SCADA StrangeLove (SCADA StrangeLove)

Перейти к навигации Перейти к поиску
Scada StrangeLove
Тип бизнес
Основание 2012
Отрасль Информационная безопасность
Сайт www.scadasl.org

Scada Strangelove — основанная в 2012 году некоммерческая группа исследователей в области информационной безопасности, фокусирующаяся на анализе защищенности промышленных систем управления, таких как SCADA, PLC, RTU, SmartGrid.

Направления деятельности

[править | править код]

Основные направления:

  • выявление и устранение уязвимостей 0-day и закладок;
  • анализ защищенности основных компонентов АСУ ТП, таких как протоколы, инструменты разработки;
  • выявление АСУ ТП, подключенных к Интернет;
  • разработка рекомендаций по повышению защищенности промышленных систем;
  • исследования влияния кибербезопасности на functional safety и катастрофоустойчивость;
  • распространение информации об актуальном состоянии безопасности промышленных систем и повышение осведомленности сообщества.

В фокусе исследований находятся не только системы промышленного уровня, но и другие встраиваемые системы, такие как «умные дома», солнечные и ветроэнергетические установки, системы SmartGrid и т.д

Логотип команды Scada Strangelove

Разрабатываются и публикуются в открытом доступе утилиты для идентификации и анализа безопасности сетевого взаимодействия, подбора паролей для промышленных протоколов, таких как modbus, Siemens S7, MMS, IEC 60870, ProfiNet[1].

В 2014 году наработки были использованы в системе Shodan для построения карты компонентов АСУ ТП[2], доступных из Интернет.

Некоторые релизы встраиваются в системы анализа защищенности с открытым исходным кодом, такие как THC Hydra[3], Metasploit[4], DigitalBond Redpoint[5].

Был опубликован набор рекомендаций по повышению защищенности промышленных систем, построенных на основе продуктов Siemens SIMATIC WinCC[6] и WinCC Flexible[7]. В документах описаны встроенные защитные механизмы и варианты их использования.

Один из проектов команды — тестовый макет Choo Choo PWN, известный также как Critical Infrastructure Attack (CIA), представляет собой игрушечный город, управление инфраструктурой которого (железной дорогой, заводами, освещением) реализовано на реальном промышленном оборудовании. Система была использована на конференциях PHDays, Power of Community[8], 30C3.

Макет используется как для обучения, так и для поиска уязвимостей. Так, на форуме Positive Hack Days IV участниками было выявлено несколько уязвимостей 0-day в продуктах Indusoft Web Studio 7.1 by Schneider Electric, RTU PET-7000[9].

Выступления

[править | править код]

Участники команды активно выступают на конференциях по всему миру, таких как CCC , SCADA Security Scientific Symposium, Positive Hack Days . Из наиболее значимых выступлений можно выделить:

Представлен обзор выявленных командой уязвимостей в популярной платформе Siemens SIMATIC WinCC, инструменты для выявления ICS в Интернет.[10].

На выступлениях в рамках PHDays III[11] и PHDays IV[12] были представлены уязвимости распространенных платформ АСУ ТП ABB, Emerson, Honeywell and Siemens.

Представлены результаты анализа защищенности[13] как хорошо известных протоколов Profinet, Modbus, DNP3, так и сетевых протоколов IEC 61850-8-1 (MMS), IEC 61870-5-101/104, FTE (Fault Tolerant Ethernet), Siemens S7.

Представлен анализ[14] влияния использования радиодоступа и сетей 3G/4G на безопасности абонентских устройств, в том числе и промышленного оборудования.

Название, лозунг и другие элементы группы отсылают к культовому фильму Стенли Кубрика «Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb». В докладах широко используются отсылки к эпизодам холодной войны, таким как Карибский кризис. Проводятся параллели между гонкой ядерных вооружений и текущей эскалацией кибервойны.

Команда придерживается идеи «ответственного разглашения» и, согласно заявлениям «готовы ждать годы, пока вендор закроет дыру». Команда не публикует эксплойты для выявленных уязвимостей, мотивируя это долгим циклом внесения изменений в промышленные системы, где от выпуска патча до его установки могут пройти годы.

Однако иногда возникают и конфликты, например в 2012 году было отменено выступление на DEF CON[15].

Упоминания в прессе

[править | править код]

Примечания

[править | править код]
  1. GitHub: scada-tools [1] Архивная копия от 28 апреля 2017 на Wayback Machine (англ.)
  2. Shodan Архивированная копия. Дата обращения: 23 декабря 2014. Архивировано 21 февраля 2015 года. (англ.)
  3. Changelog for hydra [2] Архивная копия от 19 декабря 2014 на Wayback Machine (англ.)
  4. GitHub: wincc_harvester [3] (англ.)
  5. Redpoint Release: Siemens S7 Enumeration [4] Архивная копия от 12 ноября 2014 на Wayback Machine (англ.)
  6. Siemens Simatic WinCC 7.X SCADA Security Hardening Guide Draft Version Архивированная копия. Дата обращения: 20 ноября 2014. Архивировано 27 мая 2015 года. (англ.)
  7. Siemens Simatic WinCC Flexible 2008 Security Hardening Guide [5] Архивная копия от 29 сентября 2014 на Wayback Machine (англ.)
  8. [POC2013-TV] 실제 스카다 시스템, 2시간 만에 해킹당해 [6] Архивная копия от 18 декабря 2014 на Wayback Machine (кор.)
  9. Smart City Hacked at PHDays IV [7] Архивная копия от 23 декабря 2014 на Wayback Machine (англ.)
  10. SCADA STRANGELOVE or: How I Learned to Start Worrying and Love Nuclear Plants [8] Архивная копия от 23 марта 2017 на Wayback Machine (англ.)
  11. Positive Hack Days III [9] Архивная копия от 23 декабря 2014 на Wayback Machine (англ.)
  12. Positive Hack Days IV [10] Архивная копия от 23 декабря 2014 на Wayback Machine (англ.)
  13. SCADA deep inside: protocols and security mechanisms Архивированная копия. Дата обращения: 23 декабря 2014. Архивировано 19 декабря 2014 года. (англ.)
  14. Root via SMS [11] Архивная копия от 12 октября 2017 на Wayback Machine (англ.)
  15. Siemens industrial software targeted by Stuxnet is still full of holes [12] Архивная копия от 19 декабря 2014 на Wayback Machine (англ.)