EBITS 2013 Totalförsvarets Forskningsinstitut David Lindahl Erik Westring
Demo: Hur går ett angrepp till Något förenklat på grund av tidsbrist..men bara något.
Antagonistiska hot Antagonistiska hot är sådana som syftar till att orsaka skada. Personer Datorprogram, maskiner som aktiverats med syftet att orsaka skada MYCKET farligare än stokastiska hot. Sårbarheter kan studeras under lång tid. En sårbarhet som bara kan utnyttjas om ett antal villkor uppfylls kan inte riskberäknas med slumpantaganden Kombinationer av sårbarheter kan leda till mycket värre konsekvenser än ett stokastiskt hot skulle kunna åstadkomma
Demonstration Angriparen Erik (D00/\/\Br1 \ 93r) vill ta sig in och ställa till besvär hos ett företag eftersom företaget anlitar en juristfirma som också har företrätt antipiratindustrin Fiktiv-Erik är en medelgod hacker (Verklig-Erik är betydligt bättre). Han är aktiv på forum och känner till grunderna i SCADAsystem Han är en politiskt motiverad hacktivist
Aktörer Enskilda individer Hacktivister, Vandaler, Hämnare, Insiders Spioner Företag, länder, övriga Terrorister Osannolikt Organiserad brottslighet Främmande stater Militära förband eller OGA Automatiska angrepp via datorprogram som maskar eller virus.
Syfte Status, uppmärksamhet, utmaningen Ekonomisk vinning Information, virtuell terräng, marknadsmanipulation Politiska mål Åtkomst för andra attacker Övning / Ni råkade vara i vägen Personlig hämnd
Steg ett: UND-aktivitet Öppna källor Social ingenjörskonst* Forum och informationsdelning mellan angripare Erik har fått reda på att en viss anläggning styr en trafikkorsning och bestämmer sig för att angripa den
*Social ingenjörskonst Få någon att vidta en åtgärd som leder till ett lyckat angrepp Lämna ut sitt lösenord Öppna mailbilagor med malware Plocka upp ett USB-minne på parkeringen och sätta in det i en dator innanför brandväggen Mycket lätt att få folk att göra en tjänst De flesta användare vet inte vilka åtgärder som är farliga eller försätter systemet i ett osäkert läge.
En kille på Internet sa att det här funkar.
Hacking Dator 1 ber dator 2 att göra något dåligt. Dator 2 är inställd på ett av två sätt A) Dator 2 försöker utföra tjänsten B) Dator 2 vägrar utföra tjänsten Fall A resulterar KANSKE i avsedd verkan Fall B ger ingen avsedd verkan, men KANSKE kan angriparen få information och KANSKE varnas den angripne om angreppet. Varför skulle en dator vara inställd på ett så dåligt sätt?
Säkerhetslager läggs till sist
Steg ett Om det finns en brandvägg finns det en väg ut och in. Erik startar upp ett verktyg ZENmap som finns gratis på Internet och börjar scanna brandväggen Efter en stund får han upp en kontakt med en dator på andra sidan brandväggen, i en DMZ
DMZ
Steg två: Sårbarheter? NexPose Verktyg fritt tillgängligt på Internet Specialiserat på att smyg-analysera sårbarheter hos datorer
Steg tre: Armitage/Metasploit Verktyg för PENtest Globalt nätverk av utvecklare tillverkar moduler som läggs in i ett färdigt ramverk Fritt tillgängligt, betalversion har bättre användarstöd Hacking är inte längre ett enmansjobb
Steg tre fortsättning Erik väljer en lämplig angreppsmodul Han väljer en lämplig angreppsprogramvara, och verktyget gör jobbet automatiskt Har han tur får han fullständig kontroll över datorn på ett ögonblick
Not in Kansas anymore Väl inne undersöker Erik datorn för att ta reda på vad den är till för, vilka processer den kör och hur den är kopplad mot omvärlden. Han letar upp lösenordsfilen och laddar ner den till sin egen maskin Alla aktiviteter sker i minnet på maskinen och få eller inga spår lämnas på disken. En skicklig hacker kan radera alla* loggar *På den lokala maskinen, se IDS
IDS En dator som ligger i systemet men inte kommunicerar med andra delar Kanariefågel: Ska aldrig kontaktas av någon annan dator. Om en scanning sker larmar datorn en människa eller en mer kapabel IDS IDS lyssnar på all kommunikation och försöker matcha detta mot tillåten trafik och kända attacksignaturer. Rätt inställd är den jättebra. IPS dator som försöker vidta åtgärder för att stoppa angrepp, T ex genom att helt stänga ner kommunikation under viss tid, el dyl.
Regnbågstabeller Verktyg för knäckning av lösenordsfiler (m m) Förberedda databaser som ger en möjlighet att under lång tid, offline* knäcka filer i lugn och ro för att sedan kunna logga in i systemen som en legitim användare.
Åter in i systemet Erik använder sina nya lösenord till att fjärradministrera brandväggen och lägga in en väg så att han i framtiden kan återvända när han vill. Sedan går han in i DMZ-servern och ändrar spelreglerna Han Pivoterar
Pivotering DMZ-servern har två nätverkskort. Den ska aldrig tillåta trafik in från det ena och ut genom det andra. Men det finns bara mjukvaruspärrar mot detta så Erik ändrar reglerna (bokstavligt)
Repetera från början Kartlägg det inre nätverket med den nya datorn som framskjuten bas (Databas <-Nördhumor) Lyssna på all trafik i flera dygn (Moment höppas över p g a tidsbrist. Kartlägg nätverket, ZENmap Identifiera intressanta servrar, portar och sårbarheter, NexPose Angrip nya mål med Metasploit
SCADA! Det finns datorer i nätverket som pratar på standard-scada-portar Port i det här fallet är som en postboxadress som går till ett visst program i en dator. Vissa portar används som standard av vissa program och kan inte trivialt ställas om. Erik börjar titta närmare på de datorerna.
Angrepp Trafikljus Erik sänder nya styrprogram till PLC:erna PLC:erna försöker utföra orderna och resultatet är att det blir grönt åt flera håll samtidigt. Beroende på hur systemet ser ut hade Erik kanske kunnat störa processen på ett sådant sätt att själva maskinerna PLC:erna styr hade gått sönder. (Vi får inte dema detta för tillfället av juridiska skäl)
Försvar IDS Datorer som lyssnar av trafik på nätet och larmar om angrepp sker Autentisering Brandväggen sak bara kunna administreras från vissa kända datorer PLC:er ska inte ta order från vem som helst Kontinuerligt säkerhetsarbete Kolla sårbarheter innan Erik gör det.
MSB publikation Vägledning till ökad säkerhet i industriella kontrollsystem https://www.msb.se/ribdata/filer/pdf/25548.pdf