin järjestelmiin tehtyihin pitkän muutossykliin, jolloin korjaustiedoston julkaisusta sen asennukseen voi kulua vuosia.

Joskus syntyy kuitenkin ristiriitoja, esimerkiksi vuonna 2012 DEF CON :n [15] esitys peruttiin .

Lehdistömaininnat

• Large Hadron Collider käytti haavoittuvaa SCADA-järjestelmää, ITnews Australia Arkistoitu 29. marraskuuta 2014 Wayback Machinessa
• WinCC Under X-rays by Sergey Gordeychik, Digital Bond Arkistoitu 29. marraskuuta 2014 Wayback Machinessa
• SCADA-suojaus Stuxnetin jälkeisessä maailmassa, Information Week Dark Reading Arkistoitu 15. joulukuuta 2014 Wayback Machinessa
• Hakkerit saavat "täyden hallinnan" kriittisistä SCADA-järjestelmistä, ITnews Australia Arkistoitu 29. marraskuuta 2014 Wayback Machinessa
• Stuxnet-ongelmat jylläävät haavoittuvuuksien säilyessä, PC Pro  (linkki ei saatavilla)
• Stuxnetin kohteena oleva Siemens-ohjelmisto edelleen täynnä reikiä, Computerworld Arkistoitu 29. marraskuuta 2014 Wayback Machinessa

Muistiinpanot

1. ↑ GitHub: scada-tools [1] Arkistoitu 28. huhtikuuta 2017 Wayback Machinessa 
2. ↑ Shodan Arkistoitu kopio (linkki ei saatavilla) . Haettu 23. joulukuuta 2014. Arkistoitu alkuperäisestä 21. helmikuuta 2015.  (määrätön)   (Englanti)
3. ↑ Hydran muutosloki [2] Arkistoitu 19. joulukuuta 2014 Wayback Machinessa 
4. ↑ GitHub: wincc_harvester [3  ]
5. ↑ Redpointin julkaisu: Siemens S7 Enumeration [4] Arkistoitu 12. marraskuuta 2014 Wayback Machinessa 
6. ↑ Siemens Simatic WinCC 7.X SCADA Security Hardening Guide Luonnosversio arkistoitu (linkki ei ole käytettävissä) . Haettu 20. marraskuuta 2014. Arkistoitu alkuperäisestä 27. toukokuuta 2015.  (määrätön)   (Englanti)
7. ↑ Siemens Simatic WinCC Flexible 2008 Security Hardening Guide [5] Arkistoitu 29. syyskuuta 2014 Wayback Machinessa 
8. ↑ [POC2013-TV] 실제 스카다 시스템, 2시간 만에 해킹당해 [6] Arkistoitu 18. joulukuuta 2014 Wayback Machinessa  (korea)
9. ↑ Smart City hakkeroitu PHDays IV:ssä [7] Arkistoitu 23. joulukuuta 2014 Wayback Machinessa 
10. ↑ SCADA STRANGELOVE tai: How I Learned to Start Worrying and Love Nuclear Plants [8] Arkistoitu 23. maaliskuuta 2017 Wayback Machinessa 
11. ↑ Positive Hack Days III [9] Arkistoitu 23. joulukuuta 2014 Wayback Machinessa 
12. ↑ Positive Hack Days IV [10] Arkistoitu 23. joulukuuta 2014 Wayback Machinessa 
13. ↑ SCADA syvällä: protokollat ​​ja suojausmekanismit Arkistoitu kopio (linkki ei saatavilla) . Käyttöpäivä: 23. joulukuuta 2014. Arkistoitu alkuperäisestä 19. joulukuuta 2014.  (määrätön)   (Englanti)
14. ↑ Pääkäyttäjä tekstiviestillä [11] Arkistoitu 12. lokakuuta 2017 Wayback Machinessa 
15. ↑ Stuxnetin kohteena oleva Siemensin teollisuusohjelmisto on edelleen täynnä reikiä [12] Arkistoitu 19. joulukuuta 2014 Wayback Machinessa