Kaspersky Industrial CTF 2017: семь часов, чтобы вырубить завод +6




На конференции GeekPWN в Шанхае мы провели финал соревнования по промышленной кибербезопасности Kaspersky Industrial CTF 2017. В отборочном туре участие приняли почти 700 команд. Преимущественно это были студенты из разных стран, изучающие информационные технологии вообще и кибербезопасность в частности. В финал вышли три команды: CyKor (Южная Корея), TokyoWesterns (Япония), Flappy Pig (Китай).

Наши эксперты соорудили для соревнований модель реально существующего нефтеперерабатывающего завода (какого именно — непринципиально). В модели используются те же PLC-контроллеры, что управляют давлением в резервуарах и контролируют объемы прокачиваемых насосами жидкостей на реальном заводе. Схема их подключения также взята из реальности. Плюс мы построили модель понижающей подстанции 110/10 кВ на стандартных контроллерах производства ABB и Siemens.




Как известно, сейчас используются в основном «умные» контроллеры, подключенные к локальной технологической сети. Но эта сеть, как правило, имеет связь с внешним миром для удаленного управления и мониторинга. Например, с локальной сетью заводоуправления или энергетической компании. А они, в свою очередь, имеют выход в Интернет.

Так что потенциально финалисты нашего CTF могли получить доступ к контроллерам и физически вывести из строя оборудование. Например, организовать короткое замыкание на подстанции, что привело бы к обесточиванию завода и обернулось бы колоссальными убытками для его владельцев. Или отключить системы защиты по теплу и давлению на самом заводе, в результате чего произошел бы взрыв. Для наглядности в нашем макете был заложен пиропатрон.



Модель завода была снабжена и моделью корпоративной сети. Для решения задач участникам нужно было получить к ней доступ, повысить свои права и найти уязвимости в нескольких запущенных сервисах. Уязвимости были воссозданы командой нашего ICS CERT специально для этих соревнований на основе ранее проделанных исследований.

Соревнование такого типа не только показывает, какая команда лучше, но и демонстрирует важность правильного конфигурирования сетей, а также помогает выявить уязвимости конкретных систем.

Все действия команд в промышленной сети отслеживались нашим решением Kaspersky Industrial CyberSecurity и отображались на одном из экранов, доступных для зрителей.



Победила команда из Южной Кореи, вышедшая вперед в самом начале и лидировавшая на всем протяжении соревнований. Правда, победила по очкам. За семь часов, отведенных командам на взлом, ни одна из команд не смогла решить главной задачи CTF — прорваться в технологическую сеть предприятия-модели. Но, по мнению наших экспертов, победителям не хватило всего 10–15 минут. У настоящих злоумышленников вряд ли будут жесткие ограничения по времени.



Следующие состязания пройдут в 2018 году, анонс, как всегда, можно будет найти здесь.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (11):

  1. ildarz
    /#10504634

    Мне вот что интересно — компании, работающие в сфере кибербезопасности, проводят массу соревнований по взлому, но что-то не вспоминается соревнований по противостоянию взлому или обнаружению его следов и нейтрализации последствий. Нет ли тут некоего противоречия? :)

    • CrazyOpossum
      /#10504728

      habrahabr.ru/company/pt/blog/329984
      А вообще такого рода соревнования тяжело сбалансировать. На короткой дистанции у защитников обычно огромное преимущество, и оргам приходится их по-разному ограничивать.

      • ildarz
        /#10504764

        Формат "атакующие против защищающихся" действительно тяжело организовать в приближенном к реальности варианте. А вот формат, когда безопасники выступают в роли аутсорсера, к которому приходит клиент с постановкой задачи "у нас тут фигня случилась", выдается взломанная инфраструктура, надо понять, что и как сломали, и вытащить все возможные следы — мне кажется, было бы интересно и вполне жизненно.

    • akakefir
      /#10505564

      «Все действия команд в промышленной сети отслеживались нашим решением Kaspersky Industrial CyberSecurity и отображались на одном из экранов, доступных для зрителей», и все попытки атаки потом тщательно изучаются и полученные знания используются для совершенстования систем защиты

  2. xDimus
    /#10504726 / +1

    Но, по мнению наших экспертов, победителям не хватило всего 10–15 минут.
    Надо было добавить полчасика игрового времени…

  3. AnatolPe
    /#10504740 / +1

    Двоякое впечатление- Смеяться и плакать хочется…
    1) Дали доступ к внутренней сети панелей РЗА, к внутренней сети АСУТП…
    2) Дали схему сети, включая марки оборудования…
    3) Отключили защиты от дурака — в энергетике (да и не только) ты физически даже не сможешь отключить расцепитель под нагрузкой, воткнуть ножи заземления- потому что цепь блокировки не собрана- обычные концевые выключатели/токовые реле/реле напряжения… 4) Отключить обдув трансформатора- Давайте отключите манометрический термометр, и пускатели посредством удаленного доступа… Да я думаю в принципе если влезть в физически отделенную сеть АСУ-Э ты можешь отключить отображение температуры- но отключить обдув- нет…

    5) Плакать хочется- часто видел при запусках АСУТП предприятиях куча программистов сидят удаленно с Москоу на компах инженеров пусконаладчиков- и правят рашпилем СКАДу… Но тут надо просто бить по рукам и лицом в пол- Люди которые занимаются ИБ предприятия просто тупо не выполняют свои функции… Тут даже установка фаервола не поможет…

    • tangro
      /#10505282 / -1

      Ну вот к пятому пункту всё в реальной жизни и сводится. Вспомните как годик назад русские спецслужбы ломали украинские энергосети. Тогда операторы на местах тупо сидели и смотрели как «внезапно начавшая двигаться мышка начала нажимать кнопки в программе управления энергосетью» и их это поначалу совершенно не напрягло, поскольку такое и раньше много раз делали их коллеги — «в производственных целях».

    • scruff
      /#10505460 / -1

      К сожалению такой вид, как специалист по ИБ отсутствует на многих предприятиях от слова «вообще», даже в аутсорсинговом форм-факторе… до первого инцидента, вызвавшего простой «станка» на N-часов/дней. Поэтому и обязанность по обеспечению ИБ зачастую возлагать просто не на кого. Крайний случай — расширяют пул обязанностей админов путём добавления ИБ… до первого инцидента.

      • scruff
        /#10505472 / -1

        Продолжу мысль примером из практики — виндовая управляющая СКАД-ой станция, смотрит одним из NIC-ов в Интернет стандартным портом 3389/ТСР, пароль админа что-то вроде 123456\Qwerty1, UAC/Firewall… Пфффф зачемб? Who cares? И это обнаружил рядовой админ. Сколько было ненависти от управляющих аутсорсеров и других «коллег по цеху», когда почти насильно был сменен RDP порт, и отключен встроенный админ (мелочь, но надо же с чего-то начинать). И так работало N-лет до меня.

    • NoFateMan
      /#10505482

      На самом деле варианты действительно есть… блокировочное устройство можно просто «повесить». АСУ энергетики не моя сильная сторона, но есть такие механизмы когда через сеть можно повесить ту же ABB-шку наглухо. Конечно для успешной атаки нужно действительно быть очень хорошо подготовленным, «с наскока» сильно большой ущерб вряд ли получится нанести. Если говорить про АСУ ТП предприятия — нужна именно целевая атака с серьёзным подготовительным этапом, вплоть до получения функциональных и электрических схем целевого объекта и изучения алгоритмов ПЛК. Разработки вектора атаки которая будет подразумевать изменение алгоритмов ПЛК с целью обхода релейных и технологических защит (не ПЛК-шных) для нанесения максимального урона. Конечно если ПЛК запаролен, а релейные защиты выполнены грамотно и связь с внешним миром настроена специалистом — ловить особо нечего. Но такой подход, как показывает практика, редкость.