Cybersécurité industrielle

Transcription

Clusir Rhône-Alpes Club SSI, le 16/11/2011
Cyber-sécurité SI
Industriels (SCADA)
Patrice BOCK (Euriware)
Eric DERONZIER (Ysosecure)
Vincent GAILLOT (Osiatis)
Thomas HOUDY (Lexsi)
Michel REVOL (Egis France)
CLUSIF / CLUSIR Rha
Cyber-sécurité SCADA
1
Ordre du jour
•
•
•
•
Introduction : SCADA, automates
Des infrastructures peu sécurisées, accessibles par internet
Présentation des « couches ISA », spécificités, vulnérabilités
Exemples pratiques
Accès distant
Stuxnet et état des lieux un an après
•
Retour d’expérience : quatre témoignages
Test d’intrusion en environnement hospitalier
Exemple d’incident récent sur réseaux industriels
Conseil sur environnement industriel critique
Sécurisation d’une infrastructure de pilotage
•
•
Conclusion
Questions / réponses
CLUSIF / CLUSIR Rha
2
Introduction : le contrôle-commande
•
SCADA : Supervisory Control And Data Acquisition - système de supervision permettant
la centralisation des données, la présentation souvent semi-graphique sur des postes de
« pilotage », la gestion des alarmes, l’historisation des données…
Document ISA.org
•
API – automates programmables industriels (PLCs en anglais) pilotent des équipements
physiques et SNCC - systèmes numériques de contrôle-commande (DCS) pilotent des
processus continus (chimie…)
CLUSIF / CLUSIR Rha
3
Des architectures peu sécurisées, exemple 1:
11 automates tombent en panne
Incident ID:
Date:
Company:
Location:
Industry:
Incident Type:
Impact:
101
May 5, 2003
Unknown
Georgia, USA
Metal Manufacturing
Control/SCADA System Failure
Loss of Production/Operation
Description (traduction par P. Bock)
Vers 23h toutes les automates PL5 de notre usine, connectés via Ethernet, ont perdu leur configuration.
Ceux qui étaient connectés uniquementsur bus série DH+ ont été épargnés, ainsi que les automates de
marque GE. La correction a consisté à reconfigurer les cartes Ethernet via port série puis de recharger
les programmes via Ethernet. Les batteries étaient en bon état.
Le problème est arrivé uniquement sur les automates 5/X0 E sur Ethernet : des 80E, 40E et 20E. Nous
utilisons deux sous-réseaux : l’un pour la fonderie et l’autre pour le laminoire.
Cet incident est arrivé deux nuits de suite, et a affecté tous les automates de série 5 sur Ethernet.
Source: The Repository of Industrial Security Incidents (www.securityincidents.org)
CLUSIF / CLUSIR Rha
4
Des architectures peu sécurisées, exemple 2
Slammer worm hits major auto manufacturer
Date:
Company:
Location:
Industry:
Incident type:
Impact:
Jan 2003
Undisclosed
Multiple
Automotive
Malware
Loss of Production
Description: (Traduction P. Bock)
A 17h le samedi 25 Juin 2003, le ver Slammer a touché un des principaux constructeurs automobiles aux
USA. Un patch (pour la vulnérabilité SQL exploitée) était disponible depuis 6 mois, mais n’avait pas été
installé sur les systèmes de production.
Le ver s’est diffusé très rapidement, et a impacté 17 usines du constructeur. Il a fallu 8 heures pour
stopper sa diffusion.
Les quelques pare-feux ont été incapables de prévenir la diffusion du ver.
Il a fallu déconnecter l’infrastructure de communication inter-sites, qui n’était pas sécurisée, et qui est
apparue comme le vecteur initial de la diffusion du ver.
Source: The Repository of Industrial Security Incidents (www.securityincidents.org)
CLUSIF / CLUSIR Rha
5
Des automates peu
sécurisés accessibles
par internet
Thomas HOUDY (Lexsi)
CLUSIF / CLUSIR Rha
6
1
Des architectures peu sécurisées
2
3
http://broadwin.com/Client.htm
4
5
6
CLUSIF / CLUSIR Rha
7
Combien de sites en ligne, quelle sécurité ?
CLUSIF / CLUSIR Rha
8
Connaître les failles SCADA…
… et trouver ses
victimes …
http://www.shodanhq.com/?q=port%3A161+simatic
http://www.shodanhq.com/?q=PLC
http://www.shodanhq.com/?q=scada
http://www.shodanhq.com/?q=bacnet
http://www.shodanhq.com/?q=telemetry+gateway
CLUSIF / CLUSIR Rha
9
Un dernier exemple
• Prenons la société XXXX (nom masqué)
http://industrial.xxxx.eu/en/products/catalogue/default.html
• Et ses mots de passe par défaut :
•
Cherchons maintenant les sites accessibles avec la page MainAst.shtm:
•
Se pourrait il que le couple adm/adm fonctionne sur certains sites ?
CLUSIF / CLUSIR Rha
10
Brute force : la réalité d’un équipement
SCADA en ligne
CLUSIF / CLUSIR Rha
11
Reste-t-il de la place sur le gâteau pour une dernière cerise ?
1
2
3
CLUSIF / CLUSIR Rha
12
Architecture par
« couches » et
vulnérabilités
Michel REVOL
Patrice BOCK
CLUSIF / CLUSIR Rha
13
Présentation des « couches » et spécificités
•
Le découpage par niveau :
Facilite la compréhension de chaque procédé
Facilite le recensement des procédés
Met en évidence l’homogénéité des interfaçages de l’ensemble du système.
CLUSIF / CLUSIR Rha
14
Présentation des « couches » et spécificités
•
Représentation sur un schéma technico-fonctionnel
CLUSIF / CLUSIR Rha
15
Vulnérabilités spécifiques des SCADAs
vs durée de vie d’un OS Microsoft…
de nombreuses allées et venues, voire des
accès distants…
Pas de test de vulnérabilité ou de test
d’intrusion sur installation opérationnelle
Enjeux de sécurité des infrastructures SCADA. Clusif, 17/04/2008.
CLUSIF / CLUSIR Rha
16
Vulnérabilités des API et réseaux industriels
• Protocoles
Protocoles série « portés » sur Ethernet/IP « tels quels », sans sécurité (chiffrement,
authentification)
o Avec pour conséquence principale la possibilité des attaques par « replay »
démontrées cet été
• Automates
Protection du code des automates
o Protection des sections de code des automates
Mots de passes trop simples
Circulent éventuellement en clair
Sans logique de session
La protection du code n’empêche pas forcément de rajouter d’autres sections
o Signature du code dans les automates
En théorie permet de vérifier l’intégrité
En pratique non vérifié (fabricants proposent quelques outils de checks réguliers)
Rarement des traces / logs
Accès par liaison série, équivalent mode « console » quelquefois sans protection
CLUSIF / CLUSIR Rha
17
Exemples pratiques :
sécurisation des accès
distants, StuxnetDuQu
Vincent Gaillot
Patrice Bock
CLUSIF / CLUSIR Rha
18
Accès distant au réseau industriel
• Contexte: externalisation suivi, maintenance,
dépannage
• Comment donner accès de manière
suffisamment sécurisée au cœur de métier ?
• Existant:
Passerelle VPN SSL
Authentification forte
Firewall entre bureautique et réseau industriel
Serveur de rebond
Workflow
Politique de sécurité
Équipe locale
CLUSIF / CLUSIR Rha
Accès distant au réseau industriel
• Processus
Équipe locale
réseau industriel
Prestataire
•Contacte
•Fournit
résultat token
Éléments Réseau
industriel
VPN SSL
•Utilise son
code PIN
•S’authentifie
•Traverse le firewall:
ports et @IP
•Accède
Se
connecte
Serveur de
rebond
• Le prestataire ne peut se connecter sans
l’accord du client
• Changement destination: utilisation workflow
CLUSIF / CLUSIR Rha
2010 : Stuxnet
17 juin
août
• Détection par
Virusblokada
• Faille 0-day sur
affichage
raccourcis par
Windows Explorer
CLUSIF / CLUSIR Rha
• Baptisé Stuxnet
par Symantec
• Failles 0-day
Siemens (SCADA
et automate)
juillet
novembre
• Premières
analyses par
éditeurs anti-virus
• Failles 0-day
• Certificats volés
• Analyse par Ralph
Langer
• Hypothèses sur
source et objectifs
21
2010 : Stuxnet (détail)
•
•
Virus/ver/rootkit combinés, apparition sans doute à mi-2009
Détecté détecté le 17 Juin 2010 par la société bielorusse « Virusblokada
Faille 0-day Windows exploitée, lié à l’affichage des racourcis
•
Juillet-Aout : analyses par éditeurs anti-virus identifient d’autres moyens d’actions
Usurpation de deux certificats (volés à Taïwan) permettant de signer de faux pilotes
D’autres failles exploités dont total 4 0-day : partage de fichier, et failles Siemens
•
Symantec le nomme « Stuxnet » et travaille avec Siemens pour comprendre l’impact
Faille 0-day dans le logiciel SCADA de Siemens (WinCC)
Faille 0-day dans le logiciel PC7 (programmation des automates Siemens) permettant de les reprogrammer
•
Novembre : Ralph Langer, expert de cybersécurité industriel, publie son analyse
Stuxnet ciblait particulièrement des installations nucléaires iraniennes (et disposait d’information confidentielles)
capacité à connaître et développer des « exploits » de 4 failles « 0-day »
code complexe (1,5Mib) embarquant de quoi exploiter 20 failles
plusieurs cheminements de réplication différents (USB, réseau, disques partagés, spooleurs d’impression
vols (non détectés) de deux certificats (X.509) à des industriels Taiwan
capacité à se connecter à un serveur « command&control » pour se mettre à jour
capacité à développer des sections de codes pour des automates Siemens, pour deux cibles très différentes
Sa conclusion : cyber-attaque pilotée par les USA, Israël et/ou les Russes
•
Janvier 2011 : article du New York Times
Confirme analyse Ralph Langer, et en particulier source probable USA + Isräel
o Expériences et développement de compétences aux USA
o Tests d’attaques sur des centrifugeuses identiques à celle de Natanz en Iran
Plus de détails et liens vers les sources : http://securid.novaclic.com/cyber-securite-industrielle/stuxnet.html
CLUSIF / CLUSIR Rha
22
2011 : l’après Stuxnet
Eté
• Autres failles publiées
• Percées théoriques
• 14-bytes attack
• Replay attack
• Démonstration aux
black hat days
• Médiatisation du cas
Sunway
Hiver
• Article NY Times
• Confirmation analyse
Ralph Langer :
USA+Israël contre
Iran
CLUSIF / CLUSIR Rha
Printemps
Automne
• Publication 34 failles
SCADA 0-day par
Luigi Auriemma
• Packs exploits :
metasploit, exploit-db,
Gleg
• Auriemma : des
dizaines de failles 0day supplémentaires
• Duqu : ver très
proche de Stuxnet
détecté en Europe
23
2011 : l’après Stuxnet (détail)
• Printemps 2011
Publications « 0-day » de 34 failles SCADA par Luigi Auriemma, un chercheur italien, sur 6 SCADA différents
Exploit-db et metasploit se voient rapidement enrichir d’exploits car les failles sont souvent faciles à exploiter
Un pack d’exploit « spécial SCADA » est mis sur le marché par la société Russe Gleg ($1000)
Nessus et consors reçoivent les tests de vulnérabilités correspondants
•
Eté 2011
Publications concernant des généralisations sur l’exploitation des failles
Ralph Nader : code PLC Siemens en 14 octets permettant de programmer une « time bomb » (théorie)
Dillon Berresford : fait la preuve de la possibilité d’attaquer les automates Siemens par simple « replay » (trames réseaux)
Démonstration lors des black hat days en Aout 2011
D’autres chercheurs commencent à diffuser des failles (mais après travail avec les éditeurs et diffusion des patches)
La presse reprendra uniquement le cas d’une faille sur un SCADA Chinois (Sunway) dans des articles orientés…
•
Automne 2011
Luigi Auriemma remet le couvert et republie des lots des failles, toujours aussi basiques, sur d’autres éditeurs de SCADA
Duqu : premier « fils » de Stuxnet (identifiable par son code, et ayant nécessité accès au code source de stuxnet)
o Détecté par Symantec sur de nombreuses installations industrielles européennes
o Nouveaux exploits, nouveau certificat volé
o « uniquement » collecte d’information et renvoi vers un serveur C-C désactivé depuis
o Identification, détection et renvoi aux serveur C&C des équipements trouvés
o Auto-désactivation en 30 jours
Plus de détails et sources ici : http://securid.novaclic.com/cyber-securite-industrielle/a_l_automne_les_failles_tombent.html
CLUSIF / CLUSIR Rha
24
Retours
d’expériences
CLUSIF / CLUSIR Rha
25
Retour d’expérience : Centre Hospitalier (T. Houdy)
•
En place :
Une multitude d’acteurs / constructeurs / fournisseurs :
Marque
Intitulé du lot
GE
Maintenance des équipements de radiologie conventionnelle
PHILIPS
SIEMENS
APELEM - SORALY
de radiologie numérisée spécifique
STEPHAN'X
de radiologie numérisée spécifique
ACIST
Maintenance des injecteurs de produits de contraste
BIOSPHERE
MEDRAD
MEDEX
MEDTRON
GE, LIEBEL FLARSHEIM ET
MALLINCKRODT
PLANMECA
SOREDEX SATELEC
Maintenance des équipements de radiologie dentaire
TROPHY STEPHAN'X
CLUSIF / CLUSIR Rha
PSSI
Exigences de sécurité
Processus d’achats clair
Etc.
•
Et pourtant :
Conficker
Equipements biomédicaux non
conformes avec la PSSI / des
équipements non sécurisés /
non durcis
Des fournisseurs peu concernés
Des achats mal maitrisés
Pas de réelle prise de
conscience des équipes
biomédicales ou du personnel
médical
26
Retour d’expérience : réseau industriel (V.
Gaillot)
• Société de 1500 personnes, secteur industrie
• Réseaux industriel et bureautique non séparés
• Équipe informatique dédiée
• OS hétérogènes (NT4, 2003)
• Utilisation du système WinCC(W) Siemens pour
étuves
• Visionique (V), Superviseur Mesure (M)
• Protection antivirus: Trend, signatures
obsolètes, voire aucune (problème ancien)
CLUSIF / CLUSIR Rha
Retour d’expérience : réseau industriel
• Tout allait bien quand soudain …
CLUSIF / CLUSIR Rha
• Dysfonctionnement V et M
• reboot M : Message « Generic Host Process for
Win32 »
• Plantage W
• IHM inutilisables, divers symptômes
• reboot inefficace
• Suspicion d’infection
CLUSIF / CLUSIR Rha
• Scans manuels: RAS
• Réinstallation antivirus
• WORM_NEERIS.SME
• Défauts d’usinage
• Généralisation de comportement anormaux
alerte générale massive, cellule de crise
• Isolation et Inventaire
• Redémarrage !!!
CLUSIF / CLUSIR Rha
• Nouvelle vague de comportements anormaux
• Infection avérée de V (cf registry et fichiers)
• Pollution du réseau
• Solutions: scans à froid avec CD bootable
Kaspersky (web) et instal Nod32 pour postes
NT4, maj manuelle
• Création de nouvelles machines saines
//désinfection (50 machines)
CLUSIF / CLUSIR Rha
Causes et Conséquences
• Causes identifiées : absence ou obsolescence
d’AV, absence de patches, USB, absence de
séparation
• Malwares: NetWorm.Kolab/Neeris,
Backdoor.IRCBot/Rbot, et un soupçon de
Conficker/Kido/Downadup
• Retour à la normale : 1 semaine
• Organes sécurité rétablis: antivirus, FW
• Signal faible: plusieurs reboots non maîtrisés
sur un 2003 depuis quelques semaines
CLUSIF / CLUSIR Rha
Retour d’expérience : Sonatrach (E.
Deronzier)
GL1Z
GL2Z
GL4Z
GP1Z
GL1K
1978
1978
1964
1983
1972
CLUSIF / CLUSIR Rha
Retour d’expérience : Sonatrach
Analyse de sécurité des équipements des complexes
Analyse des
risques
Risque
d’explosion
APR
Zonage ATEX
EIPS
Zones : 0, 1, 2
Sécurité
informatique
Enjeux et
Risques
Adéquation du
matériel électrique et
non électrique
SIL
Niveau de
sécurité
SdF
Maintenances,
cahier des charges
CLUSIF / CLUSIR Rha
Soudage
Sécurité
Incendie
Causes
profondes
AMDEC
EIPS critiques
Audit des systèmes
d’exploitation
Facteurs
Humains
Maîtrise des
procédés
Vulnérabilité
Électrique
Actions
priorisées
Mise en
œuvre
d’un SMSI
Information
Extinction
Formation
Niveau 4
Système de Gestion Industrielle
Financière d’Entreprise
Niveau 3
Supervision
et Optimisation
Niveau 1
Capteur et actionneurs
Niveau 0
Procédé de fabrication
CLUSIF / CLUSIR Rha
IEC 61508
Niveau 2
Contrôle automatisé, surveillance
ISA 99
Périmètre
étudié
sécurité
informatique
ISO 27000
• En synthèse :
Culture des automaticiens très faibles vis-à-vis des risques liées
à la sécurité informatique (cyber sécurité)
Adhérence et confiance beaucoup trop forte vis-à-vis des
fournisseurs de SCADA (DCS)
Des problématiques souvent proches de la SSI mais des
solutions techniques spécifiques peu maîtrisées
Une forte hétérogénéité de la gestion des processus « ITIL »
entre Informatique de gestion et informatique industrielle
Enfin des trous de sécurité sur des sujets réputés comme acquis
(sécurité des salles DCS, …)
CLUSIF / CLUSIR Rha
Qu’est ce qu’un SAE / SAGT ? (M. Revol)
Pour faire face à la complexité croissante des procédures de
gestion d’exploitation :
Le Système d’A
Aide à l’E
Exploitation / Gestion du Trafic
C’est un système :
– Fédérateur
– Communiquant
– Sûr et disponible
– Évolutif
– Ergonomique
– Pédagogique
CLUSIF / CLUSIR Rha
37
Le SAE peut être développé en 2 parties bien
distinctes :
CLUSIF / CLUSIR Rha
38
L’évolution des SAE
CLUSIF / CLUSIR Rha
41
Agenda (détaillé &qui fait quoi – à discuter)
Exemples d’attaques sur un panneau à message variable :
DANGER
FAITES DEMI-TOUR
– Message pour provoquer un/des accidents graves
– Message à caractère racial
CLUSIF / CLUSIR Rha
42
Agenda (détaillé &qui fait quoi – à discuter)
Zone de
développement
Nos chers
utilisateurs
Nos chers
utilisateurs
Zone
inconnue
Les accès
l’énergie…
Les accès
l’énergie…
Les accès
l’énergie…
L’équipement
CLUSIF / CLUSIR Rha
43
Conclusion
•
Qui porte la sécurité dans les installations industrielles ?
•
Quels sont les enjeux ?
Ouvrons le débat : échanges
CLUSIF / CLUSIR Rha
44

Cybersécurité industrielle

Transcription

Documents pareils

CLUSIR - Les nouvelles menaces

COMPTE RENDU VOYAGE EN GRECE JUIN 2014

Charte du club envers ses adhérents

Lycée Benoît Fourneyron Saint

SERTHEL INDUSTRIE meets your needs in modernization

Tarifs licences au 310816 - Comité Régional Rhône

Management des vulnérabilités

EADS France

de SAULGES

Au Chalet des Alpes au Bessat (42)