Secuelas de un importante concurso de piratería de ICS



Los expertos dicen que Pwn2Own Miami podría ayudar a estimular más investigación y atención a la seguridad de los productos del sistema de handle industrial.

Abajo cayeron como iguanas congeladas: puertas de enlace SCADA, servidores de regulate, interfaces hombre-máquina (HMI), una estación de trabajo de ingeniería y otro computer software de sistema de command industrial (ICS) en el escenario en el primer concurso ICS Pwn2Personal la semana pasada en Miami.

El concurso de tres días celebrado durante la conferencia S4x20 ICS colocó los productos ICS en el asiento caliente de los hackers en South Beach, donde el primer día un repentino frente frío estalló en la ciudad y condujo Advertencia del Servicio Meteorológico Nacional que la población de iguanas de sangre fría de la ciudad podría caerse de los árboles ya que las temperaturas frías podrían paralizar temporalmente a los reptiles que se aferran a las ramas.

El hecho de que haya habido piratas en su mayoría exitosos en las 25 participaciones de ocho equipos de hackers en el concurso no debería sorprender dado el estado de seguridad aún incipiente en los sistemas ICS. La Iniciativa Zero Working day (ZDI) de TippingPoint, que patrocina los reconocidos concursos Pwn2Very own, desembolsó un total de $ 280,000 en premios para los exitosos equipos de piratería.

Los proveedores de ICS en normal permanecen en modo de recuperación cuando se trata de seguridad, dicen los expertos en seguridad de ICS. Y en ese sentido, no muchos están listos para lanzar un programa de recompensas de errores ni es possible que acepten con entusiasmo participar en concursos de piratería como Pwn2Have. «Muchas bases de código no están listas para eso», señala Dale Peterson, CEO de Electronic Bond, fundador y patrocinador de S4x20. «Pero también hay algunos con SDL (ciclos de vida de desarrollo seguros) serios y que han trabajado muy duro y contrataron equipos ofensivos de terceros con gran talento para explotar sus sistemas. Están listos para recompensas de errores».

Peterson dice que los equipos de ingeniería de al menos tres proveedores de ICS intentaron participar en el Concurso ICS Pwn2Individual, donde ZDI paga recompensas a los investigadores por los errores pero fueron frustrados por sus propios departamentos legales internos. De hecho, solo un proveedor de ICS, Rockwell Automation, participó voluntariamente en el primer concurso de ICS en Miami la semana pasada, proporcionando licencias de application a sus productos para los concursantes de su estación de trabajo de ingeniería FactoryTalk Perspective SE HMI y Automation Studio 5000.

El resto de los productos de los proveedores tenían un software package disponible al público que los concursantes pudieron descargar y probar: el portal de datos SCADA de Triangle MicroWorks El servidor de management Genesis64 de Iconics Servidor de regulate de encendido inductivo de automatización y la HMI experta en terminales de operador EcoStruxure de Schneider Electric powered. El concurso también contó con el estándar UA.Internet de la Fundación OPC (Open System Communications) para su servidor UA.

«Muchos (proveedores de ICS) tienen clientes que dicen &#39¿Por qué su producto está en Pwn2Very own? Esto es algo malo&#39. Eso probablemente va a suceder «, señala Peterson. Sin embargo, es solo cuestión de tiempo antes de que los proveedores comiencen a abrir y ofrecer sus propios programas de premios de vulnerabilidad. «Pero tengo la esperanza de que el próximo año veremos a una o más compañías ofrecer un programa de recompensas por errores», dice.

Brian Gorenc, director de investigación de vulnerabilidades y jefe del programa ZDI de Pattern Micro, dice que el primer concurso ICS de Pwn2Personal atrajo a nuevos investigadores que antes no habían participado en Pwn2Owns anteriores. «Muchos de ellos no se centran en ICS en el día a día», señala. «Trabajamos en la selección de objetivos que hicieran accesible la tecnología. Rockwell preconfiguró sus VM (máquinas virtuales) y PLC simulados (controladores lógicos programables) para mostrar el tipo de tráfico que un usuario usual con experiencia tendría que usar esas herramientas».

Ese tipo de acceso ayuda a fomentar una fuerte investigación sobre la seguridad de estos sistemas, dice.

Los mismos errores, diferentes plataformas
Muchas de las vulnerabilidades que se utilizaron en las vulnerabilidades de trabajo fueron las mismas que se encuentran en cualquier programa de program, como la corrupción de memoria y la deserialización. Al igual que con otros concursos de Pwn2Have, los concursantes tuvieron algunos meses con los objetivos antes del evento genuine para encontrar los defectos y crear las hazañas de ataque que lanzaron durante el concurso en vivo.

Los defectos que encontraron se informan a los vendedores, que estaban en el sitio y tuvieron que calificarlos. Reciben 120 días para corregir los errores, señala Gorenc. «Sin embargo, esperamos ver parches formales en breve», dice.

«Definitivamente hubo una combinación de algún software que no tenía todas las mitigaciones de exploits modernas», dice, aunque algunos tenían la asignación aleatoria del diseño del espacio de direcciones (ASLR) de Microsoft, una característica de Home windows que evita la explotación de vulnerabilidades de corrupción de memoria .

Gorenc dice que la imagen más amplia de la seguridad de la infraestructura crítica probablemente será el ímpetu que impulsa productos ICS más seguros. «Necesitamos proteger nuestra infraestructura crítica», dice. «Este es el momento adecuado para que un concurso como este salga a prueba y ponga a prueba el application con nuevos ojos y presente nuevas investigaciones para desarrollar una infraestructura crítica más fuerte y una fuerte» defensa contra los ataques «, dice.

La gran diferencia entre Pwn2Own y los premios de vulnerabilidad regulares o recompensas de errores, dice, es que esto va un paso más allá de la búsqueda de errores, con recompensas en los propios exploits. «Eso traerá una calidad de trabajo diferente a los proveedores. Por primera vez para nosotros entrar en este espacio y tener la mayor cantidad de investigadores, muestra que mucha gente quiere asegurar el software program. Dado un vehículo y una plataforma como Pwn2Personal ayudará a intensificar el «trabajo de seguridad en los productos ICS», dice.

El reconocido experto en seguridad de ICS Jason Larson, director de ICS en IOActive, cree que eventos como Pwn2Have podrían ayudar a mover la aguja hacia computer software y productos de ICS más seguros. «Hace mucho tiempo que está retrasado en este espacio», dice Larson. «He estado trabajando en ICS durante 18 años y todavía estamos encontrando hazañas triviales».

Aun así, los pagos de recompensas por errores de Pwn2Personal en el concurso son minúsculos en comparación con los mercados subterráneos, dice. «$ 20,000 es ridículamente bajo aquí», señala, citando uno de los pagos promedio para una hazaña exitosa en el concurso. «Ya hay mercados establecidos» para los errores de ICS que pagan mucho más, dice.

¿Mercado de día cero hoy?
Sin embargo, no está claro cuán profundo es el mercado de corredores de terceros para los días cero de ICS. Esa es una pregunta que Sarah Freeman, del Laboratorio Nacional de Idaho, ha estado estudiando. Freeman rastrea la actividad de los corredores de día cero, como Crowdfense y Zerodium, para tratar de determinar si esos tipos de errores se están comprando y vendiendo. Los corredores de errores tradicionalmente venden a clientes de mucho dinero, como los estados nacionales, en pagos por valor de millones de dólares.

«Hay conversaciones en susurros de transacciones privadas de errores de ICS», dice Freeman. «Pero, en common, si miras la información disponible públicamente, no parece a primera vista que sean errores de ICS» que los corredores están comprando, señala.

Aun así, un día cero para un enrutador que se vende en ese mercado podría tener implicaciones de seguridad para una purple OT, dice ella. Freeman predice que el mercado de errores de ICS será de alrededor de $ 50 millones en 2019 según los datos y las tendencias que pudo descubrir en línea durante el período 2015-2019.

Alrededor del 55% de las recompensas se destinaron a computadoras de escritorio, servidores y enrutadores 45% para dispositivos móviles. Entre los sistemas operativos (Android, Linux, Home windows, iOS y macOS), las recompensas se distribuyeron de manera bastante uniforme, con alrededor del 21% al 22% cada una.

Los productos de ICS podrían caer en algunas de esas categorías, por supuesto, por lo que fue difícil descubrir la imagen completa de ese sector de errores. Freeman dice que las vulnerabilidades de SCADA representaron alrededor del 30% de los errores comprados por los corredores en 2018.

Pero dado que la mayoría de los sistemas ICS son relativamente fáciles de explotar, es menos possible que los atacantes se molesten en grabar un día cero cuando solo pueden explotar una vulnerabilidad de Home windows, por ejemplo. «No necesariamente necesitas un día cero para atacar algo», señala.

Echa un vistazo a The Edge, la nueva sección de Dim Looking at para obtener características, datos de amenazas y perspectivas en profundidad. La historia principal de hoy: «7 pasos para la seguridad de IoT en 2020».

Kelly Jackson Higgins es la Editora Ejecutiva de Dim Looking at. Es una galardonada periodista veterana en tecnología y negocios con más de dos décadas de experiencia en informes y edición para varias publicaciones, incluidas Network Computing, Safe Business … Ver biografía completa

Más ideas





Enlace a la noticia unique