Biblioteche e Archivi
POLITesi - Archivio digitale delle tesi di laurea e di dottorato

Industrial Control Systems (ICS) combine different controllers and monitoring systems used to manage, operate and automate industrial processes. ICSs evolved from stand-alone systems towards more complex and integrated architectures, connected to information systems and, ultimately, to the Internet. If, on the one hand, this evolution is bringing important benefits (e.g., the ability of remotely controlling and monitoring industrial processes), on the other hand, it is exposing ICS-controlled infrastructure to the risk of cyber attacks. These attacks can provoke consequences going above and beyond the loss of data confidentiality, integrity and availability: they can result in threats to human and environmental safety, outage of essential services (e.g., water distribution), and huge monetary losses. Thus, research in defending ICS is becoming extremely important. Unfortunately, besides some high-profile widely known attacks (e.g. Stuxnet and Triton), many ICS security incidents have not been publicly reported, and there are very little comprehensive information about threats usually faced by ICSs in the wild. In the information security community, one of the main avenues to gain information about threats and vulnerabilities is the deployment of honeypots—systems that simulate, more or less faithfully,a target system and that are used as a “trap” to study the methodology and the prevalence of attacks. Our work is focused on the creation of a high-interaction honeypot that recreates a real ICS environment (in particular, a distributed control system). Our honeypot is set up in order to convince an attacker that the system is a real ICS, in order to collect detailed data about the attack, including the post-exploitation and the ICS-specific phase. Unlike previous work, we put an emphasis on the detection of sophisticated attacks; thus, our honeypot includes basic security measures (e.g., the use of non-default credentials) to increase the system’s realism. We evaluate the completeness and usefulness of the data collected by our honeypot by detecting and reconstructing an attack performed, without prior arrangement, by an external professional penetration tester. Furthermore, we deployed our honeypot in a production network; after the first month, we detected more than 500,000 (so far, unsuccessful) attempts to log into the honeypot’s entry point.

Un Sistema di Controllo Industriale (ICS) ́e un insieme di controllori con funzionalità diverse tra loro, usati per la gestione, l’automazione e per agire sui processi industriale in infrastrutture critiche come per esempio: generatori di potenza elettrica,trasmissione e distribuzione, manifattura, raffinazione di petrolio e gas, ecc. Negli ultimi anni gli ICS si sono evoluti, passando da sistemi isolati, costruiti su misura per una specifica infrastruttura, a sistemi pi ́u complessi e connessi ad Internet. Questa evoluzione ha portato molti vantaggi tra cui: l’abilità da parte degli operatori di controllare da remoto il processo industriale, ma anche meno costi per l’uso di dispositivi basati su IP che stanno sostituendo le soluzioni proprietarie. Ma se da un lato,questa evoluzione ha portato importanti benefici, dall’altro ha esposto il controllo dell’infrastruttura al rischio di attacchi informatici. Questi attacchi possono provocare conseguenze ben oltre la perdita di integrità, riservatezza e disponibilità dei dati:possono risultare in minacce alla sicurezza dell’uomo, interruzione di servizi di vitale importanza (per esempio: distribuzione dell’acqua o dell’elettricità) e provocare in-genti perdite economiche. Quindi la ricerca nel campo della difesa informatica di un ICS sta diventando molto importante. Mentre alcuni attacchi ai sistemi industriali sono molto conosciuti, come Stuxnet, che ha distrutto le centrifughe in un impianto Iraniano, o Triton, che ha interrotto un impianto di petrolio e gas manomettendo il sistema di sicurezza, molti altri incidenti e minacce non sono state pubblicate per non rovinare la reputazione dell’azienda, o perchè i governi preferiscono non creare panico a livello nazionale, ma anche perchè i sistemi industriali sono molto complessi e c’ ́e bisogno di una conoscenza specifica, quindi le informazioni riguardanti le vere minacce dirette agli ICS sono davvero poche.Nella comunità di ricerca della sicurezza informatica, un honeypot ́e un sistema molto usato per collezionare informazioni riguardanti attacchi informatici, minacce e vulnerabilità. Un honeypot ́e un sistema usato per simulare altri sistemi mirati dagli attaccanti, usato come “trappola” a fini di protezione contro gli attacchi di pirati informatici e di studio delle metodologie di attacco. Consiste in un sistema che sembra essere parte di una rete che contiene informazioni importanti, ma in realtà ́e ben isolata dalla rete corporativa e non ha nessun dato sensibile o contenuto importante. L’honeypot molto usato in diversi campi, dallo studio di attacchi diretti all’IoT, a quello di nostro interesse diretto agli ICS.Un honeypot ́e classificato in base al livello di interazione o all’uso che ne viene fatto. Il nostro lavoro si basa sull’implementazione di un honeypot ad alto livello di interazioni, usata ai fini di ricerca, che ricrea un vero ambiente industriale (in particolare un DCS, sistema di controllo distribuito). L’honeypot ́e stata sviluppata in modo da assomigliare il pi ́u possibile ad un sistema industriale per ingannare l’attaccante che questo sistema ́e un ICS reale così da permetterci di collezionare dati riguardanti veri attacchi ai sistemi industriali dall’accesso alla specifica fase di attacco ad un ICS. A differenza dei precedenti lavori, abbiamo voluto enfatizzare l’individuazione di attacchi sofisticati; infatti il nostro sistema include misure di sicurezza base (non usiamo credenziali predefinite), servizi industriali non simulati,ma reali, per aumentare il realismo del sistema. Abbiamo valutato la completezza e l’utilità dei dati collezionati del nostro honeypot, individuando e ricostruendo un attacco, eseguito da un penetration tester esterno di professione. L’honeypot ́e ancora online e in un mese, abbiamo raccolto più di 500,000 tentativi di accesso, tutti falliti. Anche se ́e stata settata una password relativamente “semplice”, non ́e comunque una password predefinita, usata invece in altre ricerche, così da attirare attacchi pi ́u “sofisticati” e relativi al mondo industriale.

Design and implementation of a high interaction honeypot for a distributed control system

PESATORI, MIRKO;BARLOCCO, MATTIA
2017/2018

Abstract

Industrial Control Systems (ICS) combine different controllers and monitoring systems used to manage, operate and automate industrial processes. ICSs evolved from stand-alone systems towards more complex and integrated architectures, connected to information systems and, ultimately, to the Internet. If, on the one hand, this evolution is bringing important benefits (e.g., the ability of remotely controlling and monitoring industrial processes), on the other hand, it is exposing ICS-controlled infrastructure to the risk of cyber attacks. These attacks can provoke consequences going above and beyond the loss of data confidentiality, integrity and availability: they can result in threats to human and environmental safety, outage of essential services (e.g., water distribution), and huge monetary losses. Thus, research in defending ICS is becoming extremely important. Unfortunately, besides some high-profile widely known attacks (e.g. Stuxnet and Triton), many ICS security incidents have not been publicly reported, and there are very little comprehensive information about threats usually faced by ICSs in the wild. In the information security community, one of the main avenues to gain information about threats and vulnerabilities is the deployment of honeypots—systems that simulate, more or less faithfully,a target system and that are used as a “trap” to study the methodology and the prevalence of attacks. Our work is focused on the creation of a high-interaction honeypot that recreates a real ICS environment (in particular, a distributed control system). Our honeypot is set up in order to convince an attacker that the system is a real ICS, in order to collect detailed data about the attack, including the post-exploitation and the ICS-specific phase. Unlike previous work, we put an emphasis on the detection of sophisticated attacks; thus, our honeypot includes basic security measures (e.g., the use of non-default credentials) to increase the system’s realism. We evaluate the completeness and usefulness of the data collected by our honeypot by detecting and reconstructing an attack performed, without prior arrangement, by an external professional penetration tester. Furthermore, we deployed our honeypot in a production network; after the first month, we detected more than 500,000 (so far, unsuccessful) attempts to log into the honeypot’s entry point.
ZANERO, STEFANO
POGLIANI, MARCELLO
ING - Scuola di Ingegneria Industriale e dell'Informazione
16-apr-2019
2017/2018
Un Sistema di Controllo Industriale (ICS) ́e un insieme di controllori con funzionalità diverse tra loro, usati per la gestione, l’automazione e per agire sui processi industriale in infrastrutture critiche come per esempio: generatori di potenza elettrica,trasmissione e distribuzione, manifattura, raffinazione di petrolio e gas, ecc. Negli ultimi anni gli ICS si sono evoluti, passando da sistemi isolati, costruiti su misura per una specifica infrastruttura, a sistemi pi ́u complessi e connessi ad Internet. Questa evoluzione ha portato molti vantaggi tra cui: l’abilità da parte degli operatori di controllare da remoto il processo industriale, ma anche meno costi per l’uso di dispositivi basati su IP che stanno sostituendo le soluzioni proprietarie. Ma se da un lato,questa evoluzione ha portato importanti benefici, dall’altro ha esposto il controllo dell’infrastruttura al rischio di attacchi informatici. Questi attacchi possono provocare conseguenze ben oltre la perdita di integrità, riservatezza e disponibilità dei dati:possono risultare in minacce alla sicurezza dell’uomo, interruzione di servizi di vitale importanza (per esempio: distribuzione dell’acqua o dell’elettricità) e provocare in-genti perdite economiche. Quindi la ricerca nel campo della difesa informatica di un ICS sta diventando molto importante. Mentre alcuni attacchi ai sistemi industriali sono molto conosciuti, come Stuxnet, che ha distrutto le centrifughe in un impianto Iraniano, o Triton, che ha interrotto un impianto di petrolio e gas manomettendo il sistema di sicurezza, molti altri incidenti e minacce non sono state pubblicate per non rovinare la reputazione dell’azienda, o perchè i governi preferiscono non creare panico a livello nazionale, ma anche perchè i sistemi industriali sono molto complessi e c’ ́e bisogno di una conoscenza specifica, quindi le informazioni riguardanti le vere minacce dirette agli ICS sono davvero poche.Nella comunità di ricerca della sicurezza informatica, un honeypot ́e un sistema molto usato per collezionare informazioni riguardanti attacchi informatici, minacce e vulnerabilità. Un honeypot ́e un sistema usato per simulare altri sistemi mirati dagli attaccanti, usato come “trappola” a fini di protezione contro gli attacchi di pirati informatici e di studio delle metodologie di attacco. Consiste in un sistema che sembra essere parte di una rete che contiene informazioni importanti, ma in realtà ́e ben isolata dalla rete corporativa e non ha nessun dato sensibile o contenuto importante. L’honeypot molto usato in diversi campi, dallo studio di attacchi diretti all’IoT, a quello di nostro interesse diretto agli ICS.Un honeypot ́e classificato in base al livello di interazione o all’uso che ne viene fatto. Il nostro lavoro si basa sull’implementazione di un honeypot ad alto livello di interazioni, usata ai fini di ricerca, che ricrea un vero ambiente industriale (in particolare un DCS, sistema di controllo distribuito). L’honeypot ́e stata sviluppata in modo da assomigliare il pi ́u possibile ad un sistema industriale per ingannare l’attaccante che questo sistema ́e un ICS reale così da permetterci di collezionare dati riguardanti veri attacchi ai sistemi industriali dall’accesso alla specifica fase di attacco ad un ICS. A differenza dei precedenti lavori, abbiamo voluto enfatizzare l’individuazione di attacchi sofisticati; infatti il nostro sistema include misure di sicurezza base (non usiamo credenziali predefinite), servizi industriali non simulati,ma reali, per aumentare il realismo del sistema. Abbiamo valutato la completezza e l’utilità dei dati collezionati del nostro honeypot, individuando e ricostruendo un attacco, eseguito da un penetration tester esterno di professione. L’honeypot ́e ancora online e in un mese, abbiamo raccolto più di 500,000 tentativi di accesso, tutti falliti. Anche se ́e stata settata una password relativamente “semplice”, non ́e comunque una password predefinita, usata invece in altre ricerche, così da attirare attacchi pi ́u “sofisticati” e relativi al mondo industriale.
Tesi di laurea Magistrale
Tesi di laurea Magistrale
File allegati
File Dimensione Formato  
MattiaBarloccoMirkoPesatoriTesi.pdf

non accessibile

Descrizione: Testo della Tesi
Dimensione 3.96 MB
Formato Adobe PDF
  Visualizza/Apri
3.96 MB Adobe PDF   Visualizza/Apri

I documenti in POLITesi sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.

Utilizza questo identificativo per citare o creare un link a questo documento: https://hdl.handle.net/10589/147372