Актуальные угрозы для Embedded Systems- Сервисный режим...
Transcript of Актуальные угрозы для Embedded Systems- Сервисный режим...
1
Актуальные угрозы для Embedded Systems
Комплексная защита встраиваемых систем
Мелёхин АртёмИнженер предпродажной поддержки «Лаборатории Касперского»
Встраиваемые системы
Финансовые услуги
Билетные агентства
Ритейл Рестораны Здраво-охранение
Банкоматы Автоматы по продаже
билетов
Кассовые системы
(POS)
Медицинское оборудование
Стойки регистрации
УСТРОЙСТВА
ОТРАСЛИ
А что еще?...
Микроконтроллеры
в IoT
Умные Автомобили
ПЛК
УСТРОЙСТВА
Транспорт Сетевое оборудование
Векторы атак на встраиваемые системы
4
ПОЛНЫЙ КОНТРОЛЬ НАД
ВСТРАИВАЕМОЙ СИСТЕМОЙ
ПЕРИМЕТР
АТАКИКАРД-РИДЕРДИСПЕНСЕР
УСТРОЙСТВО
ВРЕДОНОСНОЕ
ПО
ПОСТАВЩИКИ
УСЛУГ
АТАКА
АТАКА
ФИЗИЧЕСКИЙ
ДОСТУП
СОТРУДНИКИ
• Удаленная/локальная установка
вредоносного ПО
• Перехват оперативной памяти/
Атаки на ОС
• Заражение связующего ПО
Уровень ОС
• Атаки BlackBox
• Подмена пин-пада
• Скрытые камеры
• Физический взлом устройства
Физический уровень
• Уязвимости VPN
• Целевые атаки (APT)
• Удаленная установка
вредоносного ПО
Сетевой уровень
Более половины успешных атак на встраиваемые устройства связаны с инсайдерской деятельностью со стороны сотрудников или сервисных компаний
5
Старые вирусы для банкоматов/POS-систем по-прежнему активны
2009 Today2010 2011 2012 2013 2014 2015 2016-2018
Backdoor.Win32.Skimer
Trojan-Spy.Win32.POS (CardStealer)
Backdoor.Win32.Desty (Dexter)
Trojan-Spy.Win32.Vskim
Trojan-Banker.MSIL.Atmer (Ploutus)
Trojan.Win32.Brob
BlackPOS
Trojan.Win32.Fsysn
Backdoor.Win32.Tyupkin
Backdoor.Win32.NeoPacket
Backdoor.Win32.Backoff (Backoff)
Carbanak
Skimer.w
Backdoor.Win32.Sucful.a
Backdoor.Win32.ATMii
Backdoor.Win32.ATMitch
Backdoor.Win32.ATMletcut
Trojan.Win32.ATMulator
Trojan.Win32.ATMripper
Backdoor.Win32.Carbanak
Backdoor.Win32.CarbanakCmd
Trojan.Win32.CustomCarbanak
Trojan.Win32.Anunak
Trojan.Win32.ATMudochka
Trojan.Win32.Ice5
Trojan.Win32.GreenDispenser
6
Слабые точки в безопасности банкоматов
- Большая часть банкоматов работает на Windows XP, поддержка которой прекращена
- Системный блок в зоне легкого доступа
- Невозможность отключить USB-порты и CD/DVD-приводы
- Необходимость подключения к интернету для проведения финансовых транзакций
- Сервисный режим производителей банкоматов имеет полный доступ ко всем элементам оборудования на уровне ПО
7
Сценарии угроз для POS-систем
- Шифровальщики
- Кейлоггеры (перехватчики клавиатуры)
- Перехватчики памяти
- Сетевые перехватчики (могут быть установлены на POS, хотя это редкий сценарий)
- Сбор подтвержденных персональных данных
- Точка входа для проведения целевой атаки на компанию
8
Оптимальная защита для встраиваемых систем
Защита от вредоносного ПО• Опция
• Постоянная/по требованию
• Защита от экплойтов:
эффективна против шифроваКонтроль системы
• Application launch control
• Контроль развертывания
ПО
• Device control
Мониторинг целостности
системы и соответствие
требованиям*• Мониторинг целостности
файлов
• Анализ записей журнала
• Соответствие PCI DSS
Сетевая защита• Управление
сетевым экраном
Низкие системные
требования• RAM от 256 Мб
• ОС: Windows XP и более
поздние версии
Управление и
отчетность• Локальное и удаленное
управление
• Интеграция с
системами SIEM
* Только в версии Kaspersky Embedded Systems Security Compliance Edition
Контроль системы
Контроль запуска приложений • Запуск приложений только из белого
списка
• Интеграция с KSN
Rules
Child
application
Parent
application
Контроль развертывания ПО• Упрощение установки и обновления ПО
без нарушения сценария «Запрет по
умолчанию»
Контроль устройств• Разрешение использования устройств
только из белого списка
• USB flash/HDD/Floppy/MTP, CD/DVD-
приводы
Интернет вещей - IoT
Микроконтроллеры
в IoT
Автомобили ПЛК
УСТРОЙСТВА
Транспорт Роутеры
МИ
ЛЛ
ИА
РД
Ы У
СТ
РО
ЙС
ТВ
50
40
30
20
10
0
90 92 94 96 98 00 02 04 06 08 10 12 14 16 18 20
ГОД
1992
1 000 0002003
0,5 млрд
2009
появление IoT
2012
8,7 млрд
2014
14,4 млрд
2015
18,2 млрд
2017
28,4 млрд2016
22,9 млрд
2018
34,8 млрд
2019
42,1 млрд
2020
50,1 млрд
2013
11,2 млрд
Интернет вещей - IoT
Распространенность ОС на устройствах IoT
44,1%
27,6%
14,6% 15,0%13,4%
8,9% 7,8% 8,4% 8,0%
2,9%
Linux No OS /Bare-metal
Windows FreeRTOS Contiki MBed Other RIOT TinyOS Zephyr
Распространенность протоколов подключения устройствах IoT
3,6%
3,8%
6,4%
7,8%
8,2%
21,4%
22,4%
24,6%
27,6%
31,8%
48,2%
54,0%
66,4%
67,0%
Satellite
Don’t know
Thread
Other
UPnP
6LoWPAN
LPWA (LoRa, Sigfox, LTE-M, etc.)
Serial RS-232/RS-485
Zigbee
Cellular
Bluetooth / Bluetooth Smart
Ethernet
Wi-Fi
TCP/IP
Распространенность промышленных протоколов на устройствах IoT
1,1%
2,2%
3,1%
3,3%
3,7%
5,7%
6,4%
6,4%
6,8%
12,5%
14,7%
18,0%
20,0%
22,6%
32,1%
Sercos
FOUNDATION fieldbus
DNP3
Other
IEC 60870, 61850
EtherCat
BACNet
KNX
Profibus, Profinet
OPC-UA (IEC 62541)
Industrial Protocol (EtherNet/IP,…
CAN
Don’t know
Modbus
None
Инструментарий разработчика систем интернета вещей
10%
11%
11%
16%
19%
24%
27%
34%
43%
48%
Доверенная платформа (TPM)
Аппаратный модуль (HSM)
Безопасная Загрузка
Безопасность не используется
Удаленное Обновление
Идентификация и Аутентификация
Инфраструктура Публичных Ключей
Токены (JSON и др)
Шифрование Данных
Безопасность Коммуникаций
Eclipse IoT Working Group, IEEE IoT, AGILE IoT and IoT Council провели опрос разработчиков IoT
систем. Разработчики назвали Безопасность своей проблемой №1
Для полноценной реализации безопасности систем Интернета Вещей необходим полный набор подсистем и
средств разработки.
Безопасный
Инструментарий
Разработчика
Корень Доверия (55%)
Безопасный Жизненный Цикл (29,5%)
Идентификация и Аутентификация
(51,5%)
Шифрование Данных (43,2%)
Безопасность Коммуникаций (48,3%)
Потенциальные угрозы IoT
Internet Provider (ISP)
Microwave oven
WasherSmart TV
Smartphone
Smart camera
Router/Gateway
Smart socket
SmartphoneSmart lightLaptop
Man-in-the-Middle
Attack
Exploiting
Software
Vulnerabilities
Attack on Key /
Certificate
Stores
Malware Delivery Thru
Data Storage Device
Attack from
Mobile Device
Attack from
Downloaded Apps
Sniffing of
User Data
Malicious
Firmware
Update
DDoS Attack
Exploiting
Software
Vulnerabilities
Password
dictionary
attack
Malware
APP
Server Database
Database
Потенциальные уязвимости IoT
Laptop
Cloud
Mobile
APP
Server Database
Database
Gateway
Controls
Sensors
What these weaknesses can be used for:
• Device to bot-nets
• Altering device’s behavior: for spying,
sabotage
• Sensitive data theft: spying
• Extracting private credentials
• Device as a backdoor to the user or
corporate network
• Cause irreversible damage
• Invade user privacy
• etc
Adversary
• Various vulnerabilities (firmware,
software, physical interfaces)
• Insecure web interface - OWASP top10
• No or Insufficient security inside
• No or insufficient updates
• Open insecure ports
• Outdated protocols (e.g. SIP)
• Known inherent vulnerabilities
• etc
Threat surface
Insecure communications
(no or week encryption,
authentication,
verification, etc)
• Week security policies, access
control
• SSL vulnerabilities
• OWASP TOP10
• Shared responsibility
• etc
• Various software vulnerabilities
• OWASP Mobile top10
• OWASP TOP10
• No or insufficient security
• No or insufficient updates
• etc
Потенциальные сценарии атак на IoT
APP
Laptop
Cloud
Mobile
Server Database
Database
Gateway
Controls
Sensors
Has access to the
local network
Attack surface
Has direct
access to the
device
• Physical tampering: through enabled
interfaces, firmware reverse
engineering and “upgrade”.
• Infiltration during manufacturing
• Configuration change: new password,
custom SSL certificate
• Malware
• Sim replacement
• etc
• Intercepting communications
• MITM: redirecting network traffic with network-
level attacks like ARP poisoning or by modifying
the domain name system (DNS) settings..
• Direct connection and device discovery via
SSDP/UPNP
• Unauthorized access and app execution
Remote attacker
• Social engineering
• Spear fishing
• Malware
• Web browser vulnerabilities
exploit
• Local network vulnerabilities
exploits
• Untrusted apps
• etc
Remote attacker
• MITC: Man in the Cloud
• User impersonation
• Plant backdoors
• Buffer overflow
• SQL Injection
• Privilege escalation
• Side channel
• DDoS
• Data integrity
• Certificate spoofing
• Phishing
• Drive-By-Download
• Brute Force
• Password reset
Remote attacker
• Device discovery through
open ports
• Device vulnerabilities
discovery and exploit
• Intercepting
communications
• MITM
• Unauthorized access and
app execution
Элементы защиты IoT
APP
Laptop
Cloud
Mobile
Server Database
Database
Gateway
Controls
Sensors
• Strict policies: apps,
communications, devices,
users
• Secure OS
• Vulnerability detection
• Patch management
• State monitoring
• Communication anomalies
and violations detection
(DPI, Machine Learning)
• Intrusion detection
• Network filtering
• Secure execution
environment
• Security domain
separation
• Strict policies: apps,
communications,
devices, users
• Vulnerability
detection
• Patch management
For Linux
Windows Embedded
Kaspersky OS
Security Center: orchestration and
management
• Intelligence services
• Extensive cloud
database of known
signatures,
vulnerabilities, file, url
reputations, etc
• Whitelisting: apps,
communications,
devices
• Antivirus
• Reputation
assessment
• Vulnerabilities
Detection
• Firewall
• Whitelisting: apps, communications,
devices, users
• Firewall
• Vulnerability detection
• Patch management
• File and disk encryption
• Antivirus
• Active disinfection
For MAC OS,
MS Windows,
Linux
• DDOS protection
• Advanced persistent threat
protection
• Various servers protection:
Web, Mail, File...
• Virtual machines and
hypervisors protection
• Secure Hypervisor
• Security Orchestration
• Perimeter protection
Умные машины
Head
Un
it
Ga
tew
ay
ECU
Private Data Browser
Operating
System
Key Store Keypad
V2X
communication
Over-the-air
software updates
Remote driver
assistance
Remote
diagnostics
Insurance
Autonomous
driving
Collecting car
telematics
Proactive service
and maintenanceFleet
management
Head
Un
it
Ga
tew
ay
ECU
Private Data Browser
Operating
System
Key Store Keypad
Exploiting
Software
Vulnerabilities
Remote
Attack on
Vehicle Bus
Attack on
OBD2
Compromised
Actuator
Attack on Key /
Certificate
Stores
Malware Delivery Thru
Data Storage Device
Attack from
Mobile Device
Man-in-the-Middle
Attack
Attack from
Downloaded Apps
Sniffing of
User Data
Malicious
Firmware
Update
Атаки на умые машины Vehicle
manufacturer
cloud
22
Следующий шаг в защите транспортных систем
Единая защищенная платформабезопасная коммуникационная платформа 100%
программное решение с полной поддержкой HSM
Внешняя защита
Внутреннаяя защита
защищает все внутренние
коммуникационные сетевые
связи от вирусных атак
защищает связь между
автомобилем и внешней IT
инфраструктурой
Технологии для защиты IoT от KL
Изначально безопасная система
Проприетарное микроядро и независимый движок, обеспечивающий безопасность
Безопасная архитектура приложений
Многоуровневая совместимость
Легко настраиваемые политики
Мандатная идентификация и маркировка
• Высокий уровень безопасности (изоляция ВМ и критических функций, контроль над подключением)
• Проприетарное решение
• Небольшая доверенная вычислительная база
• Управление ресурсами гостевых ОС
• Возможность интеграции с системой безопасной загрузки
Высокий уровень безопасности (изоляция контейнеров Linux, контроль только между контейнерами)
Не требует значительных изменений, необходима только переработка архитектуры
Поддержка всех версий Linux с поддержкой контейнеризации
KASPERSKYOS SECURE HYPERVISOR KSS FOR LINUX
LET’S TALK
Kaspersky Lab HQ
39A/3 Leningradskoe Shosse
Moscow, 125212, Russian Federation
Tel: +7 (495) 797-8700
www.kaspersky.com