Date post: | 09-Jan-2017 |
Category: |
Technology |
Upload: | eduardo-arriols |
View: | 272 times |
Download: | 2 times |
Como Pedro por su Smart-Building
Como Pedro por su Smart-BuildingEduardo Arriols Nuez
1
Las ciudades crecen cada vez mas y a travs del IoT y el avance de las tecnologas se busca optimizar todo.Un ejemplo, las Smart-Cities y dentro de ellas los Smart-Buildings que permiten un control centralizado del edificio2
Pero Que peligros conllevan estos edificios para la ciudad, el propio edificio y o la organizacin?3
Se os puede venir a la cabeza hacer el troll y jugar un tetris, que si, se podra pero sin duda hay cosas mucho mas preocupantes4
Sin Complicaciones
La idea de la presentacin es demostrar que de forma tremendamente sencilla y sin apenas conocimientos tcnicos se podra hacer mucho dao.Se hace uso de vulnerabilidades realmente simples y clasicas.5
Demos Acotadas
La idea de la presentacin es demostrar que de forma tremendamente sencilla y sin apenas conocimientos tcnicos se podra hacer mucho dao.Se hace uso de vulnerabilidades realmente simples y clasicas.6
Eduardo Arriols NuezRed Team Leader Profesor universitario de grado y post-gradoOSWP, CSX, CEH, CHFI, ECSA,
[email protected] @_Hykeos
Whoami12
7
1. Smart-Cities2. Smart-Buildings3. Explotacin4. Post-Explotacin5. Conclusiones
Agenda de temas que sern tratados8
Smart-Cities
Vamos a exponer de forma breve que es eso de las Smart-Cities9
Evolucin e Interconexin
Nacen por la necesidad de gestionar mejor las ciudades y potenciadas por el avance del IoT10
Ciudades Inteligentes?
Qu es realmente una Smart-City? Una aglomeracin de otros sistemas que dotan a la ciudad de una capacidad para hacerle la vida mas fcil a los ciudadanos y las organizaciones.11
Estructura General
Subdivisin comn de elementos dentro de una Smart-City12
Smart-Buildings
Vamos a ver ahora lo que son los Smart-Buildings o edificios inteligentes13
Vector de Ataque
La presentacin se centra en este tipo de sistemas, que podran servir como vector de entrada a la Smart-City en caso de tener esta un nivel suficiente de madurez.
Aun no tenindolo podran afectar mucho a la ciudad.14
Building Management System - BMS
Esquema Tpico de Red
Creacin de un Smart-Building
Fabricantes Implantadores
Explotacin
Sistemas Objetivo
Versiones 1 y 2
19
Sistemas Objetivo
Sistemas Objetivo
Tridium Niagara Fcil identificar los nuevos (Protocolo Niagara Fox)Totales: ~50kVersin 1 y 2: ~22kVulnerables: ~8k
21
Vector de Ataque
Identificacin de usuarios por defecto que segn la versin de manual aparecan o no en el documento (backdoor)guest / *****test / ****demo / ****admin / ***** (Directamente administrador)
En versiones mas modernas existen otros usuarios ampliamente utilizados por defecto default / *******tridium / *******
Vector de Ataque
1
Vector de AtaqueSe utiliza el acceso como el usuario identificado que nicamente tiene permisos de lectura. Esto impide la posibilidad de realizar acciones sobre el edifico.
2
Se analiza el sistema y se identifica la ruta del archivo de configuracin (Existen varios). El usuario tiene acceso de lectura a los archivos de configuracin donde se encuentran los usuarios y su contrasea cifrada.
Vector de Ataque
3
Las claves tambin se puede obtener en otros sitios como el backup.No utiliza un cifrado estndar, sino uno propio.25
Se identifica el directorio donde se encuentran todas las libreras (no publicas) que utiliza el sistema. Entre las libreras, existe una que contiene funciones para cifrar y descifrar.
Vector de Ataque
4Obtencin de libreras no publicas
Vector de Ataque
Creacin de un simple script que haga uso de la librera para descifrar las claves cifradas.
5
Acceso como usuario administrador al sistema BMS Tridium Niagara y control completo del edificio.
Vector de AtaqueIMPORTANTE Versiones afectadas 1 y 2 (3 y 4 NO! Por ahora)
6
Una vez se tiene acceso al software podemos realizar otras muchas acciones sobre el sistema, algunas son:Acceso backupsAcceso direccionamiento internos y JACE conectadosAcceso a libreras, herramientas, licencias, Acceso a archivos de configuracin
Vector de Ataque
7
Posibilidad de acceder a los planos del edificio (intrusin fsica)29
Uso de herramientas como Shodan y ZoomEye para localizar dispositivos.
Localizando Sistemas Vulnerables
Es posible localizar mas de 5k de las versiones 1 y 2Es posible localizar mas de 40k de las versiones 3 y 4Todo con simples bsquedas. Realmente existen mas sistemas conectadosExisten ciudades donde se encuentran desplegados una gran cantidad de sistemas Ideas?30
Tipos de Entidades AfectadasEmpresas Privadas
Tipos de Entidades AfectadasEntidades Bancarias
Tipos de Entidades AfectadasHospitales
Tipos de Entidades AfectadasUniversidades y Colegios
Tipos de Entidades AfectadasCentros comerciales y concesionarios
Tipos de Entidades AfectadasAeropuertos
Tipos de Entidades AfectadasCentrales Elctricas
Tipos de Entidades AfectadasCrceles
Tipos de Entidades AfectadasDepartamentos de Polica
Tipos de Entidades AfectadasEdificios Pblicos / Gubernamentales
DEMO
Post-Explotacin
Vamos a ver ahora otras acciones que podramos realizar adems de tener control sobre la domtica del edificio en cuestin42
Alteracin de las Seales
Posibilidad de falsificar cualquier tipo de sealQu pasa si cortas la electricidad de un quirfano o una UVI y en el panel evitas que se muestre el cambio?43
Automatizaciones de AccionesObtencin de informacin (Tipo de sistema, mdulos desplegados, usuarios y credenciales, organizacin, etc)
Autenticacin realizada mediante cookie en Base64 (user@pass)Realizacin de acciones sobre el edificio en cuestinAlteracin de las seales de determinados mdulos Posibilidad de congelar el edificio en un estadoAutomatizar acciones simultaneas sobre equipos en un mismo rea geogrfica
Trivial desarrollar pequeos scripts que interacten con los edificiosComentar que adems la autenticacin la realiza con el usuario y pass en Base64 como cookie44
Acceso a la Red Industrial*Parte de los sistemas conectados tienen adems habilitado el servicio RDP, nateado contra la maquina que aloja el sistema BMS.En la mayora de casos probados, alguno de los usuarios existentes en el software BMS es capaz de autenticarse por RDP.
En Espaa se han deshabilitado la mayora durante los ltimos meses (Se les aviso hace 2 aos)Hace una ao aproximadamente haba muchos.Puede tener algo que ver la guardia civil45
Comprometiendo la Organizacin*Cuando el edificio pertenece enteramente a una organizacin puede encontrarse conectado a la red interna de dicha organizacin con el objetivo de que sea gente interna quien tenga control de el.
nicamente se ha basado en el ejercicio intrusin que fue realizado hace un par de aos46
Origen de la Vulnerabilidad
Exponer la intrusin realizada47
Mas Sistemas Accesibles?
V1 y v2AX y v4
Hemos visto como seria posible vulnerar las versiones 1 y 2, pero Tambin es posible acceder a los sistemas 3 y 4 mediante la reutilizacin de credenciales del implantador en muchos casos.
Para ello es necesario un anlisis de los usuarios y contraseas por rea geogrfica. Esto ha sido probado en 3 ciudades donde existan bastantes sistemas y en los sistemas 3 y 4 el porcentaje de accesos mediante algn usuario reutilizado es alto48
Conclusiones
49
Conclusiones
Vulnerar un edificio podra suponer vulnerar una Smart-City o por lo menos causar cierto dao en la ciudad50
Conclusiones
Nuevos ataquesNuevas amenazas
Ampliacin de nuevo vectores de ataque y con ello nuevas amenazasQue pasa si se coordina un ataque contra ciudades donde hay cientos de estos sistemas?Qu pasa si se corta la electricidad de una zona de un hospital y se falsean los datos para que todo parezca normal, eliminando adems las modificaciones realizada?51
Conclusiones
Como todo, bueno siempre y cuando se verifique la seguridad antes de exponerse
Politicas, procedimientos y poder auditar a los 352
Lneas Futuras de InvestigacinPrincipalmente las lneas en las que se esta trabajando son:
Publicacin de scripts para la interaccin y ataque sobre los Smart-Building (Una vez finalizados).
Realizar el anlisis de las libreras y buscar funcionalidades como subida de ficheros Evitar la necesidad de tener que utilizar RDP para el acceso a la red interna (Ejemplo: Subir ReGeorg).
Investigar nuevas versiones de Tridium Niagara (AX y v4).
Realizar anlisis por rea geogrfica de edificios vulnerables.
Se aceptan ideas nuevas y por supuesto colaboracin en el temaAlguien tiene un edificio que prestarme?53
Preguntas?
Eduardo Arriols Nuez
[email protected] @_Hykeos