Атаки хакеров, утечки данных и кибершпионаж: реально ли создать безопасную систему IoT-устройств?

поговорим про атаки про утечки данных и вообще что такое безопасная система я немножко там буду

Про мир рассказывать, немножко про наш опыт.

Все слышали про атаки NASDAQ на Aeroflot совсем недавно.

Миллиарды убытков, все страдают.

И такого будет больше.

То, что нас пока не атаковали, нам, наверное, везло.

Были более крупные интересные цели.

Но в последние годы промышленные системы это тоже…

Цель, легитимная цель, цель, в общем, интересная для хакеров.

Наконец-то что-то хорошее все и сказали.

Немножко про себя.

Технический директор, сооснователь группы компании Лартех.

Мы занимаемся интернетом вещей, в основном лорой.

Делаем большие серийные продукты.

У нас уже под 3 миллиона подключенных абонентов по всей стране.

В основном это умные счетчики.

Сейчас вышли в умное освещение.

Кроме того, делаем протоколы совместно с ассоциацией.

Мы с авторами адаптации стандарта LoRaWAN на русский язык.

Гастирование его для энергетиков сделали по D-slide, чтобы тяжелые данные гнать по LoRaWAN.

И последние пару лет занимаемся ИИ, хотим сделать умный счетчик с Edge искусственным интеллектом, который будет ловить всяких злоумышленников, которые используют электроэнергию неправильно.

Поговорим про причины сначала и какие пути решения, что можно делать.

что работает, что работает не очень.

Самые главные и базовые проблемы с промышленными системами это про то, что сами устройства весьма ограничены.

Там ничего не поднять, не поднять firewall, не поднять никакую серьезную криптографию, чтобы это было дешево или как-то вообще возможно.

Сложный механизм не внедрить и получается нужно где-то

Работать чуть повыше уровнем, с одной стороны.

Вторая большая проблема – это забывают разделять сети офисные и сети промышленные.

Вообще типовая история.

А сеть офисная уязвима просто потому, что там люди, а не машины.

Туда попасть на порядок легче.

И потом все, побежали дальше портить оборудование и так далее.

Еще с учетом новой интересной тенденции, текущей реалии о том, что используют ИИ для того, чтобы атаковать лучше, атаковать разнообразнее, анализировать трафик, чтобы генерить какой-то левый трафик,

2022 год, Львов Теплоэнерго, крупная тепловая компания.

Сначала взломали офисную сеть, потом легко, поскольку сети объединены, попали в сеть промышленного оборудования.

В оборудовании используется протокол MatBus, авторизации нет, шифрования нет.

Начали мочить просто левыми сообщениями о превышении температуры, об авариях.

Система, естественно, начинает реагировать, выходит из строя из-за перегрузки.

600 домов, двое суток в мороз, зимой остались без отопления.

Очень простой кейс.

Все потому, что сегментации нет, протоколы связи устаревшие, не секьюрные.

И это на самом деле, ну так подумать, это любая тепловая компания в нашей стране.

Львов Теплоэнерго, она не уникальна этим.

Это не самый мощный взлом, это достаточно простой взлом.

Дальше будет еще проще, но, грубо говоря, сейчас скрипткидис,

могут сломать очень много и всем будет очень больно, если не подготовиться.

Да, вот сейчас, например, атаки через взлом единичного устройства.

Тоже большая проблема, когда устройство пошло в крупную серию, а на всех одинаковые ключи шифрования или одинаковый ID-шник или что-то одинаковое.

Взломали одно и все, и вся сеть, вся партия всех устройств

скомпрометировано, как их менять, да черт его знает, но только остается верить и надеяться.

Это вот мой любимый пример, потому что он очень красивый.

Philips выпустила крупную партию лампочек и в слой авторизации всем устройствам прописала одинаковые ключи.

В итоге есть даже на YouTube ролик, какой-то израильский город, бизнес-центр.

Подлетает дрон, на котором стоит уязвимая взломанная Wi-Fi лампочка, Zigbee лампочка.

Вот он подлетел, то есть не нужно даже проникать на объект.

И во всем бизнес-центре гасит свет, начинает мигать азбукой Морзе, что-то сообщая миру.

Стоимость взлома, не знаю, долларов 150.

Какого-то интеллектуальной мощи, могучих команд тоже нет.

Все очень просто.

И такое есть везде.

Этим грешат крупные вендоры, не думая, этим грешат интеграторы, потому что доверяют вендору, не проверяя, не накладывая какие-то дополнительные слои защиты.

Третья история устаревшей ПО.

Сейчас мы на это тоже можем смотреть.

Вендоры ушли, поддержки нет, дырки обнаруживаются.

Кто их будет патчить?

Никто их не будет патчить.

Так все и останется.

Цикл жизни устройства длинный.

Модбас живет до сих пор.

Мбас живет до сих пор.

Много чего живет.

Что с этим делать?

Всю инфраструктуру не поменяешь.

К сожалению, это сложно, дорого.

Вот.

Как-то стараться все-таки обновлять.

Либо заменять, либо совсем критически, но прямо менять все.

Потому что других способов здесь не придумать.

Вот интересная атака промконтроллера Митсубиши.

22-й год, опять же, свеженькая.

Здесь это и не Украина, и не Россия.

Просто нашли интересную историю.

Если посылать не очень правильно сформатированные IP-пакеты, то в контроллер переполняется память, и просто получаешь полный контроль над PLK, и дальше пошел в систему.

Работает.

Тут чуть посложнее, но в целом, если ты попал в сеть и знаешь про это, там и контроллеры не пропатчены, ну все.

Можно потерять завод.

Ну и еще раз про уязвимости в протоколах обмена каналах связи.

Это боль, потому что

Раньше не было интернетов, все жили прекрасно.

Может, мы в эту пору когда-то вернемся через пару лет.

Жизнь покажет, и снова станет все безопасно.

Но тем не менее, промышленные сети были изолированы by design, то есть интернета не было, связи не было.

Были провода, они лежали как-то там по заводу.

И вроде защищать ничего не нужно было, кроме забора.

Сейчас это не так.

И, в общем-то...

Что плохо?

Данные можно подделать, можно реплай-атаки делать, собственно, разбалансируя систему.

Можно что-то эмулировать, вот как в случае Львов Теплоэнерго, но это просто красивый пример, достаточно большой.

В принципе, даже по циниферическому проводу RS-465 можно много чего сломать.

Тоже не сильно…

Много для этого нужно знать или уметь, к сожалению.

Что можно делать?

Можно пробовать проектировать системы с нуля, делать то, что называется security by design.

Это сложно, это опять же не всегда возможно, но там опять же должен быть какой-то грамотный трейд-офф, потому что если говорить с безопасниками, для них безопасно забетонировать объект и все.

Ничего не работает, ничего не сделать, очень безопасно, никто ничего не утащит, никто ничего не сломает, но работать невозможно.

Хорошо думать про концепцию Zero Trust –

Пытаться ее полностью или частично внедрять при проектировании системы, при проектировании устройств, при внедрении.

И считать, что все угроза.

Везде может быть злоумышленное устройство, либо оператор-злоумышленник.

И это помогает...

От чего-то защититься сразу с самого начала, а не потом, когда уже что-то случилось.

Проводные сети тоже это больше не защита.

В них тоже легко проникать и тоже легко ломать.

Какие принципы доступны и что стоит делать обязательно?

Это сегментировать сети.

Самое простое.

Есть хорошие отечественные решения.

Мы...

В силу того, что работаем в энергетике, там почти каждый наш клиент, он субъект КИ, им приходится это делать.

И в общем продукты випнет, прекрасно, реклама не реклама, продукты континента, замечательно делают отдельные изолированные сети.

С ними становится сложнее жить, сложно поддерживать, сложно сопровождать, но более безопасно.

Строгая аутентификация.

Про это еще расскажу.

Защита передачи данных само собой.

И как можно больше аудит всего, что происходит с системой самой по себе, с оператором, который ее управляет.

Что мы, например, делали для того, чтобы…

Решать базовую задачу у энергокомпании есть неплательщик, ему нужно электричество отключить, пока он не заплатил.

Но поскольку, если дать это всем, случится может разное, пришлось внедрить личные токены каждому оператору.

И еще под каждый токен подписаны права, кого вообще-то человек может.

Это может быть просто гражданин, юрлица маленькие, юрлица большие.

И так далее.

И кроме того, на уровне базовой станции вшита проверка ЭЦП, что вообще команда пришла куда-то по адресу, она действительно стоит дальше в радиоэфир передавать устройство и уже исполнять.

Про аутентификацию.

Что стоит сказать?

Пароли.

Стоит про них забыть, это бесполезно.

Это не секьюрно, потому что их никто не запоминает, все записывают, и это не работает.

Многофакторная авторизация – да.

Сертификаты – да.

Биометрия – тоже да.

Чуть посложнее, но тем не менее.

Собственно, как для сотрудника, так и для каждого устройства.

То есть в идеале у нас у каждого… Мы пользуемся лорой, там в принципе у каждого устройства есть два ключа.

Они уникальны, это хорошо, но может быть недостаточно.

Там есть в русском стандарте еще сверху CRISP отечественный, там еще ключей.

То есть чем персонализирование устройства, тем лучше.

Очень хорошо, когда есть проактивный мониторинг.

Мы прямо смотрим на трафик и наблюдаем, не пошло ли что-то странное.

Потому что между взломом сети и непосредственно атакой может пройти месяц.

Пока проверяют, опять же генерируют какой-то проверочный трафик.

Стоит наблюдать, можно успеть атаку предотвратить.

Дальше будет пример.

В общем, так получилось еще с одной атакой на промконтроллер.

Ну и гарантированный аудит – все записывать, все смотреть, логи потом как-то тоже анализировать.

Это сложно, это дорого, это никто не делает.

Вот тут, может быть, и нам всем поможет, пока как есть.

Мы, поскольку наши клиенты — это объекты КИ, сделали базовую станцию класса КС-3 совместно с Infotex.

Это LoRaWAN с наложенной аппаратной криптографией.

Единственное решение на рынке сейчас.

Если нужна защищенная LoRa, то это только мы.

Больше никого нет.

Хорошо работает.

В рамках випнет-сети сейчас это внедрено в двух регионах.

Это Тольятти и Барнаул.

Випнет-сеть от базовых станций до инфраструктуры заказчика.

Полностью закрытый контур.

Тяжелее.

Почему мы в это пошли?

Потому что…

У нас жизнь вынудилась с одной стороны, с другой стороны, по-другому не сделать.

Это та область, где партнерство затруднено.

Потому что, чтобы производить средства криптографии, нужно иметь очень много разных лицензий.

Это занимает уйму времени, документальной работы и всего остального.

Лучше приходите к нам, чем делайте сами.

Это сложно у нас получилось.

Но путь достаточно тернист.

Еще следующая интересная история.

Пока про нее говорят, демонстрируют.

Это, наверное, какой-то следующий уровень.

Касперский в эту сторону двигается.

Это кибериммунитет.

Когда у нас система разделена на субмодули, она каким-то образом через внутреннюю агентскую модель знает свое целевое состояние, и любые отклонения от него…

способна сама обнаружить и исправить.

Да, вообще исправить.

То есть это работает.

Я видел демку на дронах.

Там им начинают глушить GPS-сигнал, спуфить, но они возвращаются на прописанный им трек по локальным биконам.

Прям красиво.

Очень такая интересная штука.

Есть куда развиваться дальше.

Опять же тут Edge AI будет помогать сравнивать поведение правильное и неправильное.

Это какой-то, наверное, горизонт лет пяти следующих.

Тоже такая интересная вещь.

И как же без регуляторов?

Регуляторы нам с одной стороны помогают, но и с другой тоже помогают.

То есть сначала они придумали КИ, потом оказалось, мало того, что базовую станцию скриптографии очень сложно произвести, а чтобы ее смонтировать, каждый монтажник должен обладать лицензией ФСБ.

Ну, то есть это не шутка, это так и есть.

И года два они вводили изменения в том, что все, что относится к системе Москвы, можно ослабить, и может просто человек с отверткой и неким знанием это все-таки делать, потому что…

Криптографию сделали в специальном месте.

А, да, еще доставить ее должны фельдъегери, а не просто так оно по почте пошло.

Очень удивительный мир регуляции, потому что криптография приходит в быт, в какие-то простые вещи, а регуляторик остается как для военно-космических систем, наверное, или чего-то еще государственных.

Но тем не менее регулятор это понимает, если ему про это рассказывать, идет навстречу, может не быстро, но тем не менее все получается.

И опять же, наверное, это единственный драйвер, который заставляет систему обновлять.

Потому что в принципе бизнесу кибербезопасность в моменте невыгодна.

Это нужно очень много заплатить с очень непонятным результатом, потому что меня же не ломали никогда.

Я вот уже 20 лет работаю, я в правильной стране, меня никто ломать не будет.

Логика такая.

Но на самом деле пока просто везло.

Пока на это мало обращали внимания, сейчас начинают на это смотреть больше.

Вот еще одна интересная штука.

Еще одна украинская энергокомпания.

Эту атаку поймали просто потому, что анализировали трафик.

Червь генерирует правильные команды в протоколе МЭК-104.

И цель была, опять же, хорошо сломать всю инфраструктуру.

Что интересно, после этого МЭК-комитет собрался и выпустил стандарт 62443, который адресует проблемы в аутентификации.

И прямо целый отдельный слой шифрования поверх МЭК-104 выпущен в 2023 году.

Но очень здорово, теперь осталось его только внедрить.

Что хочется сказать?

Ответить на вопрос, можно ли сделать систему безопасной.

Вообще да, но только в моменте, потому что пройдет полгода, год, два, проблемы накопятся, энтропия систем начнет разъедать, и безопасность — это не результат, а конечный процесс, и в него надо вкладываться.

Спасибо.

Нет, вкладываться это не по-нашему.

Что это такое?

Зарабатывать это по-нашему, а вкладываться это не очень.

Сейчас иду.

Большое спасибо за доклад.

Вы на самом деле подняли очень интересную тему.

Я бы чуть-чуть развернутый хотел ответ дать и вопрос задать.

Первое, что хочется сказать.

Конечно, безопасность – это вопрос применимости технологий.

Изначально не стоит работать с дырявыми технологиями.

Был такой стандарт NBFI, слава богу, почилка, у которого даже счетчика пакетов внутри не было, и который бился простой атакой повторения.

Давайте это отметим.

С такой фигней мы работать не будем.

Дальше лора.

Я в свое время был одним из адептов лоры, я очень активно ее продвигал, мы с вами не раз встречались на конференциях.

И я очень часто встречался с историей, что лору пытаются засунуть куда ни попадя.

Ребят, лора это стандарт для телеметрии, она счетчики опрашивает.

Не надо пытаться использовать ее там, где ее использовать не надо, где ее использовать опасно.

Положить лора сеть, атакой преамбул или просто забив эфир можно всегда.

Какую бы криптографию вы не использовали.

Это физика.

Она просто очень... Физика и недостаток стандарта с преамбулами.

Не знаю, решили или не решили.

Я последнее время за этим не слежу.

Но одно время можно было просто спамить эфир преамбулами, и устройства конечные повисали.

И все, и привет.

И, собственно, у меня здесь будет первый вопрос.

Я не совсем понимаю, зачем вы шифруете канал связи между базовой станцией и сервером?

То есть что вы пытаетесь там защитить?

Если вы лору для телеметрии используете, я не очень понимаю.

Не только для телеметрии, но и для управления.

Лору для управления?

Управление реле прибора учета.

Прибор учета – это элемент критической информационной инфраструктуры.

Для того, чтобы управлять релейнией, нужно много всего передавать.

Но, тем не менее, это базовый процесс любого энергетика.

Хорошо, пусть это останется на вашей совести.

Для беспилотников используют лору как модуляцию.

И достаточно успешно.

То есть там слоя лорован нету.

Только ради дальности.

Ну и там полосы побольше.

Пол, гигагерц, гигагерц.

Интересно, но это совсем про другое.

Про то, что большие силы ломают энергокомпании.

Но они же показывают тропку.

Для того, чтобы потом... Я даже помню себя...

лет 25 назад, читай журнал «Хакер», там тебе делай раз-два-три, и вся твоя локальная сеть общежития будет своей власти.

Вот делал.

Это работало совершенно замечательно.

С тех времен ничего не поменялось, просто про то, что да, нужно соизмерять затраты на выхлоп, но какая-то калитку поставить стоит, какую-то покрепче, защелкая, а не просто открывающуюся.

И базовые вещи не супер дорогие.

Если не уходить в аппаратную криптографию в каждом конечном устройстве, это действительно дорого, когда их еще сотни тысяч.

Если на уровне шлюзов, особенно когда есть какое-то управление, попроще.

Изоляция сетей еще попроще.

Аудит по-разному, смотря как делать.

Лора для телеметрии – да.

Для какого-то простого управления – тоже да.

С преамблами есть вопросы, есть способы решения.

Стоит применять то, что работает, то, что целесообразно.

Здесь согласен.

Добрый вечер.

Я, во-первых, хотел поправить коллегу из Бермобайла, который сказал, что NBFI почил.

Никуда он не почил.

Всем известная компания Вивиот.

На нем делает огромное количество электросчетчиков, конкурируя с лорой.

И дай бог, чтобы мы все так продавали, потому что у Вивиота миллиардная выручка.

Соответственно, NBFI стоит в миллионах приборов учета.

Это так.

Да, я с огромным уважением отношусь к компании Лартех, всегда слежу за ее успехами.

Но, честно говоря, я хотел покритиковать ваш доклад.

Так получилось, что я 20 лет назад сильно занимался информационной безопасностью.

В частности, в Сбербанке руководил сетевой безопасностью всех 22 тысяч филиалов.

Это еще повторюсь, 20 лет назад я уволился.

Доклад не то, что базового уровня.

Вы просто даже не представляете, чего сейчас в банках внедрено.

Во всех страховых компаниях российских, везде.

Подключение к госсобке.

Сходите ради интереса.

Вроде бывают экскурсии в СОК Сбербанка.

Это космос.

Как будто вы в кабине космического корабля сидите.

Экраны по кругу огромные, 20-метровые.

Куча атак с визуализацией совсем на свете.

Советы, как вы говорили, многофакторная аутентификация, использовать пароли.

Это в компьютерной среде, честно, лет 25 назад прошли.

Сейчас уже совсем про другой народ на профессиональных конференциях общается.

Если вернуться к IOT, то на самом деле,

Я до СВО слышал две компании, которые пытались про безопасность Айота рассказывать.

Это Касперский и Майкрософт, пока он был еще на российском рынке.

Сейчас началось СВО, Майкрософт ушел, остался Касперский.

Даже почему-то Positive Technologies особо про Айот ничего не рассказывает.

И во многом, собственно, все разговоры, которые тот же Касперский ведет, они из компьютерного мира пришли.

И пытаются перенести то, чем мы научились в защите компьютеров и компьютерных сетей, приложить к IOT.

Наверное, в части серверов, платформ, СОДов это не просто оправдано, а так оно и должно быть, потому что это тоже такая же компьютерная инфраструктура, как и все остальное.

В части радиовещей, телеметрии, протоколов, но они специфические.

Поверьте, даже если вы протокол без шифрования используете, вы еще попробуете отфильтровать эти сигналы, понять, что датчик передал, даже если в свободном режиме передавать.

Это не так просто.

Это рассказывать легко, а сделать очень тяжело.

Поэтому я на самом деле хотел бы вас призвать.

Опыт у вашей компании огромный в разработке.

Подумайте, может быть, про безопасность именно радиосетей.

Какие-то тезисы, что можно улучшить в настройках той же LoRa.

Достаточно сложные конфиг-файлы.

Что надо включить, чего не надо включать.

что к чему ведет.

Вот про это бы очень хотелось послушать в следующий раз.

Спасибо.

Спасибо за хорошую тему для следующего доклада.

Про банки согласен, но мы же в промышленности, когда приходишь в какой-нибудь курган теплоэнерго, там нет космических мониторингов атак, и там ничего нет.

Или, я думаю, в агрохолдинг.

Там люди про инфобез, наверное, думают, но немножко по-другому.

Они вот

Не из этой стези.

И уровень IT-специалистов сильно ниже.

Это разные миры.

Мне кажется, все равно важно напоминать даже про базовые вещи.

Парольная гигиена.

До сих пор много кто.

Наша авторизация на однофакторное.

Вы просто меняете пароль раз в месяц.

К чему это приводит?

Пароль записан на бумажке, потому что его не запомнишь никогда.

Не оппонируй, просто есть разные миры.

А про IOT и защиту еще Infotex делает интересные решения как раз по аппаратному встраиванию криптографии, просто дороговато.

То есть для промконтроллеров подходит в цене плюс 5-7 долларов, это нормально.

Сложность с производством, я про это уже говорил.

В конечное устройство пока экономически не получится.

Можно делать очень безопасно, но дорого.