Cybersécurité industrielle
Transcription
Cybersécurité industrielle
Clusir Rhône-Alpes Club SSI, le 16/11/2011 Cyber-sécurité SI Industriels (SCADA) Patrice BOCK (Euriware) Eric DERONZIER (Ysosecure) Vincent GAILLOT (Osiatis) Thomas HOUDY (Lexsi) Michel REVOL (Egis France) CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 1 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Ordre du jour • • • • Introduction : SCADA, automates Des infrastructures peu sécurisées, accessibles par internet Présentation des « couches ISA », spécificités, vulnérabilités Exemples pratiques Accès distant Stuxnet et état des lieux un an après • Retour d’expérience : quatre témoignages Test d’intrusion en environnement hospitalier Exemple d’incident récent sur réseaux industriels Conseil sur environnement industriel critique Sécurisation d’une infrastructure de pilotage • • Conclusion Questions / réponses CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 2 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Introduction : le contrôle-commande • SCADA : Supervisory Control And Data Acquisition - système de supervision permettant la centralisation des données, la présentation souvent semi-graphique sur des postes de « pilotage », la gestion des alarmes, l’historisation des données… Document ISA.org • API – automates programmables industriels (PLCs en anglais) pilotent des équipements physiques et SNCC - systèmes numériques de contrôle-commande (DCS) pilotent des processus continus (chimie…) CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 3 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Des architectures peu sécurisées, exemple 1: 11 automates tombent en panne Incident ID: Date: Company: Location: Industry: Incident Type: Impact: 101 May 5, 2003 Unknown Georgia, USA Metal Manufacturing Control/SCADA System Failure Loss of Production/Operation Description (traduction par P. Bock) Vers 23h toutes les automates PL5 de notre usine, connectés via Ethernet, ont perdu leur configuration. Ceux qui étaient connectés uniquementsur bus série DH+ ont été épargnés, ainsi que les automates de marque GE. La correction a consisté à reconfigurer les cartes Ethernet via port série puis de recharger les programmes via Ethernet. Les batteries étaient en bon état. Le problème est arrivé uniquement sur les automates 5/X0 E sur Ethernet : des 80E, 40E et 20E. Nous utilisons deux sous-réseaux : l’un pour la fonderie et l’autre pour le laminoire. Cet incident est arrivé deux nuits de suite, et a affecté tous les automates de série 5 sur Ethernet. Source: The Repository of Industrial Security Incidents (www.securityincidents.org) CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 4 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Des architectures peu sécurisées, exemple 2 Slammer worm hits major auto manufacturer Date: Company: Location: Industry: Incident type: Impact: Jan 2003 Undisclosed Multiple Automotive Malware Loss of Production Description: (Traduction P. Bock) A 17h le samedi 25 Juin 2003, le ver Slammer a touché un des principaux constructeurs automobiles aux USA. Un patch (pour la vulnérabilité SQL exploitée) était disponible depuis 6 mois, mais n’avait pas été installé sur les systèmes de production. Le ver s’est diffusé très rapidement, et a impacté 17 usines du constructeur. Il a fallu 8 heures pour stopper sa diffusion. Les quelques pare-feux ont été incapables de prévenir la diffusion du ver. Il a fallu déconnecter l’infrastructure de communication inter-sites, qui n’était pas sécurisée, et qui est apparue comme le vecteur initial de la diffusion du ver. Source: The Repository of Industrial Security Incidents (www.securityincidents.org) CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 5 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Des automates peu sécurisés accessibles par internet Thomas HOUDY (Lexsi) CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 6 Clusir Rhône-Alpes Club SSI, le 16/11/2011 1 Des architectures peu sécurisées 2 3 http://broadwin.com/Client.htm 4 5 6 CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 7 Clusir Rhône-Alpes Club SSI, le 20/04/2011 Combien de sites en ligne, quelle sécurité ? CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 8 Clusir Rhône-Alpes Club SSI, le 20/04/2011 Connaître les failles SCADA… … et trouver ses victimes … http://www.shodanhq.com/?q=port%3A161+simatic http://www.shodanhq.com/?q=PLC http://www.shodanhq.com/?q=scada http://www.shodanhq.com/?q=bacnet http://www.shodanhq.com/?q=telemetry+gateway CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 9 Clusir Rhône-Alpes Club SSI, le 20/04/2011 Un dernier exemple • Prenons la société XXXX (nom masqué) http://industrial.xxxx.eu/en/products/catalogue/default.html • Et ses mots de passe par défaut : • Cherchons maintenant les sites accessibles avec la page MainAst.shtm: • Se pourrait il que le couple adm/adm fonctionne sur certains sites ? CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 10 Clusir Rhône-Alpes Club SSI, le 20/04/2011 Brute force : la réalité d’un équipement SCADA en ligne CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 11 Clusir Rhône-Alpes Club SSI, le 20/04/2011 Reste-t-il de la place sur le gâteau pour une dernière cerise ? 1 2 3 CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 12 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Architecture par « couches » et vulnérabilités Michel REVOL Patrice BOCK CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 13 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Présentation des « couches » et spécificités • Le découpage par niveau : Facilite la compréhension de chaque procédé Facilite le recensement des procédés Met en évidence l’homogénéité des interfaçages de l’ensemble du système. CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 14 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Présentation des « couches » et spécificités • Représentation sur un schéma technico-fonctionnel CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 15 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Vulnérabilités spécifiques des SCADAs vs durée de vie d’un OS Microsoft… de nombreuses allées et venues, voire des accès distants… Pas de test de vulnérabilité ou de test d’intrusion sur installation opérationnelle Enjeux de sécurité des infrastructures SCADA. Clusif, 17/04/2008. CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 16 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Vulnérabilités des API et réseaux industriels • Protocoles Protocoles série « portés » sur Ethernet/IP « tels quels », sans sécurité (chiffrement, authentification) o Avec pour conséquence principale la possibilité des attaques par « replay » démontrées cet été • Automates Protection du code des automates o Protection des sections de code des automates Mots de passes trop simples Circulent éventuellement en clair Sans logique de session La protection du code n’empêche pas forcément de rajouter d’autres sections o Signature du code dans les automates En théorie permet de vérifier l’intégrité En pratique non vérifié (fabricants proposent quelques outils de checks réguliers) Rarement des traces / logs Accès par liaison série, équivalent mode « console » quelquefois sans protection CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 17 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Exemples pratiques : sécurisation des accès distants, StuxnetDuQu Vincent Gaillot Patrice Bock CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 18 Accès distant au réseau industriel • Contexte: externalisation suivi, maintenance, dépannage • Comment donner accès de manière suffisamment sécurisée au cœur de métier ? • Existant: Passerelle VPN SSL Authentification forte Firewall entre bureautique et réseau industriel Serveur de rebond Workflow Politique de sécurité Équipe locale CLUSIF / CLUSIR Rha Accès distant au réseau industriel • Processus Équipe locale réseau industriel Prestataire •Contacte •Fournit résultat token Éléments Réseau industriel VPN SSL •Utilise son code PIN •S’authentifie •Traverse le firewall: ports et @IP •Accède Se connecte Serveur de rebond • Le prestataire ne peut se connecter sans l’accord du client • Changement destination: utilisation workflow CLUSIF / CLUSIR Rha Clusir Rhône-Alpes Club SSI, le 16/11/2011 2010 : Stuxnet 17 juin août • Détection par Virusblokada • Faille 0-day sur affichage raccourcis par Windows Explorer CLUSIF / CLUSIR Rha • Baptisé Stuxnet par Symantec • Failles 0-day Siemens (SCADA et automate) juillet novembre • Premières analyses par éditeurs anti-virus • Failles 0-day • Certificats volés • Analyse par Ralph Langer • Hypothèses sur source et objectifs Cyber-sécurité SCADA 21 Clusir Rhône-Alpes Club SSI, le 16/11/2011 2010 : Stuxnet (détail) • • Virus/ver/rootkit combinés, apparition sans doute à mi-2009 Détecté détecté le 17 Juin 2010 par la société bielorusse « Virusblokada Faille 0-day Windows exploitée, lié à l’affichage des racourcis • Juillet-Aout : analyses par éditeurs anti-virus identifient d’autres moyens d’actions Usurpation de deux certificats (volés à Taïwan) permettant de signer de faux pilotes D’autres failles exploités dont total 4 0-day : partage de fichier, et failles Siemens • Symantec le nomme « Stuxnet » et travaille avec Siemens pour comprendre l’impact Faille 0-day dans le logiciel SCADA de Siemens (WinCC) Faille 0-day dans le logiciel PC7 (programmation des automates Siemens) permettant de les reprogrammer • Novembre : Ralph Langer, expert de cybersécurité industriel, publie son analyse Stuxnet ciblait particulièrement des installations nucléaires iraniennes (et disposait d’information confidentielles) capacité à connaître et développer des « exploits » de 4 failles « 0-day » code complexe (1,5Mib) embarquant de quoi exploiter 20 failles plusieurs cheminements de réplication différents (USB, réseau, disques partagés, spooleurs d’impression vols (non détectés) de deux certificats (X.509) à des industriels Taiwan capacité à se connecter à un serveur « command&control » pour se mettre à jour capacité à développer des sections de codes pour des automates Siemens, pour deux cibles très différentes Sa conclusion : cyber-attaque pilotée par les USA, Israël et/ou les Russes • Janvier 2011 : article du New York Times Confirme analyse Ralph Langer, et en particulier source probable USA + Isräel o Expériences et développement de compétences aux USA o Tests d’attaques sur des centrifugeuses identiques à celle de Natanz en Iran Plus de détails et liens vers les sources : http://securid.novaclic.com/cyber-securite-industrielle/stuxnet.html CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 22 Clusir Rhône-Alpes Club SSI, le 16/11/2011 2011 : l’après Stuxnet Eté • Autres failles publiées • Percées théoriques • 14-bytes attack • Replay attack • Démonstration aux black hat days • Médiatisation du cas Sunway Hiver • Article NY Times • Confirmation analyse Ralph Langer : USA+Israël contre Iran CLUSIF / CLUSIR Rha Printemps Automne • Publication 34 failles SCADA 0-day par Luigi Auriemma • Packs exploits : metasploit, exploit-db, Gleg • Auriemma : des dizaines de failles 0day supplémentaires • Duqu : ver très proche de Stuxnet détecté en Europe Cyber-sécurité SCADA 23 Clusir Rhône-Alpes Club SSI, le 16/11/2011 2011 : l’après Stuxnet (détail) • Printemps 2011 Publications « 0-day » de 34 failles SCADA par Luigi Auriemma, un chercheur italien, sur 6 SCADA différents Exploit-db et metasploit se voient rapidement enrichir d’exploits car les failles sont souvent faciles à exploiter Un pack d’exploit « spécial SCADA » est mis sur le marché par la société Russe Gleg ($1000) Nessus et consors reçoivent les tests de vulnérabilités correspondants • Eté 2011 Publications concernant des généralisations sur l’exploitation des failles Ralph Nader : code PLC Siemens en 14 octets permettant de programmer une « time bomb » (théorie) Dillon Berresford : fait la preuve de la possibilité d’attaquer les automates Siemens par simple « replay » (trames réseaux) Démonstration lors des black hat days en Aout 2011 D’autres chercheurs commencent à diffuser des failles (mais après travail avec les éditeurs et diffusion des patches) La presse reprendra uniquement le cas d’une faille sur un SCADA Chinois (Sunway) dans des articles orientés… • Automne 2011 Luigi Auriemma remet le couvert et republie des lots des failles, toujours aussi basiques, sur d’autres éditeurs de SCADA Duqu : premier « fils » de Stuxnet (identifiable par son code, et ayant nécessité accès au code source de stuxnet) o Détecté par Symantec sur de nombreuses installations industrielles européennes o Nouveaux exploits, nouveau certificat volé o « uniquement » collecte d’information et renvoi vers un serveur C-C désactivé depuis o Identification, détection et renvoi aux serveur C&C des équipements trouvés o Auto-désactivation en 30 jours Plus de détails et sources ici : http://securid.novaclic.com/cyber-securite-industrielle/a_l_automne_les_failles_tombent.html CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 24 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Retours d’expériences CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 25 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Retour d’expérience : Centre Hospitalier (T. Houdy) • En place : Une multitude d’acteurs / constructeurs / fournisseurs : Marque Intitulé du lot GE Maintenance des équipements de radiologie conventionnelle PHILIPS Maintenance des équipements de radiologie conventionnelle SIEMENS Maintenance des équipements de radiologie conventionnelle APELEM - SORALY Maintenance des équipements de radiologie conventionnelle de radiologie numérisée spécifique STEPHAN'X Maintenance des équipements de radiologie conventionnelle de radiologie numérisée spécifique ACIST Maintenance des injecteurs de produits de contraste BIOSPHERE Maintenance des injecteurs de produits de contraste MEDRAD Maintenance des injecteurs de produits de contraste MEDEX Maintenance des injecteurs de produits de contraste MEDTRON GE, LIEBEL FLARSHEIM ET MALLINCKRODT PLANMECA Maintenance des injecteurs de produits de contraste Maintenance des injecteurs de produits de contraste SOREDEX SATELEC Maintenance des équipements de radiologie dentaire TROPHY STEPHAN'X Maintenance des équipements de radiologie dentaire CLUSIF / CLUSIR Rha PSSI Exigences de sécurité Processus d’achats clair Etc. • Et pourtant : Maintenance des équipements de radiologie dentaire Cyber-sécurité SCADA Conficker Equipements biomédicaux non conformes avec la PSSI / des équipements non sécurisés / non durcis Des fournisseurs peu concernés Des achats mal maitrisés Pas de réelle prise de conscience des équipes biomédicales ou du personnel médical 26 Retour d’expérience : réseau industriel (V. Gaillot) • Société de 1500 personnes, secteur industrie • Réseaux industriel et bureautique non séparés • Équipe informatique dédiée • OS hétérogènes (NT4, 2003) • Utilisation du système WinCC(W) Siemens pour étuves • Visionique (V), Superviseur Mesure (M) • Protection antivirus: Trend, signatures obsolètes, voire aucune (problème ancien) CLUSIF / CLUSIR Rha Retour d’expérience : réseau industriel • Tout allait bien quand soudain … CLUSIF / CLUSIR Rha Retour d’expérience : réseau industriel • Dysfonctionnement V et M • reboot M : Message « Generic Host Process for Win32 » • Plantage W • IHM inutilisables, divers symptômes • reboot inefficace • Suspicion d’infection CLUSIF / CLUSIR Rha Retour d’expérience : réseau industriel • Scans manuels: RAS • Réinstallation antivirus • WORM_NEERIS.SME • Défauts d’usinage • Généralisation de comportement anormaux alerte générale massive, cellule de crise • Isolation et Inventaire • Redémarrage !!! CLUSIF / CLUSIR Rha Retour d’expérience : réseau industriel • Nouvelle vague de comportements anormaux • Infection avérée de V (cf registry et fichiers) • Pollution du réseau • Solutions: scans à froid avec CD bootable Kaspersky (web) et instal Nod32 pour postes NT4, maj manuelle • Création de nouvelles machines saines //désinfection (50 machines) CLUSIF / CLUSIR Rha Retour d’expérience : réseau industriel Causes et Conséquences • Causes identifiées : absence ou obsolescence d’AV, absence de patches, USB, absence de séparation • Malwares: NetWorm.Kolab/Neeris, Backdoor.IRCBot/Rbot, et un soupçon de Conficker/Kido/Downadup • Retour à la normale : 1 semaine • Organes sécurité rétablis: antivirus, FW • Signal faible: plusieurs reboots non maîtrisés sur un 2003 depuis quelques semaines CLUSIF / CLUSIR Rha Retour d’expérience : Sonatrach (E. Deronzier) GL1Z GL2Z GL4Z GP1Z GL1K 1978 1978 1964 1983 1972 CLUSIF / CLUSIR Rha Retour d’expérience : Sonatrach Analyse de sécurité des équipements des complexes Analyse des risques Risque d’explosion APR Zonage ATEX EIPS Zones : 0, 1, 2 Sécurité informatique Enjeux et Risques Adéquation du matériel électrique et non électrique SIL Niveau de sécurité SdF Maintenances, cahier des charges CLUSIF / CLUSIR Rha Soudage Sécurité Incendie Causes profondes AMDEC EIPS critiques Audit des systèmes d’exploitation Facteurs Humains Maîtrise des procédés Vulnérabilité Électrique Actions priorisées Mise en œuvre d’un SMSI Information Extinction Formation Niveau 4 Système de Gestion Industrielle Financière d’Entreprise Niveau 3 Supervision et Optimisation Niveau 1 Capteur et actionneurs Niveau 0 Procédé de fabrication CLUSIF / CLUSIR Rha IEC 61508 Niveau 2 Contrôle automatisé, surveillance ISA 99 Périmètre étudié sécurité informatique ISO 27000 Retour d’expérience : Sonatrach Retour d’expérience : Sonatrach • En synthèse : Culture des automaticiens très faibles vis-à-vis des risques liées à la sécurité informatique (cyber sécurité) Adhérence et confiance beaucoup trop forte vis-à-vis des fournisseurs de SCADA (DCS) Des problématiques souvent proches de la SSI mais des solutions techniques spécifiques peu maîtrisées Une forte hétérogénéité de la gestion des processus « ITIL » entre Informatique de gestion et informatique industrielle Enfin des trous de sécurité sur des sujets réputés comme acquis (sécurité des salles DCS, …) CLUSIF / CLUSIR Rha Clusir Rhône-Alpes Club SSI, le 16/11/2011 Qu’est ce qu’un SAE / SAGT ? (M. Revol) Pour faire face à la complexité croissante des procédures de gestion d’exploitation : Le Système d’A Aide à l’E Exploitation / Gestion du Trafic C’est un système : – Fédérateur – Communiquant – Sûr et disponible – Évolutif – Ergonomique – Pédagogique CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 37 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Le SAE peut être développé en 2 parties bien distinctes : CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 38 Clusir Rhône-Alpes Club SSI, le 16/11/2011 L’évolution des SAE CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 41 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Agenda (détaillé &qui fait quoi – à discuter) Exemples d’attaques sur un panneau à message variable : DANGER FAITES DEMI-TOUR – Message pour provoquer un/des accidents graves – Message à caractère racial CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 42 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Agenda (détaillé &qui fait quoi – à discuter) Zone de développement Nos chers utilisateurs Nos chers utilisateurs Zone inconnue Les accès l’énergie… Les accès l’énergie… Les accès l’énergie… L’équipement CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 43 Clusir Rhône-Alpes Club SSI, le 16/11/2011 Conclusion • Qui porte la sécurité dans les installations industrielles ? • Quels sont les enjeux ? Ouvrons le débat : échanges CLUSIF / CLUSIR Rha Cyber-sécurité SCADA 44