Präsentation Michael Hoos und Enrico Puppe

Symantec Press University 2011
Das Erbe von Stuxnet & Wikileaks
Michael Hoos
i h l
Senior Director Technology Sales Organization EMEA Central
EEs gibt keine Sicherheit, ib k i Si h h i
nur verschiedene Grade
hi d
G d
der Unsicherheit.
der Unsicherheit
Anton Neuhäusler
3
4
1 Thema
1. Thema
Stuxnet und Wikileaks läuten neue Epoche ein
Cyberattacken haben politisch Ziele
Professionalität und ihr Fokus nehmen zu
Professionalität und ihr Fokus nehmen zu
IT‐isation von Schwellenländer bringt neue Angreifer
Bedeutungszuwachs der Information
Bedeutungszuwachs der Information
5
2 Thema
2. Thema
Verwischte Grenzen im Mobilen
Private und geschäftliche Daten vermischen auf den mobilen Geräten
Mehr Smartphones als PCs verkauft
g
g
,g
Wieviele Geräte werden täglich gestohlen, gehen verloren? Firmen verlieren die Kontrolle über ihre Daten
6
3 Thema
3. Thema
Das Ende traditioneller Sicherheit
Die Menge „normaler“ Malware wächst unaufhörlich
2009 240 Millionen einzigartige Variantren Schadcode
2009 240 Millionen einzigartige Variantren
2010 signifikantes Wachstum, Code auf weniger als 15 p
g
Computer weltweit nachgewiesen
Traditioneller Schutzansatz der Sicherheitsindustrie stößt an seine Grenzen: Wie soll Signatur effektiv funktionieren, wenn mehr als 60 % des neuen Schadcodes sogenannte Singletons sind, also Schadcode der weltweit nur auf bis zu zwei Systemen auftaucht?
7
Neue Gefahren erfordern Umdenken im IT‐Bereich
informationsorientiert
systemorientiert
• Schwerpunkt:
Automatisierung von von
Geschäftsabläufen
• Daten: zentral, strukturiert
• Infrastruktur: physisch
• IT‐Fokus: System
• Schwerpunkt: Flexibilität durch
Zusammenarbeit und
Wissensaustausch
• Daten: verteilt, unstrukturiert
• Infrastruktur: virtuell, in der ‘Cloud’, ausgelagert
‘Cl d’
l
• IT‐Fokus: Informationen
8
Alles was zählt
Alles was zählt…
…ist der Schutz von Informationen und Identitäten, unabhängig von Gerät Plattform oder Service
Gerät, Plattform oder Service.
9
Stuxnet
Faktenlage, Auswirkungen, Schutz
Michael Hoos
Senior Director Technology Sales Organization EMEA Central
Enrico Puppe
Sicherheitsbeauftragter produktionsnahe IT, Volkswagen Nutzfahrzeuge
Symantec™ Global Intelligence Network Identifiziert mehr Bedrohungen, reagiert
Bedrohungen reagiert schneller und verhindert
und verhindert Schäden
Calgary, Alberta
Dublin, Irland
Reading, Großbritannien
San Francisco, CA
Mountain View, CA
Culver City CA
Culver City, CA
Alexandria, VA
Tokio, Japan
Chengdu, China
Austin, TX
Taipeh, Taiwan
Chennai, Indien
Puna, Indien
Sydney, Australien
Weltweite Abdeckung
Globale Reichweite und Skalierung Ereignisprotokollierung rund um die Uhr (24x7)
S h ll Erkennung
Schnelle
Ek
Angriffsaktivität
• 240.000 Sensoren
• Über 200 Länder
200 Länder
Informationen zu Malware
Sicherheitslücken
Spam/Phishing
• 130 Mio. überwachte Clients, Server, Gateways
,
y
• Weltweite Abdeckung
• 32.000+ Sicherheitslücken
• 11.000 Anbieter
• 72.000 Technologien
• 2,5 Mio. Vorgetäuschte E‐Mail‐
Konten
• Über
Üb 8 Mrd. E‐Mail‐Nachrichten/Tag
M d E M il N h i ht /T
• Über 1 Mrd. Internetanfragen/Tag
Präventive Sicherheitswarnungen
Informationsschutz
Maßnahmen als Reaktion auf Bedrohungen 11
Am 13. Juli
Am
13 Juli 2010 haben
2010 haben wir eine
neuartige Malware entdeckt, die versucht Industrieanlagen zu
manipulieren.
Stuxnet – die Fakten 14
Bedrohungsaktivität: Presseberichte
"Meldung vom 26.01.2011 14:13 Uhr
De Maizière warnt vor Stuxnet-Nachahmern
Hamburg (dpa) - Die Bundesregierung ist wegen möglicher Kopien des Computerwurms Stuxnet besorgt.
«Jeder erfolgreiche kriminelle Angriff ermuntert Nachnahmer», warnte Bundesinnenminister Thomas de
Maizière in einer NDR-Reportage.
p
g «Nun ist das "Stuxnet"-Programm
g
so aufwändig,
g, dass die Nachahmung
g
vielleicht kompliziert ist. Aber in bescheidenerem Umfang gibt es das bereits, und deswegen müssen wir uns
gegen solche Programme so gut wie nur irgendmöglich wappnen», zitierte der Sender den Minister am
Mittwoch.
„Der digitale Erstschlag ist erfolgt
Jetzt legen erste Indizien einen erstaunlichen Verdacht nahe: Offenbar hat die digitale Waffe das iranische Atomprogramm sabotiert." ‐ FAZ, 22. Sept 2010
15
Spuren im Code
Spuren im Code
Datei enthält folgenden String: b:\myrtus\src\objfre w2k x86\i386 \guava pdb
b:\myrtus\src\objfre_w2k_x86\i386 \guava.pdb
• Theorie Hebräisch, My RTUs, falsche Fährte, Vornamen,…
Setzt Infektionsmarker mit Wert „19790509“
• Theorie Datum einer Hinrichtung, Geburtstag des Autors,…
Benutzt PLC Checkwert „0xDEAD F007“
• Theorie Dead Fool, Dead Foot, 007, …
Die meisten PC Infektion sind im Iran (ca 60%)
• Theorie Bug, zielgerichtet, Kollateralschaden, Ablenkung, …
g,
g
,
,
g,
Der Inhalt dieser Folie ist nur Spekulation!
p
16
17
Zeitlicher Ablauf: W32 Stuxnet November 2008 – März 2010
W32.Stuxnet November 2008
April 2009:
April
2009:
Printer Spooler Schwachstelle wird im
Hackin9 Magazin
veröffentlicht
SStuxnet signiert
i i
Stuxnet Treiber wird
mit gestohlenem
Realtek Zertifikat
signiert
November 2008 | April 2009 |Juni 2009| Januar 2010 | März 2010 November 2008:
T j Zl b nutzt
Trojan Zlob
t t LNK LNK
Schwachstelle
Stuxnet: Die Fakten
Stuxnet:
Erste variante tritt
auf ohne LNK Ausnutzung
Stuxnet nutzt LNK
Erste Variante, welche
die LNK Schwachstelle
ausnutzt
18
Zeitlicher Ablauf: W32 Stuxnet Juni 2010 – September 2010
W32.Stuxnet Juni
Juni 2010:
Digitales
g
Zertifikat
abgelaufen; neuer
Treiber im Juli
aufgetaucht –
ebenfalls von Drittanbieter digital digital
signiert
Juni 2010 | 16. Juli:
Mi
Microsoft ft
veröffentlich
Security Advisory 2286198 über
Zero‐Day‐
y
Sicherheitslücke
Juli 2010 | August 2010 2. Aug.:
Microsoft veröffentlicht
Microsoft veröffentlicht
außerplanmäßigen
Patch für .LNK‐
Sicherheitslücke
20. Juli:
20
Juli:
Symantec leitet für zwei C&C‐Server
bestimmten Datenverkehr
in einen von Symantec gesteuerten "Trichter" um
Stuxnet: Die Fakten
6. Aug.: Symantec entdeckt, dass
Stuxnet neuen
PLC‐Code in Steuerungs‐
systeme
einschleusen
kann
14. Sept.: Unsere
Analysen zeigen, dass Stuxnet vier
Ungepatchte
Si h h it lü k
Sicherheitslücken
ausnutzt; | September 2010 17. Sept.: Symantec findet heraus, dass sich die Bedrohung selbständig über P2P aktualisieren kann
14. Sept.:
Microsoft veröffentlicht
im Rahmen des Microsoft‐Patchday einen
Patch für Print Spooler
Patch für Print Spooler Sicherheitslücke
19
Weltweite Verteilung der Infektion
Weltweite Verteilung der Infektion
40‘000 IP Adressen aus 155 Ländern
20
Anzahl infizierte Systeme mit Siemens Software
Anzahl infizierte Systeme mit Siemens Software
21
Neuinfektionen pro Land
Neuinfektionen pro Land
22
Stuxnet: Ziel
Stuxnet: Ziel
• Zielt auf Industrieanlagen
Angreifer
Victim
• In der Regel Netzwerke, die nicht mit dem Internet verbunden sind
Merkmale des Wurms:
Merkmale des Wurms:
• Grosse dll mit verschlüsselten Modulen (ca. 500KB)
• 2 Varianten bekannt
b k
Stuxnet: Die Fakten
23
Verbreitungsweg
• Verbreitet sich über USB Sticks
Victim
Angreifer
– LNK Schwachstelle (BID 41732)
– Gepatched am 2. August 2010
– Autorun.inf (alte
f ( l Version))
• Autorun
A t
ausschalten hilft nicht!
h lt hilft i ht!
Consultant
Stuxnet: Die Fakten
24
Weitere Verbreitungswege
Verbreitet sich auch im lokalen Netz:
Victim
Angreifer
Durch 4 Microsoft Schwachstellen
– MS08‐067 (Schwachstelle Conficker)
– Printer Spooler Schwachstelle (BID 43073)
– 2x Privilege Elevation Schwachstellen
• Über
Ü
Netzwerkfreigaben
Angestelter
• Standardkennwort WinCC DB Server
Consultant
Davon 4 Schwachstellen ohne erhältlichen Patch!
Stuxnet: Die Fakten
25
Nach einer erfolgreichen Infektion
Nach einer erfolgreichen Infektion
Rootkit Treiber ist digital signiert mit einem von 2 gestohlenen Zertifikaten
mit einem von 2 gestohlenen Zertifikaten
von ‘JMicron’ und ‘Realtek’
Rootkit Modul
Versteckt den Schädling vor dem System & Scannern
S t
&S
Stuxnet: Die Fakten
26
Rückmeldung an die Angreifer
Rückmeldung an die Angreifer
Command & Control
Command & Control
Falls Internetverbindung
Falls
Internetverbindung besteht:
• Meldung an C&C Server
Meldet sich beim Angreifer & sendet
Angreifer & sendet Konfigurations
Dokumente
www.mypremierfutbol.com
www todaysfutbol com
www.todaysfutbol.com
• Stehlen von Netzwerkkonfigurationsdateien
• Angreifer kann Befehle oder Updates zurück senden
• Updates auch über eigenes Peer‐To‐Peer Netzwerk möglich d
h b
i
k
li h
Stuxnet: Die Fakten
27
Bis dahin nichts wirklich neues…
SPS/PLC
SPS = Speicherprogrammierbare Steuerung PLC P
PLC = Programmable Logic Controller
bl L i C t ll
S
Steuerungsgeräte für Maschinen:
ä fü
hi
Auswerten von Input Signalen
p
g
• Temperaturfühler
• Druckmessgeräte
• Drehzahlmesser
Generieren von Output Signalen
• Ventil öffnen (zum Druckabbau)
• Motor bremsen oder abschalten
Stuxnet: Die Fakten
29
Geräte sind nicht schwer zu beschaffen
Geräte sind nicht schwer zu beschaffen
Stuxnet: Die Fakten
30
Siemens S7 Kontrollfluss
Siemens S7 Kontrollfluss
Step7‐
Software
SPS/PLC
Kompilierter
MC7 Code
Stuxnet kann auch Step 7 Projekte
Infizieren und sich so verbreiten
Stuxnet: Die Fakten
31
Man‐In‐The‐Middle Angriff von Stuxnet
Man‐In‐The‐Middle Angriff
von Stuxnet
SPS/PLC
WinCC
Kontroll‐
Software
Kompilierter
MC7 Code
Stuxnet
p
fake Step7 dll
Original Step7 dll
Stuxnet: Die Fakten
Stuxnet fängt alle lese/schreib Zugriffe auf die SPS Geräte ab
Zugriffe auf die SPS Geräte ab
• beim schreiben infizieren
• beim lesen sich ausblenden
b i l
i h
bl d
32
Gezielte Suche nach Hardware
SPS Konfiguration wird im System Data Block (SDB) gespeichert
Stuxnet infiziert die SPS nur, wenn SDB gewisse Kriterien erfüllt!
• SPS muss vom Typ S7‐315‐2 oder S7‐417 sein
Netzwerkkarte muss vorhanden sein ‐ CP 342
CP 342‐5
5
• Profibus Netzwerkkarte muss vorhanden sein – Magic bytes 2C CB 00 01 am Offset 50h
• Muss Frequenzumrichter benutzen
Muss Frequenzumrichter benutzen
– Mindestens 33 mal die Werte 7050h und 9500h
Stuxnet: Die Fakten
33
Frequenzumrichter: Fararo Paya und Vacon
2 – 807 –
2 –
807 – 1410 Hertz
1410 Hertz
34
Manipulation
Wartet bis Frequenzumrichter zwischen 807Hz & 1210Hz ist
Wartet 13 Tage bis 3 Monate
“Ändere die Drehzahl auf 1410Hz dann auf 2Hz und dann 1064Hz”
Was auch immer sich hier dreht wird massiv gestört!
1410Hz
1210Hz
807Hz
2Hz
Stuxnet: Die Fakten
35
Erstinstallation Stuxnet
Erstinstallation Stuxnet
36
Infektionsmechanismus
37
Weiss: Stuxnet Gelb: von Stuxnet aus Simatic kopiert
Grau: System Funktionen
k
Grün: Stuxnet Daten
38
Trends der industriellen Kommunikation
Trends der industriellen Kommunikation
1. Zunehmende Dezentralisierung der Automatisierungsfunktionen ‐
Einsatz leistungsfähiger Kommunikationssysteme
l
f h
k
2. Zunehmender Einsatz von Informationstechnologien in der Automation
‐ PC‐basierte Automatisierungslösungen ‐ Schnittstellentechnologien und Protokolle wie z.B. OPC, XML oder TCP/IP
‐ Einsatz internetbasierter Dienste (z.B. Fernwartung) inkl. Einsatz b
(
) kl
mobiler Geräte
‐ Einsatz von Web‐Technologien
Einsatz von Web Technologien
Trends der industriellen Kommunikation
Trends der industriellen Kommunikation
3. Zusammenführung von Technischen Prozessen und Geschäftsprozessen (Vertikale Integration MES)
Geschäftsprozessen (Vertikale Integration, MES) 4. Vereinheitlichung der Infrastruktur Information Technology
Betriebswirtschaft
Automatisierung
Internet
Ethernet
OPC
Feldbus
Automatisierungstechnik
Stuxnet: Bedeutung für die Produktion
Stuxnet: Bedeutung für die Produktion
Erster dokumentierter, automatisierter, manipulativer Zugriff auf SPSen.
Veränderte Bedrohungslage, bisheriger primärer Fokus: Schutz vor Broadcaststürmen u s w
Schutz vor Broadcaststürmen, u.s.w
Veränderung der Sicherheitskonzepte sowohl technisch als auch V
ä d
d Si h h it k
t
hl t h i h l
h
organisatorisch
Engere Zusammenarbeit zwischen Herstellern, Integratoren und Betreibern
Stuxnet:
Stuxnet: Bedeutung für die Produktion
Bedeutung für die Produktion
Der wachsende Anspruch an
l i hbl ib d Q
lität und
d
gleichbleibender
Qualität
effizienter Nutzung der Energie
erfordert einen aktiven Eingriff in den
Fertigungsprozess.
Im Bereich Laserschweißen geht der
Trend zur aktiven Regelung der
L i t
Leistung.
Mit welchen Konsequenzen?
Foto:FGSW
Stuxnet:
Stuxnet: Bedeutung für die Produktion
Bedeutung für die Produktion
Wenn es einem Angreifer gelingt
di Steuerung
St
i li
die
zu manipulieren,
dann kann unmerklich die
Schweißleistung reduziert werden.
werden
Die Folge:
Im schlechtstetem Fall hält eine
Fahrgastzelle einem Crash nicht
mehr
h stand.
t d
Foto:ADAC
Stuxnet und Wikileaks
Stuxnet und Wikileaks
Die Abhängigkeit von externen Dienstleistern ist Gefahrenpotential auch für das Abfließen von Informationen
Gefahrenpotential auch für das Abfließen von Informationen.
Stuxnet ‐ Analyse
44
Schutz vor Stuxnet
Applikationshärtung
• Symantec Critical System Protection in Kernel-Filter Mode Regelwerk
Schutz vor Datenverlust
• Identifizieren und Beheben interner Datenlecks
Kontrolle von Wechselspeichermedien
• Wechselspeichermedien scheinen eine der häufigsten Infektionsquellen zu
sein
• Einschränkung des automatischen Starts von Content auf
Wechselspeichermedien
Hardening des Informations-Repository
• Kern-Repositorys mit geistigem Eigentum gehören zu den
Hauptangriffszielen
45
Zusammenfassung
• Detailliertes Insider Wissen vorhanden
• Arbeit von mehreren Programmierern über mehrere Monate
• Sabotage & Spionage
• Kein kommerzieller Hintergrund erkennbar
• Zielt auf sehr spezifische Industrieanlagen
p
g
• Umdenken in der produktionsnahen IT
Stuxnet: Die Fakten
46
Risikomanagement
g
An allem Unfug, der passiert, sind nicht etwa nur die schuld, i d i h
di
h ld
die ihn tun, sondern auch die, ,
,
die ihn nicht verhindern.
Erich Kästner
Erich Kästner
47
Schutz von Informationen
und Identitäten unabhängig
von der
Infrastruktur:
d Infrastruktur
I f
t kt :
Physikalisch,
y
, Virtuell
oder in der Cloud
Cloud..
Symantec Enterprise Vision and Strategy