На PHDays IV взломали «умный город»

[shcoderAlex]

Кажется я влюбился…

[inook]

В ноги?

[Win32Sector]

вручили специальный приз — летающую камеру Phantom 2 Vision+

В нее? Хороша чертовка, не правда ли?

[Iforgot]

где миелофон?

[datacompboy]

Йуу хххуу! Кодера рулит :D Вот она, старая школа :]

[nojoke]

Алиса, ты зачем фамилию сменила? :)

[unn]

у нее всегда такая фамилия была

[datacompboy]

нет, не всегда. только с рождения.

[unn]

ишь, Петросян

[shanker]

Разделившие второе место Никита Максимов и Павел Марков сумели вывести из строя RTU PET-7000 фирмы ICP DAS и подобрать пароль для веб-интерфейса контроллера Allen-Bradley MicroLogix 1400 фирмы Rockwell Automation

Для справки. Павел Марков — 0xA0
работа у ребят заняла около 4-х часов в первый день. Во второй Павел Марков вместе со мной выступал с докладом на тему Анализ работы антивирусных лабораторий

Я наблюдал за работой Никиты Максимова и Павла Маркова. Если мне память не изменяет, то суть их работы в конкурсе заключаласть в том, что по одному из специфичных для конкретного оборудования протоколов можно было подключиться к девайсу, залить новую прошивку и сбрость состояние устройства до заводского. С перепрошивкой возникли какие-то сложности. А сброс до заводского позволил использовать пароль по-умолчанию для более привилегированного доступа к устройству.

Видите на фотографии кран? Вот, они им управляли — крутили в разные стороны. Павел сожалел, что у крана был слабенький моторчик. Был бы помощнее — смог бы закрутить его с такой силой, чтобы натянулись провода (к крану подключенные). Тогда что-нибудь на стенде могли бы физически сломать, уронить. Имея только удалённый доступ. Это было бы очень наглядно

Не уверен, что Павел найдёт время-желание для написание развёрнутой статьи. Но вы всегда можете написать ему в личку вопросы

[0xA0]

Маленькая поправка:
«управлять роботами и кранами по протоколу Modbus TCP.» Конкретно мы управляли краном при помощи внутренних команд ПЛК. Modbus на нем то ли не работал сначала, то ли после наших действий перестал работать.

[Bluefox]

На самом деле, ни один интегратор в трезвом уме НИКОГДА не разместит SPS или OS (читай SCADA) в свободном доcтупе. Это оборудование всегда находиться за файерволом или рутером. Так что все эти взламывания и broadcast нагрузки наигранны. Даже в инструкции стоит, что оборудование нельзя инсталлировать в сетях со свободным доступом из интернета.

В дополнение к этому ICS-CERT и Siemens рекомендуют:
— запретить работу встроенного web сервера в TIA Portal Version 11 если это не критично для работы.
— выбирать сильные и неповторяющиеся среди нескольких участков пароли
— следовать рекомендациям этого документа Improving Industrial Control Systems Cybersecurity with Defense-in-Depth Strategies
— ограничить соединения между внешней и внутренней сетью где только возможно.
— ограничить удаленный доступ к внешней и внутренней сети и старательно проверять разрешенные соединения. Использовать VPN для всех удаленных соединений.

[ded_Sergei]

Ну взлом роутера или фаервола также возможен не так ли?
Безопасность АСУ ТП на самом деле больная тема. Большая часть АСУ досталась по наследству. При модернизации части элементов АСУ очень часто забывают про обеспечение безопасности.
Самый коварный вопрос: А как определить в нормальном ли (читай без вмешательства извне) состоянии функционирует АСУ ТП?
Что если уже было проникновение и изменение какого либо тех процесса?

[0xA0]

" выбирать сильные и не повторяющиеся среди нескольких участков пароли" некоторые производители ограничивают пароль 8-ЦИФРОВЫМИ символами, что и было нами проэксплуатировано.
Хотя в целом я согласен, что тема безопасности АСУ ТП от внешних угроз очень многогранна и не в последнюю очередь должна обеспечиваться нормативами.

[ptsecurity]

Все так, но есть нюансы. Некоторые из них изложенны тут: scadastrangelove.blogspot.ru/2014/06/at-positive-hack-days-iv-www.html#more (слайд 11).