Kaspersky Industrial CTF 2017: семь часов, чтобы вырубить завод



    На конференции GeekPWN в Шанхае мы провели финал соревнования по промышленной кибербезопасности Kaspersky Industrial CTF 2017. В отборочном туре участие приняли почти 700 команд. Преимущественно это были студенты из разных стран, изучающие информационные технологии вообще и кибербезопасность в частности. В финал вышли три команды: CyKor (Южная Корея), TokyoWesterns (Япония), Flappy Pig (Китай).

    Наши эксперты соорудили для соревнований модель реально существующего нефтеперерабатывающего завода (какого именно — непринципиально). В модели используются те же PLC-контроллеры, что управляют давлением в резервуарах и контролируют объемы прокачиваемых насосами жидкостей на реальном заводе. Схема их подключения также взята из реальности. Плюс мы построили модель понижающей подстанции 110/10 кВ на стандартных контроллерах производства ABB и Siemens.




    Как известно, сейчас используются в основном «умные» контроллеры, подключенные к локальной технологической сети. Но эта сеть, как правило, имеет связь с внешним миром для удаленного управления и мониторинга. Например, с локальной сетью заводоуправления или энергетической компании. А они, в свою очередь, имеют выход в Интернет.

    Так что потенциально финалисты нашего CTF могли получить доступ к контроллерам и физически вывести из строя оборудование. Например, организовать короткое замыкание на подстанции, что привело бы к обесточиванию завода и обернулось бы колоссальными убытками для его владельцев. Или отключить системы защиты по теплу и давлению на самом заводе, в результате чего произошел бы взрыв. Для наглядности в нашем макете был заложен пиропатрон.



    Модель завода была снабжена и моделью корпоративной сети. Для решения задач участникам нужно было получить к ней доступ, повысить свои права и найти уязвимости в нескольких запущенных сервисах. Уязвимости были воссозданы командой нашего ICS CERT специально для этих соревнований на основе ранее проделанных исследований.

    Соревнование такого типа не только показывает, какая команда лучше, но и демонстрирует важность правильного конфигурирования сетей, а также помогает выявить уязвимости конкретных систем.

    Все действия команд в промышленной сети отслеживались нашим решением Kaspersky Industrial CyberSecurity и отображались на одном из экранов, доступных для зрителей.



    Победила команда из Южной Кореи, вышедшая вперед в самом начале и лидировавшая на всем протяжении соревнований. Правда, победила по очкам. За семь часов, отведенных командам на взлом, ни одна из команд не смогла решить главной задачи CTF — прорваться в технологическую сеть предприятия-модели. Но, по мнению наших экспертов, победителям не хватило всего 10–15 минут. У настоящих злоумышленников вряд ли будут жесткие ограничения по времени.



    Следующие состязания пройдут в 2018 году, анонс, как всегда, можно будет найти здесь.
    «Лаборатория Касперского»
    Ловим вирусы, исследуем угрозы, спасаем мир

    Комментарии 15

      –1

      Мне вот что интересно — компании, работающие в сфере кибербезопасности, проводят массу соревнований по взлому, но что-то не вспоминается соревнований по противостоянию взлому или обнаружению его следов и нейтрализации последствий. Нет ли тут некоего противоречия? :)

        –1
        habrahabr.ru/company/pt/blog/329984
        А вообще такого рода соревнования тяжело сбалансировать. На короткой дистанции у защитников обычно огромное преимущество, и оргам приходится их по-разному ограничивать.
          +1

          Формат "атакующие против защищающихся" действительно тяжело организовать в приближенном к реальности варианте. А вот формат, когда безопасники выступают в роли аутсорсера, к которому приходит клиент с постановкой задачи "у нас тут фигня случилась", выдается взломанная инфраструктура, надо понять, что и как сломали, и вытащить все возможные следы — мне кажется, было бы интересно и вполне жизненно.

            0
            Все задачки на Forensics во многих ctf?
          0
          «Все действия команд в промышленной сети отслеживались нашим решением Kaspersky Industrial CyberSecurity и отображались на одном из экранов, доступных для зрителей», и все попытки атаки потом тщательно изучаются и полученные знания используются для совершенстования систем защиты
          0
          Но, по мнению наших экспертов, победителям не хватило всего 10–15 минут.
          Надо было добавить полчасика игрового времени…
            +1
            Двоякое впечатление- Смеяться и плакать хочется…
            1) Дали доступ к внутренней сети панелей РЗА, к внутренней сети АСУТП…
            2) Дали схему сети, включая марки оборудования…
            3) Отключили защиты от дурака — в энергетике (да и не только) ты физически даже не сможешь отключить расцепитель под нагрузкой, воткнуть ножи заземления- потому что цепь блокировки не собрана- обычные концевые выключатели/токовые реле/реле напряжения… 4) Отключить обдув трансформатора- Давайте отключите манометрический термометр, и пускатели посредством удаленного доступа… Да я думаю в принципе если влезть в физически отделенную сеть АСУ-Э ты можешь отключить отображение температуры- но отключить обдув- нет…

            5) Плакать хочется- часто видел при запусках АСУТП предприятиях куча программистов сидят удаленно с Москоу на компах инженеров пусконаладчиков- и правят рашпилем СКАДу… Но тут надо просто бить по рукам и лицом в пол- Люди которые занимаются ИБ предприятия просто тупо не выполняют свои функции… Тут даже установка фаервола не поможет…
              0
              Ну вот к пятому пункту всё в реальной жизни и сводится. Вспомните как годик назад русские спецслужбы ломали украинские энергосети. Тогда операторы на местах тупо сидели и смотрели как «внезапно начавшая двигаться мышка начала нажимать кнопки в программе управления энергосетью» и их это поначалу совершенно не напрягло, поскольку такое и раньше много раз делали их коллеги — «в производственных целях».
                0
                К сожалению такой вид, как специалист по ИБ отсутствует на многих предприятиях от слова «вообще», даже в аутсорсинговом форм-факторе… до первого инцидента, вызвавшего простой «станка» на N-часов/дней. Поэтому и обязанность по обеспечению ИБ зачастую возлагать просто не на кого. Крайний случай — расширяют пул обязанностей админов путём добавления ИБ… до первого инцидента.
                  –1
                  Продолжу мысль примером из практики — виндовая управляющая СКАД-ой станция, смотрит одним из NIC-ов в Интернет стандартным портом 3389/ТСР, пароль админа что-то вроде 123456\Qwerty1, UAC/Firewall… Пфффф зачемб? Who cares? И это обнаружил рядовой админ. Сколько было ненависти от управляющих аутсорсеров и других «коллег по цеху», когда почти насильно был сменен RDP порт, и отключен встроенный админ (мелочь, но надо же с чего-то начинать). И так работало N-лет до меня.
                    0
                    Тоже сталкиваешься с непониманием когда отключаешь прямой доступ рута по ssh на некоторых системах
                      0
                      Вы о переходе на аутентификацию по ssh-ключу вместо логина/пароля?
                        0
                        Я про отключение удаленного рута в принципе. Если рут нужен заходишь на сервер непривелигированной учеткой а потом уже либо через sudo что надо делаешь либо переключаешься на рута.
                          0
                          Идея хороша. Но как насчёт вообще не давать рута? Не подскажете, как наделить полномочиям обычную учётку примелегиями, к примеру стоп/страт сервисов?
                  +1
                  На самом деле варианты действительно есть… блокировочное устройство можно просто «повесить». АСУ энергетики не моя сильная сторона, но есть такие механизмы когда через сеть можно повесить ту же ABB-шку наглухо. Конечно для успешной атаки нужно действительно быть очень хорошо подготовленным, «с наскока» сильно большой ущерб вряд ли получится нанести. Если говорить про АСУ ТП предприятия — нужна именно целевая атака с серьёзным подготовительным этапом, вплоть до получения функциональных и электрических схем целевого объекта и изучения алгоритмов ПЛК. Разработки вектора атаки которая будет подразумевать изменение алгоритмов ПЛК с целью обхода релейных и технологических защит (не ПЛК-шных) для нанесения максимального урона. Конечно если ПЛК запаролен, а релейные защиты выполнены грамотно и связь с внешним миром настроена специалистом — ловить особо нечего. Но такой подход, как показывает практика, редкость.

                Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                Самое читаемое