SCADA StrangeLove

Scada Strangelove er en non-profit informationssikkerhedsforskningsgruppe  grundlagt i 2012 , med fokus på sikkerhedsanalyse af industrielle kontrolsystemer såsom SCADA, PLC, RTU, SmartGrid.

Aktiviteter

Hovedretninger:

• identifikation og eliminering af 0-dages sårbarheder og bogmærker;
• analyse af sikkerheden for hovedkomponenterne i det automatiserede proceskontrolsystem, såsom protokoller, udviklingsværktøjer;
• identifikation af automatiserede proceskontrolsystemer forbundet til internettet;
• udvikling af anbefalinger til forbedring af sikkerheden i industrielle systemer;
• forskning i indvirkningen af ​​cybersikkerhed på funktionel sikkerhed og genopretning efter katastrofer;
• formidle information om den aktuelle tilstand af industrielle systemers sikkerhed og øge samfundsbevidstheden.

Forskningens fokus er ikke kun systemer på industrielt niveau, men også andre indlejrede systemer, såsom smarte hjem, sol- og vindkraftværker, SmartGrid-systemer mv.

Projekter

Hjælpeprogrammer er udviklet og offentliggjort i det offentlige domæne til at identificere og analysere sikkerheden ved netværksinteraktion, valg af adgangskoder til industrielle protokoller, såsom modbus, Siemens S7, MMS, IEC 60870, ProfiNet [1] .

I 2014 blev udviklingen brugt i Shodan -systemet til at bygge et kort over APCS-komponenterne [2] tilgængelige fra internettet.

Nogle udgivelser er indbygget i open source-sikkerhedsanalysesystemer såsom THC Hydra [3] , Metasploit [4] , DigitalBond Redpoint [5] .

Et sæt anbefalinger til forbedring af sikkerheden i industrielle systemer baseret på Siemens SIMATIC WinCC [6] og WinCC Flexible [7] produkter er blevet offentliggjort . Dokumenterne beskriver de indbyggede sikkerhedsmekanismer, og hvordan man bruger dem.

Et af holdets projekter, Choo Choo PWN-testmodellen, også kendt som Critical Infrastructure Attack (CIA), er en legetøjsby, hvis infrastruktur (jernbane, fabrikker, belysning) styres ved hjælp af ægte industrielt udstyr. Systemet blev brugt på PHDays, Power of Community [8] , 30C3 konferencer.

Layoutet bruges både til træning og til at finde sårbarheder. For eksempel identificerede deltagerne på Positive Hack Days IV-forummet adskillige 0-dages sårbarheder i Indusoft Web Studio 7.1 af Schneider Electric, RTU PET-7000 [9] .

Forestillinger

Teammedlemmer taler aktivt ved konferencer rundt om i verden, såsom CCC , SCADA Security Scientific Symposium, Positive Hack Days . Blandt de mest betydningsfulde taler er:

29C3

En oversigt over de sårbarheder, som teamet har identificeret i den populære Siemens SIMATIC WinCC-platform, værktøjer til at opdage ICS på internettet, præsenteres. [10] .

PHDays

PHDays III [11] og PHDays IV [12] præsentationer præsenterede sårbarheder i almindelige ICS-platforme fra ABB, Emerson, Honeywell og Siemens.

Tillid 2014

Resultaterne af sikkerhedsanalysen [13] af både velkendte protokoller Profinet, Modbus, DNP3 og netværksprotokoller IEC 61850-8-1 (MMS), IEC 61870-5-101/104, FTE (Fault Tolerant Ethernet), Siemens S7 præsenteres.

Pacsec 2014

En analyse [14] af virkningen af ​​at bruge radioadgang og 3G/4G-netværk på sikkerheden af ​​abonnentenheder, herunder industrielt udstyr, præsenteres.

Filosofi

Navnet, sloganet og andre elementer i gruppen refererer til Stanley Kubricks kultfilm Dr. Strangelove eller: Hvordan jeg lærte at stoppe med at bekymre mig og elske bomben". Rapporterne gør udstrakt brug af referencer til episoder fra den kolde krig, såsom Cubakrisen. Der drages paralleller mellem atomvåbenkapløbet og den aktuelle eskalering af cyberkrigsførelse.

Holdet holder fast i ideen om "ansvarlig afsløring" og ifølge udtalelser "villige til at vente i årevis på, at sælgeren lukker hullet." Holdet udgiver ikke udnyttelser til identificerede sårbarheder, med henvisning til en lang cyklus af ændringer til industrielle systemer, hvor det kan tage år fra frigivelsen af ​​en patch til dens installation.

Men der opstår nogle gange konflikter, for eksempel i 2012 blev en forestilling på DEF CON [15] aflyst .

Presseomtaler

• Large Hadron Collider brugte sårbart SCADA-system, ITnews Australia Arkiveret 29. november 2014 på Wayback Machine
• WinCC Under X-rays af Sergey Gordeychik, Digital Bond Arkiveret 29. november 2014 på Wayback Machine
• SCADA Security In A Post-Stuxnet World, Information Week Dark Reading Arkiveret 15. december 2014 på Wayback Machine
• Hackere får 'fuld kontrol' over kritiske SCADA-systemer, ITnews Australia Arkiveret 29. november 2014 på Wayback Machine
• Stuxnet-problemer buldrer videre, mens sårbarheder forbliver, PC Pro  (utilgængeligt link)
• Siemens-software målrettet af Stuxnet stadig fuld af huller, Computerworld Arkiveret 29. november 2014 på Wayback Machine

Noter

1. ↑ GitHub: scada-tools [1] Arkiveret 28. april 2017 på Wayback Machine 
2. ↑ Shodan Arkiveret kopi (link utilgængeligt) . Hentet 23. december 2014. Arkiveret fra originalen 21. februar 2015.  (ubestemt)   (Engelsk)
3. ↑ Ændringslog for hydra [2] Arkiveret 19. december 2014 på Wayback Machine 
4. ↑ GitHub: wincc_harvester [3  ]
5. ↑ Redpoint Release: Siemens S7 Enumeration [4] Arkiveret 12. november 2014 på Wayback Machine 
6. ↑ Siemens Simatic WinCC 7.X SCADA Security Hardening Guide Draft Version Arkiveret (link utilgængeligt) . Hentet 20. november 2014. Arkiveret fra originalen 27. maj 2015.  (ubestemt)   (Engelsk)
7. ↑ Siemens Simatic WinCC Flexible 2008 Security Hardening Guide [5] Arkiveret 29. september 2014 på Wayback Machine 
8. ↑ [POC2013-TV] 실제 스카다 시스템, 2시간 만에 해킹당해 [6] Arkiveret 18. december 2014 på Wayback Machine  (koreansk)
9. ↑ Smart City hacket på PHDays IV [7] Arkiveret 23. december 2014 på Wayback Machine 
10. ↑ SCADA STRANGELOVE eller: How I Learned to Start Worrying and Love Nuclear Plants [8] Arkiveret 23. marts 2017 på Wayback Machine 
11. ↑ Positive Hack Days III [9] Arkiveret 23. december 2014 på Wayback Machine 
12. ↑ Positive Hack Days IV [10] Arkiveret 23. december 2014 på Wayback Machine 
13. ↑ SCADA dybt inde: protokoller og sikkerhedsmekanismer Arkiveret kopi (link ikke tilgængeligt) . Dato for adgang: 23. december 2014. Arkiveret fra originalen 19. december 2014.  (ubestemt)   (Engelsk)
14. ↑ Root via SMS [11] Arkiveret 12. oktober 2017 på Wayback Machine 
15. ↑ Siemens industriel software målrettet af Stuxnet er stadig fuld af huller [12] Arkiveret 19. december 2014 på Wayback Machine