Выбрать язык


Выбрать язык | Show only


Русский | English


воскресенье, 22 мая 2016 г.

PHDays CTF: "Противостояние" глазами "защитника". Часть 3. Мнение о резонансном взломе ГЭС

Бои без правил. Организуется поединок между бойцами Орком и Гоблином. Бойцы начинающие, но публика козырная и при деньгах. Влиятельный любитель таких боев, чиновник, крышующий организаторов, делает очень крупную ставку на то, что Гоблин победит. И тут Орк наносит хороший удар в корпус, после которого Гоблин "плывет". Судья, вопреки правилам, засчитывает это как удар в пах, отводя в сторону Орка со штрафным очком и предоставив время на восстановление Гоблина. В процессе быстро шепчет Орку: "Тебе нужно лечь. Папа сказал". И Орк, отлично понимая, что даже если он победит и заберет приз, то в будущем карьера бойца в этой организации для него закрыта, начинает быстро соображать, глядя на постепенно приходящего в себя Гоблина, как подставиться под "нокаутирующий" удар, чтобы было правдоподобно и убедительно для зрителя.


Уже на следующий день после конференции PHDays-2016 весь Интернет пестрел новостями о том, как школьник взломал электростанцию и как хакеры после успешного взлома остановили ГЭС и затопили город. 
Я участвовал в составе "защитников" телекома, поэтому мнение основано на анализе ситуации и аналогиях с моей колокольни, но без знания деталей взлома SCADA.


Как я писал в первой части своей серии отзывов о PHDays, одной из ключевых для организаторов целей было обратить внимание государства и бизнеса на необходимость защиты "Интернета вещей" и других подключаемых к публичным сетям систем управления критической инфраструктурой. Хотя сам и не работал с защитой SCADA, но по публичным источникам вижу, что когда любое устройство начинает управляться по IP, а тем более через Интернет, на его безопасность мало кто обращает внимание. Как всегда, сначала развиваются технологии, а потом уже их безопасность. В итоге образуется "Интернет дырявых вещей". Чем это может грозить - зависит от того, к какому устройству получить доступ. Донести до общественности это можно через новости, а чтобы привлечь журналюг - нужно то, что будет воспринято как сенсация. А куда уж сенсационнее, чем остановка электростанции и затопление города хакерами, которых воспринимают, как максимум, мальчиками с осанкой обезьяны за ноутбуком, умеющих воровать пароли?

Есть команда "защитников", которые захарденили системы управления. Есть SOC, который подключил все на мониторинг событий. Детали подготовки описаны в одноименной второй части. Это, насколько я знаю, коммерческие компании в профилем информационной безопасности, которые на этом конкурсе, наверное, хотели бы попиариться, и поэтому отнесутся серьезно к защите промышленных объектов. И тут, несмотря на всю описанную серьезность защиты, ГЭС ломают 2 раза...
Неужели так все плохо с ИБ АСУТП в России?

Мои варианты причин того, что произошло:
  1. Защитники плохо защитили: либо нормальных средств защиты SCADA не существует в природе, либо халатно отнеслись к защите;
  2. SOC недосмотрел: либо плохо интегрировали с мониторилками, либо прощелкали;
  3. Ограничения организаторами на средства защиты;
  4. Папа сказал.
С первыми двумя все понятно. Если реально SOC и защитники прощелкали - туда им и дорога. Но у меня есть подозрение, что введенные организаторами ограничения подразумевали возможность взлома ГЭС хакерами. Ставка-то "папой" делалась на то, что ГЭС отключат и город затопят.
Чтобы не быть голословным с утверждением об ограничениях со стороны организаторов, скажу как участник команды "защитников" телекома: ограничения на применение защиты были, и довольно крепкие. Дополнительные средства защиты используй какие угодно, но из фундаментальных средств нам запретили даже закрыть на firewall из мира SSH/RDP к защищаемым ресурсам, только к самому сетевому оборудованию, не говоря уже о других неиспользуемых сервисах. Меняй пароли, обновляй, патчуй, реконфигуряй сколько угодно, но сервис должен быть доступен... А я вообще хотел поставить default deny, как и делается в реальной жизни (подробности о степени приближенности к реальной жизни позже). Но мне не разрешили организаторы.
И стратегически это правильно: иначе не будет шоу, хакеры будут ныть, рассказывая, что это все нечестно, что организаторы дали колоссальное преимущество защитникам и сокам. Не будет впрыска нужной информации в СМИ, руководства промышленных предприятий будут отмахиваться от защиты. Пожертвовал пешку (SOC и защитники SCADA) в этой игре, но получил стратегическое преимущество на несколько лет вперед (будущие заказы от бизнеса и государства на обеспечение безопасности). А самое главное - мир задумался о том, как не дать плохи парням оставить людей без света и с чрезмерным избытком воды в городе.
Если все так и развивалось, то больше всего не хотелось бы, чтобы во взломе ГЭС и затоплении города обвинили "защитников" и SOC, оборонявших SCADA.

Более внимательные коллеги и представители организатора поправили меня, уточнив, что защитников ГЭС действительно не сломали. После взлома защитники и SOC очень точно описали процесс взлома (то есть, всё видели, но не делали, ибо, все-таки, шоу надо) и хакеры это подтвердили. Похачить скаду получилось только после того, как защитники ослабили, а потом и совсем сняли защиту. Утром второго дня, оказывается, объявили это во всеуслышанье со сцены. Видать, я после бессонной ночи не особо был в состоянии воспринимать то, что там вещается.

Но, тем не менее, по прошествии нескольких дней я вижу в Интернете информацию не о том, что ГЭС не защитили, а о том, что ее взломали. И со временем из этой путанной фразы останется очевидным только то, что ГЭС можно взломать. Продолжая логику - а значит, ее нужно защитить. То есть, тень на доброе имя "защитников" и SOC если и упала, то очень быстро рассосется. Наверное, специалисты по пиару знают свое дело лучше, чем инженер по защите информации (не хватало еще, чтобы было наоборот).

UPDATE вот она, официальная информация от организаторов:

Форум наглядно показал, что бывает с незащищенной критической инфраструктурой. Специалисты по информационной безопасности в силах обеспечить очень высокий уровень защиты без нарушения технологического процесса — но развернуться так, как на PHDays, им дают очень редко. После отключения средств защиты нападающие проникли в технологическую сеть АСУ через корпоративную, атаковали физическое оборудование системы, взломали ГЭС, провели сброс воды, отключили линии электропередачи.

Продолжение следует: Часть 4. Ограничения

Комментариев нет:

Отправить комментарий