На конференции GeekPWN в Шанхае мы провели финал соревнования по промышленной кибербезопасности Kaspersky Industrial CTF 2017. В отборочном туре участие приняли почти 700 команд. Преимущественно это были студенты из разных стран, изучающие информационные технологии вообще и кибербезопасность в частности. В финал вышли три команды: CyKor (Южная Корея), TokyoWesterns (Япония), Flappy Pig (Китай).
Наши эксперты соорудили для соревнований модель реально существующего нефтеперерабатывающего завода (какого именно — непринципиально). В модели используются те же PLC-контроллеры, что управляют давлением в резервуарах и контролируют объемы прокачиваемых насосами жидкостей на реальном заводе. Схема их подключения также взята из реальности. Плюс мы построили модель понижающей подстанции 110/10 кВ на стандартных контроллерах производства ABB и Siemens.
Как известно, сейчас используются в основном «умные» контроллеры, подключенные к локальной технологической сети. Но эта сеть, как правило, имеет связь с внешним миром для удаленного управления и мониторинга. Например, с локальной сетью заводоуправления или энергетической компании. А они, в свою очередь, имеют выход в Интернет.
Так что потенциально финалисты нашего CTF могли получить доступ к контроллерам и физически вывести из строя оборудование. Например, организовать короткое замыкание на подстанции, что привело бы к обесточиванию завода и обернулось бы колоссальными убытками для его владельцев. Или отключить системы защиты по теплу и давлению на самом заводе, в результате чего произошел бы взрыв. Для наглядности в нашем макете был заложен пиропатрон.
Модель завода была снабжена и моделью корпоративной сети. Для решения задач участникам нужно было получить к ней доступ, повысить свои права и найти уязвимости в нескольких запущенных сервисах. Уязвимости были воссозданы командой нашего ICS CERT специально для этих соревнований на основе ранее проделанных исследований.
Соревнование такого типа не только показывает, какая команда лучше, но и демонстрирует важность правильного конфигурирования сетей, а также помогает выявить уязвимости конкретных систем.
Все действия команд в промышленной сети отслеживались нашим решением Kaspersky Industrial CyberSecurity и отображались на одном из экранов, доступных для зрителей.
Победила команда из Южной Кореи, вышедшая вперед в самом начале и лидировавшая на всем протяжении соревнований. Правда, победила по очкам. За семь часов, отведенных командам на взлом, ни одна из команд не смогла решить главной задачи CTF — прорваться в технологическую сеть предприятия-модели. Но, по мнению наших экспертов, победителям не хватило всего 10–15 минут. У настоящих злоумышленников вряд ли будут жесткие ограничения по времени.
Следующие состязания пройдут в 2018 году, анонс, как всегда, можно будет найти здесь.
Комментарии (11)
xDimus
03.11.2017 13:15+1Но, по мнению наших экспертов, победителям не хватило всего 10–15 минут.
Надо было добавить полчасика игрового времени…
AnatolPe
03.11.2017 13:25+1Двоякое впечатление- Смеяться и плакать хочется…
1) Дали доступ к внутренней сети панелей РЗА, к внутренней сети АСУТП…
2) Дали схему сети, включая марки оборудования…
3) Отключили защиты от дурака — в энергетике (да и не только) ты физически даже не сможешь отключить расцепитель под нагрузкой, воткнуть ножи заземления- потому что цепь блокировки не собрана- обычные концевые выключатели/токовые реле/реле напряжения… 4) Отключить обдув трансформатора- Давайте отключите манометрический термометр, и пускатели посредством удаленного доступа… Да я думаю в принципе если влезть в физически отделенную сеть АСУ-Э ты можешь отключить отображение температуры- но отключить обдув- нет…
5) Плакать хочется- часто видел при запусках АСУТП предприятиях куча программистов сидят удаленно с Москоу на компах инженеров пусконаладчиков- и правят рашпилем СКАДу… Но тут надо просто бить по рукам и лицом в пол- Люди которые занимаются ИБ предприятия просто тупо не выполняют свои функции… Тут даже установка фаервола не поможет…tangro
03.11.2017 18:44-1Ну вот к пятому пункту всё в реальной жизни и сводится. Вспомните как годик назад русские спецслужбы ломали украинские энергосети. Тогда операторы на местах тупо сидели и смотрели как «внезапно начавшая двигаться мышка начала нажимать кнопки в программе управления энергосетью» и их это поначалу совершенно не напрягло, поскольку такое и раньше много раз делали их коллеги — «в производственных целях».
scruff
03.11.2017 20:50-1К сожалению такой вид, как специалист по ИБ отсутствует на многих предприятиях от слова «вообще», даже в аутсорсинговом форм-факторе… до первого инцидента, вызвавшего простой «станка» на N-часов/дней. Поэтому и обязанность по обеспечению ИБ зачастую возлагать просто не на кого. Крайний случай — расширяют пул обязанностей админов путём добавления ИБ… до первого инцидента.
scruff
03.11.2017 21:01-1Продолжу мысль примером из практики — виндовая управляющая СКАД-ой станция, смотрит одним из NIC-ов в Интернет стандартным портом 3389/ТСР, пароль админа что-то вроде 123456\Qwerty1, UAC/Firewall… Пфффф зачемб? Who cares? И это обнаружил рядовой админ. Сколько было ненависти от управляющих аутсорсеров и других «коллег по цеху», когда почти насильно был сменен RDP порт, и отключен встроенный админ (мелочь, но надо же с чего-то начинать). И так работало N-лет до меня.
NoFateMan
03.11.2017 21:12На самом деле варианты действительно есть… блокировочное устройство можно просто «повесить». АСУ энергетики не моя сильная сторона, но есть такие механизмы когда через сеть можно повесить ту же ABB-шку наглухо. Конечно для успешной атаки нужно действительно быть очень хорошо подготовленным, «с наскока» сильно большой ущерб вряд ли получится нанести. Если говорить про АСУ ТП предприятия — нужна именно целевая атака с серьёзным подготовительным этапом, вплоть до получения функциональных и электрических схем целевого объекта и изучения алгоритмов ПЛК. Разработки вектора атаки которая будет подразумевать изменение алгоритмов ПЛК с целью обхода релейных и технологических защит (не ПЛК-шных) для нанесения максимального урона. Конечно если ПЛК запаролен, а релейные защиты выполнены грамотно и связь с внешним миром настроена специалистом — ловить особо нечего. Но такой подход, как показывает практика, редкость.
ildarz
Мне вот что интересно — компании, работающие в сфере кибербезопасности, проводят массу соревнований по взлому, но что-то не вспоминается соревнований по противостоянию взлому или обнаружению его следов и нейтрализации последствий. Нет ли тут некоего противоречия? :)
CrazyOpossum
habrahabr.ru/company/pt/blog/329984
А вообще такого рода соревнования тяжело сбалансировать. На короткой дистанции у защитников обычно огромное преимущество, и оргам приходится их по-разному ограничивать.
ildarz
Формат "атакующие против защищающихся" действительно тяжело организовать в приближенном к реальности варианте. А вот формат, когда безопасники выступают в роли аутсорсера, к которому приходит клиент с постановкой задачи "у нас тут фигня случилась", выдается взломанная инфраструктура, надо понять, что и как сломали, и вытащить все возможные следы — мне кажется, было бы интересно и вполне жизненно.
CrazyOpossum
Все задачки на Forensics во многих ctf?
akakefir
«Все действия команд в промышленной сети отслеживались нашим решением Kaspersky Industrial CyberSecurity и отображались на одном из экранов, доступных для зрителей», и все попытки атаки потом тщательно изучаются и полученные знания используются для совершенстования систем защиты