Embed Size (px)
DESCRIPTION
制御システムで使われるSCADAに関するセキュリティの国際会議S4x14に参加してきました。その様子を報告します。
Citation preview
あなた 知らな キ 世界あなたの知らないセキュリティの世界S4x14報告S4x14報告
(2014/1/14‐17 )@Miami International University
http://www.cvent.com/events/s4x14/agenda‐5454e261d84146aebb78361954f3e5f8.aspxp // / / / g p
産業技術総合研究所産業技術総合研究所
須崎有康
What is S4x14?What is S4x14?
は• S4x14 は “SCADA Scientific Security Symposium 2014”の略です。
• つまりSCADAに関するセキュリティシ
ンポジュウムです。
で、SCADAってご存知ですか?
What’s SCADA?!!What s SCADA?!!
• SCADA は“Supervisory Control And D t A i iti ” 略 すData Acquisition”の略です。
• なぞは解けましたね。
• えっ まだ?では具体的にどういうものかお• えっ、まだ?では具体的にどういうものかお見せしましょう。
An example of SCADA
• 制御システムで使われるデバイスの状態を• 制御システムで使われるデバイスの状態を監視するツールです。
• 多くのツールが分かりやすいようにビジュアルな表示をしています。ルな表示をしています。
What is SCADA’s problem?What is SCADA s problem?• SCADAは制御システムで使われています• SCADA は制御システムで使われています。
– 発電設備、ガスプラント、水管理システム、 etc.
• SCADA製品はWindows上で動いています。それほど製品は多くありません。ほど製品は多くありません。
– RSView (Rockwell)I T h (W d )– InTouch (Wonderware)
– iFix (GE)– FA‐Panel (国産:株式会社ロボティクスウェア)
• 問題はSCADAが制御システムの攻撃エントリー問題はSCADA が制御システムの攻撃エントリポイントになってることです!
SCADA 攻撃の代表例• イランのアフマドネジャフ大統領が核施設を公開した情
報から何のSCADAがどう使われているかが類推されまし報から何の がどう使われて るかが類推されました。これがSCADA への攻撃(Stuxnet)に繋がったと言われています。て ます。
攻撃者はこの仮面情報から何のSCADAがどう使われているか類推されたと言われています。
なぜSCADAが攻撃されるのか。(某大佐のつぶやき 「脆弱だからさ 」)(某大佐のつぶやき:「脆弱だからさ。」)
• 使っている通信プロトコルに脆弱性がある。– OPC
• WindowsのDCOMベースで脆弱であり、OPC‐UAに移行中。
– ModbusModbus• 産業用Modbus TCPプロトコルパケットの安全を確保するのは難しい
– https://www.ibsjapan.co.jp/news/678.html• 「Modbus」プロトコルに関するバッファオーバーフローの脆弱性を紹介• 「Modbus」プロトコルに関するバッファオ バ フロ の脆弱性を紹介。(サイバーディフェンス福森さん)
– http://www.itmedia.co.jp/enterprise/articles/1202/06/news009_2.html
• SCADAは制御システム監視のため無停止で動いており• SCADAは制御システム監視のため無停止で動いており、アップデートがされない。– IPAレポートH24「狙われる脆弱性・・・SCADA システムの真の問題とは問題とは?」 http://www.ipa.go.jp/files/000036076.pdf
• 2つの大きな問題「パッチの不良率の高さ」と「パッチの提供率の低さ」
– NISCレポートH22「制御システムのオープン化が重要インフラの情NISCレポ トH22 制御システムのオ プン化が重要インフラの情報セキュリティに与える影響の調査」http://www.nisc.go.jp/inquiry/pdf/so_honbun.pdf
S4x14 プログラム• 1/14 OT (Operations Technology) Day• 1/15 16 S4x14 main symposium• 1/15‐16 S4x14 main symposium• 1/16 ICSage (Non‐technical Talks)
Advanced Training:Advanced Training: (1) Introduction to Hardware Hacking for ICS ProfessionalsProfessionals(2) Response and Serial Fuzzing of ICS Protocol Stacks
• ICS Village制御 機 を 意 参 者 攻撃を– 制御システム用の機器を用意し、参加者に攻撃を許したイベント。
– 福森さんのブログに体験記が書かれています。 「私が制御システムに根こそぎ侵入した方法」に根こそぎ侵入した方法」
• http://blog.f‐secure.jp/archives/50719640.html
OT (Operations Technology) DayOT (Operations Technology) Day• ここで発表しました• ここで発表しました。
• Title:Process Whitelisting And Resource Access lControl For ICS Computers
• スライド資料http://www.slideshare.net/dgpeters/5‐suzaki113‐30731969
• 参加者が想定より多かったため、部屋を2つ借りて午前・午後の2回発表させられました。前 発表 。
– スケジュールも当日知らされ、戸惑いました。また、自分の裏のセッションが聞けないなど問題も。
OS LockdownOS Lockdown
• Lockdown for attacker. • Legitimate applications work well, if necessary computing
resources are registered. (1) Process Creation ( )(2) Computing Resources Access from a process
Example of OS LockdownExample of OS Lockdown
Normal OS on HMI Lockdo n OS on HMINormal OS on HMI Lockdown OS on HMI
White List for Process Creation
Applications have vulnerabilities, and resources have no limitation to use.
(1) A creates B,D, and G. (2) D creates E. (3) E and G cannot run at same time.
White List for Resource Accessis opened by A and B. is opened by E and G
A B C
Attack creates malicious C process.
A B C
Attack creates malicious C process.
No rule for the process creationA B C
D EAttackcreates G
t
A B C
D E
creation
Attackcreates G
tNo rule to access the fileD E
Attackaccesses the green file.
process to access the disk.
D EAttackaccesses the green file.
G can be created by A and can access to the disk However G cannot run
process to access the disk.
G G to the disk. However, G cannot run along with E at the same time to protect same resource access.
Current Implementationp• Process White List is implemented in a Kernel of Windows.
– It used hook function offered by Windows.y• PsSetCreateProcessNotifyRoutineEX()
• Resource Access Control is implemented as Filter Manager.
Parent Process
Child Process
PWC and RAC are implemented on Windows OS as device driver
User Space
Kernel Space
Request to create process(system Call)
Request to access resources(system Call)
E i API
ocess ocessWindows OS as device driver.
Kernel Space
Hook create process system call by PsSetCreateProcessNotifyRoutine I/O Manger
Executive API
File
White List for Resource Access
Executive API
Process Manger
Process white list module
White List forProcess CreationChild(SHA1)―Parent…
Access is deniedif target resource is listed and the accessi t ll d
Filter Manager(Resource Access
Control)
File S stem Device Driver
Network
Device
Creation is denied if no statement on Process White List.
Return “CreationStatus” to allow or disallow
is not allowed.File System Device Driver
ResourceIf process creation is allowed, a child process is created.
Sample: White List for
Child process SHA-1 of child process binary Parent processC ¥Wi d ¥S t 32¥ d34f33130393425d3d4 671 0d4488 d8d1b6 S t
Process CreationC:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,SystemC:¥Windows¥System32¥autochk.exe,1bd90caff9f3ab1d3cb7136ce9146c1c2e69368b,C:¥Windows¥System32¥smss.exeC:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,C:¥Windows¥System32¥smss.exeC:¥Windows¥System32¥csrss.exe,53bc9b2ae89fcad6197ec519ae588f926c88e460,C:¥Windows¥System32¥smss.exeC:¥Windows¥System32¥smss.exe,ad34f33130393425d3d4ce671e0d4488ed8d1b6c,C:¥Windows¥System32¥smss.exeC:¥Windows¥System32¥wininit exe c7bba9840c44e7739fb314b7a3efe30e6b25cc48 C:¥Windows¥System32¥smss exeC:¥Windows¥System32¥wininit.exe,c7bba9840c44e7739fb314b7a3efe30e6b25cc48,C:¥Windows¥System32¥smss.exeC:¥Windows¥System32¥csrss.exe,53bc9b2ae89fcad6197ec519ae588f926c88e460,C:¥Windows¥System32¥smss.exeC:¥Windows¥System32¥services.exe,54a90c371155985420f455361a5b3ac897e6c96e,C:¥Windows¥System32¥wininit.exeC:¥Windows¥System32¥lsass.exe,d49245356dd4dc5e8f64037e4dc385355882a340,C:¥Windows¥System32¥wininit.exeC:¥Windows¥System32¥lsm.exe,e16beae2233832547bac23fbd82d5321cfc5d645,C:¥Windows¥System32¥wininit.exeC:¥Windows¥System32¥winlogon.exe,b8561be07a37c7414d6e059046ab0ad2c24bd2ad,C:¥Windows¥System32¥smss.exe
Parent‐Child relation SHA‐1 of binary is used for the integrity check.g y– It works as Tripwire.
S4x14 本会議
Commercial version of NessusCommercial version of Snort
• Attendee: 300人• ICS-CERT, Idaho National Laboratory, Cert-Australia, many vendors
• From Japan: JPCERT/CC山田秀和さん、サイバーディフェンス 福森大喜さん、丑丸逸人さん福森大喜さ 、 丸逸人さ
面白かった発表面白かった発表• HoneyTrain Project (By Marina Krotofil of Compass Security and Hamburg
University of Technology)University of Technology)– ニュルンブルク(ドイツ)の地下鉄のシミュレータを用意して、それ
に攻撃するプロジェクト
SCADA T B d' (NSTB)• SCADA Test Bed's (NSTB) (By Bri Rolston of Idaho National Labs )– 米国アイダホ国研のSCADAテストベッドの報告– ATAC: Attack Technology Analysis & CharacterizationATAC: Attack Technology Analysis & Characterization
• Attack to HART (Highway Addressable Remote Transducer) Protocol (By Alexander Bolshev, Young Russian Researcher)
HARTプロト ルではデバイス検索を行うので 偽の情報を返すこと– HARTプロトコルではデバイス検索を行うので、偽の情報を返すことが出来る。これと使って偽のデバイスを含めることが出来る。
– 発表者は大学を出たばかりで若いが優秀。
• “PLCPwn” a fake device (By Stephen Hilt, Digital Bond)– RaspberryPiが$10,000 する制御機器ControlLogixのコマンドを送
れるようにした。これを制御システムに入れてシャットダウンもできれるようにした。これを制御システムに入れてシャットダウンもできる。
Advanced Training: Introduction to Hardware Hacking for ICS ProfessionalsHacking for ICS Professionals
• 最終日の1日トレーニング。ハードウェアに対するハッキングで参加者は攻撃対象のゲ ム機が貰えましたグで参加者は攻撃対象のゲーム機が貰えました。
ICSage 1/2• 最終日の技術課題以外の報告会(各インデントなど)。
• Thomas Rid (King‘s College London)による講演あり• Thomas Rid (King s College London)による講演あり。
– 出版した本“Cyber War will not Take Place”の解説。
昼食時に無料で本が提供され サインして貰いました その他– 昼食時に無料で本が提供され、サインして貰いました。その他の本やグッズももらえました。
• “SCADA and ME”は子供むけの啓蒙書SCADA and ME は子供むけの啓蒙書
ICSage 2/2• Stuxnetを解析した Ralph Langnerへのインビュー
– Ralph LangnerはJPCERET’s 制御システムセキュリティカンファレンス 2014/2/5でも講演していました。別の話カン ァ ン / / でも講演して ました。別の話題ですが。
ちょっと驚いたことちょっと驚いたこと
参加者を検索する ば• 参加者を検索するとHPはLinkedInばかり。
– No original HPg– No FaceBook
業界特有?• 業界特有?
S4xJapanp• 日本でもS4が行われます。
S4 J 10/14 1 @六本木アカデミ ヒルズ– S4xJapan 10/14,15 @六本木アカデミーヒルズ
