1

Актуальные угрозы для Embedded Systems

Комплексная защита встраиваемых систем

Мелёхин АртёмИнженер предпродажной поддержки «Лаборатории Касперского»

Встраиваемые системы

Финансовые услуги

Билетные агентства

Ритейл Рестораны Здраво-охранение

Банкоматы Автоматы по продаже

билетов

Кассовые системы

(POS)

Медицинское оборудование

Стойки регистрации

УСТРОЙСТВА

ОТРАСЛИ

А что еще?...

Микроконтроллеры

в IoT

Умные Автомобили

ПЛК

УСТРОЙСТВА

Транспорт Сетевое оборудование

Векторы атак на встраиваемые системы

4

ПОЛНЫЙ КОНТРОЛЬ НАД

ВСТРАИВАЕМОЙ СИСТЕМОЙ

ПЕРИМЕТР

АТАКИКАРД-РИДЕРДИСПЕНСЕР

УСТРОЙСТВО

ВРЕДОНОСНОЕ

ПО

ПОСТАВЩИКИ

УСЛУГ

АТАКА

АТАКА

ФИЗИЧЕСКИЙ

ДОСТУП

СОТРУДНИКИ

• Удаленная/локальная установка

вредоносного ПО

• Перехват оперативной памяти/

Атаки на ОС

• Заражение связующего ПО

Уровень ОС

• Атаки BlackBox

• Подмена пин-пада

• Скрытые камеры

• Физический взлом устройства

Физический уровень

• Уязвимости VPN

• Целевые атаки (APT)

• Удаленная установка

вредоносного ПО

Сетевой уровень

Более половины успешных атак на встраиваемые устройства связаны с инсайдерской деятельностью со стороны сотрудников или сервисных компаний

5

Старые вирусы для банкоматов/POS-систем по-прежнему активны

2009 Today2010 2011 2012 2013 2014 2015 2016-2018

Backdoor.Win32.Skimer

Trojan-Spy.Win32.POS (CardStealer)

Backdoor.Win32.Desty (Dexter)

Trojan-Spy.Win32.Vskim

Trojan-Banker.MSIL.Atmer (Ploutus)

Trojan.Win32.Brob

BlackPOS

Trojan.Win32.Fsysn

Backdoor.Win32.Tyupkin

Backdoor.Win32.NeoPacket

Backdoor.Win32.Backoff (Backoff)

Carbanak

Skimer.w

Backdoor.Win32.Sucful.a

Backdoor.Win32.ATMii

Backdoor.Win32.ATMitch

Backdoor.Win32.ATMletcut

Trojan.Win32.ATMulator

Trojan.Win32.ATMripper

Backdoor.Win32.Carbanak

Backdoor.Win32.CarbanakCmd

Trojan.Win32.CustomCarbanak

Trojan.Win32.Anunak

Trojan.Win32.ATMudochka

Trojan.Win32.Ice5

Trojan.Win32.GreenDispenser

6

Слабые точки в безопасности банкоматов

- Большая часть банкоматов работает на Windows XP, поддержка которой прекращена

- Системный блок в зоне легкого доступа

- Невозможность отключить USB-порты и CD/DVD-приводы

- Необходимость подключения к интернету для проведения финансовых транзакций

- Сервисный режим производителей банкоматов имеет полный доступ ко всем элементам оборудования на уровне ПО

7

Сценарии угроз для POS-систем

- Шифровальщики

- Кейлоггеры (перехватчики клавиатуры)

- Перехватчики памяти

- Сетевые перехватчики (могут быть установлены на POS, хотя это редкий сценарий)

- Сбор подтвержденных персональных данных

- Точка входа для проведения целевой атаки на компанию

8

Оптимальная защита для встраиваемых систем

Защита от вредоносного ПО• Опция

• Постоянная/по требованию

• Защита от экплойтов:

эффективна против шифроваКонтроль системы

• Application launch control

• Контроль развертывания

ПО

• Device control

Мониторинг целостности

системы и соответствие

требованиям*• Мониторинг целостности

файлов

• Анализ записей журнала

• Соответствие PCI DSS

Сетевая защита• Управление

сетевым экраном

Низкие системные

требования• RAM от 256 Мб

• ОС: Windows XP и более

поздние версии

Управление и

отчетность• Локальное и удаленное

управление

• Интеграция с

системами SIEM

* Только в версии Kaspersky Embedded Systems Security Compliance Edition

Контроль системы

Контроль запуска приложений • Запуск приложений только из белого

списка

• Интеграция с KSN

Rules

Child

application

Parent

application

Контроль развертывания ПО• Упрощение установки и обновления ПО

без нарушения сценария «Запрет по

умолчанию»

Контроль устройств• Разрешение использования устройств

только из белого списка

• USB flash/HDD/Floppy/MTP, CD/DVD-

приводы

Интернет вещей - IoT

Микроконтроллеры

в IoT

Автомобили ПЛК

УСТРОЙСТВА

Транспорт Роутеры

МИ

ЛЛ

ИА

РД

Ы У

СТ

РО

ЙС

ТВ

50

40

30

20

10

0

90 92 94 96 98 00 02 04 06 08 10 12 14 16 18 20

ГОД

1992

1 000 0002003

0,5 млрд

2009

появление IoT

2012

8,7 млрд

2014

14,4 млрд

2015

18,2 млрд

2017

28,4 млрд2016

22,9 млрд

2018

34,8 млрд

2019

42,1 млрд

2020

50,1 млрд

2013

11,2 млрд

Интернет вещей - IoT

Распространенность ОС на устройствах IoT

44,1%

27,6%

14,6% 15,0%13,4%

8,9% 7,8% 8,4% 8,0%

2,9%

Linux No OS /Bare-metal

Windows FreeRTOS Contiki MBed Other RIOT TinyOS Zephyr

Распространенность протоколов подключения устройствах IoT

3,6%

3,8%

6,4%

7,8%

8,2%

21,4%

22,4%

24,6%

27,6%

31,8%

48,2%

54,0%

66,4%

67,0%

Satellite

Don’t know

Thread

Other

UPnP

6LoWPAN

LPWA (LoRa, Sigfox, LTE-M, etc.)

Serial RS-232/RS-485

Zigbee

Cellular

Bluetooth / Bluetooth Smart

Ethernet

Wi-Fi

TCP/IP

Распространенность промышленных протоколов на устройствах IoT

1,1%

2,2%

3,1%

3,3%

3,7%

5,7%

6,4%

6,4%

6,8%

12,5%

14,7%

18,0%

20,0%

22,6%

32,1%

Sercos

FOUNDATION fieldbus

DNP3

Other

IEC 60870, 61850

EtherCat

BACNet

KNX

Profibus, Profinet

OPC-UA (IEC 62541)

Industrial Protocol (EtherNet/IP,…

CAN

Don’t know

Modbus

None

Инструментарий разработчика систем интернета вещей

10%

11%

11%

16%

19%

24%

27%

34%

43%

48%

Доверенная платформа (TPM)

Аппаратный модуль (HSM)

Безопасная Загрузка

Безопасность не используется

Удаленное Обновление

Идентификация и Аутентификация

Инфраструктура Публичных Ключей

Токены (JSON и др)

Шифрование Данных

Безопасность Коммуникаций

Eclipse IoT Working Group, IEEE IoT, AGILE IoT and IoT Council провели опрос разработчиков IoT

систем. Разработчики назвали Безопасность своей проблемой №1

Для полноценной реализации безопасности систем Интернета Вещей необходим полный набор подсистем и

средств разработки.

Безопасный

Инструментарий

Разработчика

Корень Доверия (55%)

Безопасный Жизненный Цикл (29,5%)

Идентификация и Аутентификация

(51,5%)

Шифрование Данных (43,2%)

Безопасность Коммуникаций (48,3%)

Потенциальные угрозы IoT

Internet Provider (ISP)

Microwave oven

WasherSmart TV

Smartphone

Smart camera

Router/Gateway

Smart socket

SmartphoneSmart lightLaptop

Man-in-the-Middle

Attack

Exploiting

Software

Vulnerabilities

Attack on Key /

Certificate

Stores

Malware Delivery Thru

Data Storage Device

Attack from

Mobile Device

Attack from

Downloaded Apps

Sniffing of

User Data

Malicious

Firmware

Update

DDoS Attack

Exploiting

Software

Vulnerabilities

Password

dictionary

attack

Malware

APP

Server Database

Database

Потенциальные уязвимости IoT

Laptop

Cloud

Mobile

APP

Server Database

Database

Gateway

Controls

Sensors

What these weaknesses can be used for:

• Device to bot-nets

• Altering device’s behavior: for spying,

sabotage

• Sensitive data theft: spying

• Extracting private credentials

• Device as a backdoor to the user or

corporate network

• Cause irreversible damage

• Invade user privacy

• etc

Adversary

• Various vulnerabilities (firmware,

software, physical interfaces)

• Insecure web interface - OWASP top10

• No or Insufficient security inside

• No or insufficient updates

• Open insecure ports

• Outdated protocols (e.g. SIP)

• Known inherent vulnerabilities

• etc

Threat surface

Insecure communications

(no or week encryption,

authentication,

verification, etc)

• Week security policies, access

control

• SSL vulnerabilities

• OWASP TOP10

• Shared responsibility

• etc

• Various software vulnerabilities

• OWASP Mobile top10

• OWASP TOP10

• No or insufficient security

• No or insufficient updates

• etc

Потенциальные сценарии атак на IoT

APP

Laptop

Cloud

Mobile

Server Database

Database

Gateway

Controls

Sensors

Has access to the

local network

Attack surface

Has direct

access to the

device

• Physical tampering: through enabled

interfaces, firmware reverse

engineering and “upgrade”.

• Infiltration during manufacturing

• Configuration change: new password,

custom SSL certificate

• Malware

• Sim replacement

• etc

• Intercepting communications

• MITM: redirecting network traffic with network-

level attacks like ARP poisoning or by modifying

the domain name system (DNS) settings..

• Direct connection and device discovery via

SSDP/UPNP

• Unauthorized access and app execution

Remote attacker

• Social engineering

• Spear fishing

• Malware

• Web browser vulnerabilities

exploit

• Local network vulnerabilities

exploits

• Untrusted apps

• etc

Remote attacker

• MITC: Man in the Cloud

• User impersonation

• Plant backdoors

• Buffer overflow

• SQL Injection

• Privilege escalation

• Side channel

• DDoS

• Data integrity

• Certificate spoofing

• Phishing

• Drive-By-Download

• Brute Force

• Password reset

Remote attacker

• Device discovery through

open ports

• Device vulnerabilities

discovery and exploit

• Intercepting

communications

• MITM

• Unauthorized access and

app execution

Элементы защиты IoT

APP

Laptop

Cloud

Mobile

Server Database

Database

Gateway

Controls

Sensors

• Strict policies: apps,

communications, devices,

users

• Secure OS

• Vulnerability detection

• Patch management

• State monitoring

• Communication anomalies

and violations detection

(DPI, Machine Learning)

• Intrusion detection

• Network filtering

• Secure execution

environment

• Security domain

separation

• Strict policies: apps,

communications,

devices, users

• Vulnerability

detection

• Patch management

For Linux

Windows Embedded

Kaspersky OS

Security Center: orchestration and

management

• Intelligence services

• Extensive cloud

database of known

signatures,

vulnerabilities, file, url

reputations, etc

• Whitelisting: apps,

communications,

devices

• Antivirus

• Reputation

assessment

• Vulnerabilities

Detection

• Firewall

• Whitelisting: apps, communications,

devices, users

• Firewall

• Vulnerability detection

• Patch management

• File and disk encryption

• Antivirus

• Active disinfection

For MAC OS,

MS Windows,

Linux

• DDOS protection

• Advanced persistent threat

protection

• Various servers protection:

Web, Mail, File...

• Virtual machines and

hypervisors protection

• Secure Hypervisor

• Security Orchestration

• Perimeter protection

Умные машины

Head

Un

it

Ga

tew

ay

ECU

Private Data Browser

Operating

System

Key Store Keypad

V2X

communication

Over-the-air

software updates

Remote driver

assistance

Remote

diagnostics

Insurance

Autonomous

driving

Collecting car

telematics

Proactive service

and maintenanceFleet

management

Head

Un

it

Ga

tew

ay

ECU

Private Data Browser

Operating

System

Key Store Keypad

Exploiting

Software

Vulnerabilities

Remote

Attack on

Vehicle Bus

Attack on

OBD2

Compromised

Actuator

Attack on Key /

Certificate

Stores

Malware Delivery Thru

Data Storage Device

Attack from

Mobile Device

Man-in-the-Middle

Attack

Attack from

Downloaded Apps

Sniffing of

User Data

Malicious

Firmware

Update

Атаки на умые машины Vehicle

manufacturer

cloud

22

Следующий шаг в защите транспортных систем

Единая защищенная платформабезопасная коммуникационная платформа 100%

программное решение с полной поддержкой HSM

Внешняя защита

Внутреннаяя защита

защищает все внутренние

коммуникационные сетевые

связи от вирусных атак

защищает связь между

автомобилем и внешней IT

инфраструктурой

Технологии для защиты IoT от KL

Изначально безопасная система

Проприетарное микроядро и независимый движок, обеспечивающий безопасность

Безопасная архитектура приложений

Многоуровневая совместимость

Легко настраиваемые политики

Мандатная идентификация и маркировка

• Высокий уровень безопасности (изоляция ВМ и критических функций, контроль над подключением)

• Проприетарное решение

• Небольшая доверенная вычислительная база

• Управление ресурсами гостевых ОС

• Возможность интеграции с системой безопасной загрузки

Высокий уровень безопасности (изоляция контейнеров Linux, контроль только между контейнерами)

Не требует значительных изменений, необходима только переработка архитектуры

Поддержка всех версий Linux с поддержкой контейнеризации

KASPERSKYOS SECURE HYPERVISOR KSS FOR LINUX

LET’S TALK

Kaspersky Lab HQ

39A/3 Leningradskoe Shosse

Moscow, 125212, Russian Federation

Tel: +7 (495) 797-8700

www.kaspersky.com