14:23
4/8/2013

Chińska grupa wojskowych hackerów o nazwie APT1, opisywana przez nas w lutym, dała się wyrolować jednemu z amerykańskich badaczy, który wystawił do internetu oprogramowanie symulujące pracę elektrowni wodnej, która w rzeczywistości nie istniała.

Honeypot

Aby lepiej opisać jak nabrano Chińczyków, musimy najpierw wyjaśnić co to jest honeypot.

Jedną ze skuteczniejszych metod zbierania informacji na temat sposobów pracy i algorytmu doboru celów przez współczesnych atakujących są tzw. honeypoty, czyli serwery, które udostępniają jakąś usługę, ale tak naprawdę nie oczekują, że ktokolwiek się do niej podłączy (fakt udostępniania usługi nie jest nigdzie rozgłaszany) — przykładem jest honeyd.

Jeśli więc na honeypocie odnotuje się połączenie przychodzące, może to być wynik pomyłki (np. komuś omsknął się palec przy przepisywaniu adresu IP — mało prawdopodobne) albo wynik odnalezienia tej usługi w wyniku masowego skanowania internetu.

Samo odkrycie usługi daje nam wyłącznie informacje na temat tego, jak często różne grupy mogą skanować internet w poszukiwaniu danego typu usług, np. centralek VoIP. Dlatego honeypoty celowo umożliwiają potencjalnym atakującym na łatwy nieautoryzowany dostęp do udostępnianych przez siebie usług (np. ustawiając łatwe hasło do FTP, lub po prostu akceptując trzecie wpisane przez atakującego hasło — jakiekolwiek by ono nie było).

Po dostępie przez atakującego do honeypotowej usługi następuje analiza jego działań (co robi, czego szuka, jakimi narzędziami) oraz przechwycenie narzędzi atakującego, które zazwyczaj ściąga na przejętą maszynę, a które ułatwiają mu rekonesans i exploitację — czasem w ręce właściciela honeypota wpadają takie rarytasy, jak nieznane do tej pory exploity.

Chińczycy dają się nabrać

Kyle Wilhoit wystawił do internetu 12 honeypotów zlokalizowanych w 8 różnych krajach. Wszystkie swoją charakterystyką łudząco przypominały przemysłowe systemy SCADA odpowiedzialne za sterowanie m.in. elektrowniami, przepompowniami wody lub oczyszczalniami ścieków. Honeypoty miały takie same ekrany powitalne jak w oryginalnym oprogramowaniu i identyczną charakterystykę pracy.

Architektura Honeypota Kyle'a

Architektura Honeypota Kyle’a

Pomiędzy majem a czerwcem Kyle odnotował przy pomocy swoich honeypotów aż 74 ataki, z których 10 pozwalało przejąć całkowitą kontrolę nad oprogramowaniem elektrowni wodnej. Jednakże tylko 4 ataki sprawiały wrażenie, jakoby ich autorzy rzeczywiście doskonale znali to dość specyficzne oprogramowanie do sterowania systemami przemysłowymi (atakujący potrafili modyfikować komunikację specyficznych protokołów).

Kyle za każdym razem próbował atakować atakujących — na stronach WWW swoich honeypotów wbudował specjalne skrypty BeEF, które pozwalały mu wykonywać JavaScript w przeglądarce atakującego. Dzięki temu mógł np. namierzyć ich lokalizację przy pomocy danych na temat okolicznych dla atakującego sieci Wi-Fi (uzyskanych przy pomocy podstawionego apletu Java). Dzięki temu wiemy, że większość atakujących o przeciętnych zdolnościach pochodziło z Rosji i USA, natomiast 5 z 10 zaawansowanych ataków była przeprowadzana z Chin (reszta zaawansowanych atakujących była zlokalizowana w Niemczech, Wielkiej Brytanii, Francji, Palestynie i Japonii).

Czy inżynierowie znają skalę problemu?

Eksperyment Kyle’a pokazuje, że internet jest regularnie przeszukiwany pod kątem systemów SCADA (specjalna lista “dorków” jest łatwodostępna nawet dla osób, które nigdy nie miały dostępu do tychże systemów, aby wykonać ich fingerprinting). Jak widać powyżej, niektórzy z atakujących mają odpowiednie zdolności, aby przejąć kontrolę nad tego typu oprogramowaniem. Kyle zastanawia się, czy inżynierowie pracujący w elektrowniach i innych fabrykach korzystających ze SCADA zdają sobie w ogóle z tego sprawę?

Incydenty SCADA w 2012

Incydenty SCADA w 2012 wedle sektorów. Łącznie 171 podatności u 55 producentów

Przypomnijmy, że NSA prowadzi tajny program Perfect Citizen, którego misją jest wyszukiwanie błędów w systemach SCADA. W sieci znaleźć można także wiele narzędzi do wyszukiwania systemów tego typu, a jak pokazuje historia Justina Clarke’a, nie wszyscy producenci są świadomi błędów i często ignorują zgłoszenia o dziurach. Z kolei sami inżynierowie, którzy opiekują się systemami SCADA nie mają odpowiedniej wiedzy by poprawnie identyfikować zagrożenia. Czasem ich nie zauważają w ogóle, czasem reagują panicznie na zupełnie normalne zdarzenia

Przeczytaj także:

44 komentarzy

Dodaj komentarz
  1. U nas bezpieczna. U nas nie ma kompjuterow. U nas niedluga nie bedzie prada bo same elektrownie szkal trafi i bez crakeryjów

  2. “Aby lepiej opisać jak nabrano Chińczyków, musimy najpierw wyjaśnić co to jest honeypot.”

    Jeśli musicie wyjaśniać czytelnikom takie rzeczy, to chyba gdzieś popełniliście błąd w wyborze grupy docelowej.

    • Bez przesady – czy ta strona jest przeznaczona tylko dla specjalistów od security? Zagląda tu cała masa speców IT, którzy są biegli w swoich dziedzinach, a z security znają jedynie niezbędne dla ich fachu podstawy.

    • @c Przecież możesz pominąć tę wyróżnioną ramkę, co za problem? Ja to postrzegam właśnie jako taki dodatek dla osób, które nie interesują się bezpieczeństwem sieciowym, np. programistów zaglądających na Niebezpiecznika w celu poszerzenia wiedzy o bezpieczeństwe webaplikacji. Założe się, że dziennikarzom, którzy piszą artykuły na podstawie doniesień Niebezpiecznika też takie materiały pomagają zrozumieć tło opisywanych tu spraw.

      Dlatego apeluję o zostawianie tego typu wstawek, mnie to pomaga, bo nie jestem sieciowcem, a tematyką security zajmuje się od niedawna i ciagle się uczę. Bezpieczeństwo to szeroki zakres, można znać się na reverse engineeringu a nie wiedzieć co to jest honeypot, albo suricata. Serio.

    • Jeśli ktoś oczekuje takich mini wstawek w artykule to znaczy, że nie szuka wiedzy, tylko sensacji i papki informacyjnej.

    • Jeśli ktoś to komentuje tak jak ty, @c, to znaczy że nie ma nic merytorycznego do powiedzenia a jedynie chce sobie potrollować. Nie karmmy troli. Ja dzięki tej wstawce poznałem honeyd i właśnie go sobie stawiam, więc nie, nie masz racji @c. EOT.

    • “Ja dzięki tej wstawce poznałem honeyd i właśnie go sobie stawiam”

      No no, pewnie już jesteś nie lada specjalistą w temacie.

    • Ja tam się cieszę, że wyjaśniają różne rzeczy bo dzięki temu edukują mniej obeznanych użytkowników internetu, dla których umieszczane tutaj informacje są również ciekawe.

    • C: przecież icek ci od poczatku tlumaczy ze nie jest specjalista i dlatego te wstawki maja sens miedzy innymi dla takich osob jak on. Niech sobie stawia tego honeyd, niech sie uczy, co ci do tego? W mojej opinii jego komentarz nie brzmial jak przechwalki, za to twoje komentarze brzmią jak pisane przez buraka. No albo jestes faktycznie trollem *eg* Wiec idz juz moze spac i daj ludziom żyć. A zamiast wchodzić na niebezpiecznik poczytaj sobie do poduszki jakieś RFC czy inny whitepaper ktorego twoja niewatpliwie wielce wybitna inteligencja w przeciwienstwie do naszej jest godna ;]]

    • Problem z takimi wstawkami jest taki, że ludzie je przeczytają i wydaje im się, że się czegoś dowiedzieli, że już mają o tym pojęcie. Ba, niektórzy uważają się po takich wstawkach za specjalistów w dziedzinie security. Syndrom Dunninga-Krugera all over again.
      Odnośnik do sensownego źródła byłby lepszy.

      burak (co czyta whitepapery)

    • No przecież honeyd jest podlinkowany. Nie jest najświeższy ale dobrze opisuje idee i prosty na start. Na stronie dużo informacji i można znaleźć inne projekty.

    • Rozumiem, że Ty @c wyssałeś całą wiedzę z mlekiem matki i
      nigdy nie byłeś nowym w temacie? ;>

    • Byłem byłem, ale na szczęście dzięki czytaniu ramek informacyjnych na modnych portalach awansowałem poziom wyżej i teraz już wiem tyle, że hoho.

    • “awansowałem poziom wyżej i teraz już wiem tyle, że hoho.”

      A i tak jakbyś usłyszał niektóre pojęcia to by Ci oczy z orbit wyszły tym bardziej, że nawet wujek Google by nic na to nie poradził. Proste, nie ma ludzi od wszystkiego. Jedni znają to inni tamto a jeszcze inni nic :)

    • nie wiem po co reagować na obvious trolla, niech się dziecko nacieszy, że wie :)

    • Oj,skompromitowałeś się i brniesz coraz głębiej!

    • Jestem ciekawy czegoś innego. Czy jest ktoś, kto nie wie co to honeypot i przy okazji zrozumiał po przeczytaniu tej ramki? Sam opis to moim zdaniem dobry pomysł, ale pewnie da się prościej, intuicyjnej, przy okazji robiąc opis profesjonalny. Ten, co jest, jest trochę techniczno-bełkotliwy. Dam przykład pierwszego akapitu bez zbędnych wtrąceń:
      “Jedną ze skuteczniejszych metod zbierania informacji na temat m.in. sposobów pracy przez atakujących są tzw. honeypoty, czyli serwery, które udostępniają jakąś usługę, ale nie rozgłaszają jej udostępniania.”

  3. pytanie podstawowe: po co te systemy są wystawione na zewnątrz?

    • Np. wykonawca maszyny/linii produkcyjnej, może uzyskać do niej dostęp, w przypadku gdy znajduje się ona na drugim końcu świata i maszyna stoi, z powodu nieznanej awarii.

    • Może też zrobić to przez VPN… (i na szczęści w większości fabryk jest to tak realizowane — co innego, gdy dostęp do linii produkcyjnej jest także z sieci wewnętrznej przeznaczonej nie dla administracji, a pracowników biurowych — lub co gorsza, sieci Wi-Fi dla gości (to realny przykład z pewnej polskiej firmy…))

    • Na ataki z LAN/WLAN polecam osobny VLAN bez DHCP i
      ustawionymi sticky MAC na portach, na wypadek gdyby delikwent dał
      radę się podpiąć kabelkiem gdzie trzeba. Żadnego wjazdu po WiFi,
      czy z VLANu biurowego. Dla supportu via WAN/MAN, VPN na konkretną
      dedykowaną do supportu maszynę stojącą i zarządzaną przez
      nas.

  4. Niebezpiecznik posiada ok.31 000 czytelników więc chyba zrozumiałe jest to że na pewno nie wszyscy będą wyedukowani na tyle żeby wiedzieć co to jest Exploit, Honey pot,Zombie,CSRF, XSS, DoS, DDos, Handshake etc.

    • Jezeli ktos nie wie co to jest Dos albo DDos to musi byc chyba analfabeta komputerowym.

    • tak, zgadzam się z Tobą. Musi być chyba!

    • @ella Zrób ankietę i przepytaj 1000 napotkanych osób czy wiedzą co to jest DDoS. Następnie spytaj, tych co nie wiedzą, czy uważają się za komputerowych analfabetów.

  5. Nie tylko coraz więcej PLCków/SCAD jest wystawiona na ataki z zewnątrz, ale też coraz więcej jest podatana na ataki z wewnątrz. Trend jest taki, żeby ściślej zintegrować IT z najniższym poziomem produkcji, czyli bezpośrednio z PLCkami i innymi urządzeniami nadzorującymi. To jest jedno, dodatkowo coraz więcej danych leci po skrętce albo po wifi.

    Uwzględniając jeszcze to, że różne usługi IT (FTP/webserver) są implementowane na sterownikach to chyba istnieje dość duże pole manewru.

    • To nie jest takie proste kolego… nic bezpośrednio nie potrafi się komunikować, bo nie zostało stworzone do tych celów, a jako, że udostępnia możliwość podłączenia urządzeń peryferyjnych typu ethernet, to problem leży po stronie układu pośredniego do którego są wysyłane informacje, a szerzej mówiąc wystarczy, że przez owy układ są transmitowane newralgiczne dane. To tak jakbyś miał podłączony układ elektroniczny do komputera, który komunikuje się za pomocą rs-233, to wina nie leży w układzie sterującym tylko po stronie ‘przekaźnika’ danych (czytaj komputer), który jest używany w przeróżnych celach – inaczej nie byłoby sensu z niego korzystać i nie byłoby takich sytuacji.

  6. @c Niekoniecznie ktoś, kto przegląda Niebezpiecznik musi być specem od bezpieczeństwa lub bardzo obeznanym w temacie. Dzięki takim stronom można się uczyć i być na bieżąco. :)

    • lajk

    • A ja jestem lekarzem, chetnie czytam i teksty, i wstawki. I mam wrazenie, ze informatycy w moim szpitalu nie czytaja ani tekstów Niebezpiecznika, ani wstawek, lol, mam dowody…
      Pinio

  7. Niebezpiecznik wszedł do mainstreamu i bywa cytowany przez niedouczonych dziennikarzy – lepiej, że tłumaczą, niż mieliby prostować.

  8. A Polski ciągle brak na liście profesjonalistów

    • Nie wiesz co piszesz! Dużo ludzi zna SCADA!

  9. “Pomiędzy majem a czerwcem (…)” całe życie żyłem w przekonaniu, że nie ma nic pomiędzy ;)

  10. problem z przemysłem jest też taki ze niektóre rozwiązania wdrożono 20 lat temu i od tamtej pory już ich nikt nie aktualizował – i pewnie nie zaktualizuje bo programiści PDP już dawno nie żyją ;-)

  11. “Przypomnijmy, że NSA prowadzi tajny program Perfect Citizen, którego misją jest wyszukiwanie błędów w systemach SCADA.”

    Chyba nieco stracił na swojej tajności :P

    • @luQas: To, że tajna informacja wyciekła z automatu nie zmienia jej klasyfikacji. Nadal jest tajna.

      @cstn: Nie podoba się? Nie czytaj, ew. daj wyraz swojemu niezadowoleniu – raz w zupełności wystarczy. Skorzystaj z podlinkowanej prezentacji z BH (osobiście: nie bardzo podoba mi się sposób linkowania do źródeł przez Nbzp – IMO lepsze byłoby podanie źródła / źródeł na końcu artykułu tak jak robi się to w whitepaperach), żeby zapoznać się z bardziej wartościowym źródłem i oszczędzić czas swój, innych komentujących / czytających komentarze. Możesz napisać lepszy artykuł? Publikuj!

  12. a ile zaawansowanych ataków przeprowadzono z polski? pewnie
    ani jednego, bo polacy nie maja speców tylko krawaciarzy od
    marketingu sprzedających amerykanskye, kolorowe pudelka z
    programami (GUI) ktore sprawia ze “kazdy bedzie
    bezpieczny”

  13. Czy takie systemy są połączone z Internetem? Po co,
    neutrony do rdzeni reaktora sobie przesylają mailem? Bzdury jakieś,
    żeby strach zasiać.

    • Spytaj najlepiej tych speców co podłączają je do Internetu. A najlepiej spytaj tych co wydają polecenia podpięcia ich do Internetu… a wtedy najpewniej okaże się, że w sumie to nie mają pojęcia.

  14. Czasem sami producenci sterowników ułatwiają pracę hakerom. Przykład? Saia-Burgess. Z ich sterowników z włączonym domyślnie budowanym serwerem WWW (np. PCD3), można odczytać/zapisać dane poprzez skrypty CGI:
    – Odczyt danych (np. Memory Word o nr 100): *ip*/cgi-bin/ReadVal.exe?PDP,,MW100,d
    – Zapis danych (wartość 512): *ip*/cgi-bin/WriteVal.exe?PDP,,MW100,d+512

    Na szczęście nie można zmieniać bezpośrednio wejść (I) i wyjść cyfrowych (O), a jedynie je odczytać. Ale zmiana bloków pamięci (M) też może być szkodliwa (np. mogą w nich znajdować się wartości timerów czy innych elementów logiki programu, które same w sobie mogą służyć do sterowania wyjściami). Pamiętam jak kiedyś przez ERIPP znalazłem pełno tego typu niezabezpieczonych sterowników z których nie dość, że dało się odczytać/zapisywać dane to jeszcze nie były zabezpieczone przed up/down programu z PLC (ale to już skrajna głupota)

  15. @C

    Wydaje mi się, że specjalista od security znający się na temacie, ma dużo pokory i wyrozumiałości, aby zrobić ukłon w stronę ludzi niezaawansowanych.
    Ciebie zaś przyjacielu podejrzewam o pompowanie własnego EGO za pomocą, tego rodzaju satysfakcji, która pojawia się wówczas, gdy ktoś czuje swoją wyższość na innymi.

    Profesjonalizm to pokora i służba.

    • “Profesjonalizm to pokora i służba.”

      To z Paulo Coelho?

  16. Właśnie o takich działaniach lubię poczytać. Pomysłowość, spryt, dopracowanie szczegółów (pułapki) – jestem pełen podziwu dla autora opisanego honeypota.

Odpowiadasz na komentarz Pablo_Wawa

Kliknij tu, aby anulować

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.