implemen ng a ver cally hardened dnp3 control stack
play

Implemen'ng a ver'cally hardened DNP3 control stack Sven - PowerPoint PPT Presentation

May 27, 2023 •392 likes •886 views

Implemen'ng a ver'cally hardened DNP3 control stack Sven M. Hallberg, Sergey Bratus, Adam Crain, Meredith L. Pa<erson,

  1. Implemen'ng ¡a ¡ver'cally ¡ hardened ¡DNP3 ¡control ¡stack ¡ Sven ¡M. ¡Hallberg, ¡ ¡ ¡ ¡Sergey ¡Bratus, ¡ ¡ ¡ ¡ ¡Adam ¡Crain, ¡ Meredith ¡L. ¡Pa<erson, ¡ ¡ ¡ ¡Maxwell ¡Koo, ¡ ¡ ¡ ¡Sean ¡W. ¡Smith ¡ Sponsor: ¡

  2. Outline • Parsers , ¡ security , ¡and ¡the ¡LangSec ¡viewpoint ¡ ¡ • Building ¡a ¡safer ¡DNP3 ¡parser ¡from ¡scratch ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡“ Make ¡the ¡parser ¡code ¡look ¡like ¡the ¡grammar ” ¡ - ¡ ¡ ¡ ¡ ¡a.k.a. ¡ Parser ¡combinators ¡ ¡(using ¡the ¡ Hammer ¡kit) ¡ ¡ • Case ¡study: ¡a ¡DNP3 ¡filtering ¡proxy ¡ ¡ • Lessons ¡learned ¡/ ¡discussion ¡ ¡

  3. What is syntax & why check it? • What ¡we ¡parse ¡for ¡(“syntax”): ¡ ¡ ¡ ¡-­‑ ¡object ¡boundaries ¡in ¡message, ¡ ¡ ¡ ¡ ¡-­‑ ¡object ¡embeddings ¡in ¡other ¡objects, ¡ ¡ ¡ ¡-­‑ ¡whether ¡it’s ¡legal ¡for ¡objects ¡to ¡appear ¡in ¡message ¡in ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡a ¡given ¡posiSon ¡ ¡ • ValidaSng ¡syntax ¡should: ¡ ¡ ¡ ¡-­‑ ¡create ¡expected ¡pre-­‑condiSons ¡for ¡the ¡rest ¡of ¡the ¡code ¡ ¡ ¡ ¡-­‑ ¡assure ¡predictable ¡behavior ¡of ¡code ¡on ¡input ¡data ¡

  4. LangSec ¡ • Many ¡security ¡issues ¡are ¡ language ¡ recogni'on ¡issues ¡ - exploit ¡= ¡accepSng ¡bad ¡input, ¡leVng ¡it ¡act ¡on ¡program ¡ internals. ¡What ¡to ¡accept? ¡What ¡is ¡expected? ¡What ¡is ¡valid? ¡ - ¡ ¡ • If ¡security ¡seems ¡like ¡an ¡uphill ¡ba<le… ¡ syntax ¡complexity ¡is ¡likely ¡at ¡fault ¡(the ¡higher ¡up ¡Chomsky’s ¡ hierarchy ¡of ¡grammars, ¡the ¡harder ¡to ¡parse ¡correctly) ¡ ¡ • Some ¡syntax ¡is ¡ poison : ¡(eg.: ¡nested ¡length, ¡fields ¡that ¡must ¡all ¡ agree; ¡several ¡sources ¡of ¡truth, ¡context-­‑dependence) ¡

  6. Solve ¡language ¡problems ¡with ¡a ¡language ¡ approach ¡ ¡ • Start ¡with ¡a ¡grammar ¡ • If ¡you ¡don’t ¡know ¡what ¡ valid ¡or ¡ expected ¡syntax/content ¡of ¡ a ¡message ¡is, ¡how ¡can ¡you ¡check ¡it? ¡Or ¡interoperate? ¡ • If ¡the ¡protocol ¡comes ¡without ¡a ¡grammar, ¡you ¡need ¡to ¡ derive ¡one. ¡It ¡sucks, ¡but ¡it’s ¡the ¡only ¡way. ¡ • Write ¡the ¡parser ¡to ¡ look ¡ like ¡the ¡grammar: ¡succinct ¡& ¡ ¡ ¡ ¡ ¡ ¡ incrementally ¡testable ¡(from ¡the ¡leaf ¡nodes/primiSves ¡up) ¡ ¡ • Don’t ¡start ¡ processing ¡before ¡you’re ¡done ¡ parsing ¡ ¡ ¡

  7. The ¡Recognizer ¡design ¡pa<ern ¡ ¡ Language grammar& Spec& Processing:&& only&well3typed& Recognizer& objects,& Input& for&input& no&raw&inputs&& language& & Reject&& invalid& inputs& Only&valid/expected&inputs,& semanCc&acCons&past&this&line&

  8. Parsing & protocol anti-patterns • “ Shotgun ¡ parsers ”: ¡input ¡validity ¡checks ¡ intermixed ¡with ¡ processing ¡code; ¡no ¡clear ¡separaSon ¡boundary ¡ • OpenSSL’s ¡Heartbleed, ¡GNU ¡TLS ¡Hello ¡bug, ¡… ¡ • Unnecessarily ¡complex ¡syntax ¡(e.g., ¡context-­‑ sensi've ¡where ¡ context-­‑ free ¡or ¡ regular ¡would ¡suffice) ¡ • Objects’ ¡interpretaSon ¡& ¡legality ¡depends ¡on ¡sibling ¡object ¡contents ¡ • Parser ¡ differen'als ¡(parsers ¡disagree ¡about ¡message ¡contents) ¡ • X.509 ¡CA ¡vs ¡client ¡bugs, ¡Android ¡Master ¡Key ¡bugs, ¡… ¡ • Overloaded ¡fields ¡ • recent ¡NTP ¡vulnerabiliSes ¡ ¡ ¡ • … ¡(see ¡our ¡IEEE ¡SecDev ¡2016 ¡paper) ¡ ¡

  9. DNP3 issues are not theoretical • 2013 ¡to ¡2014 ¡– ¡Over ¡ 30 ¡CVEs ¡related ¡to ¡input ¡validaSon ¡ with ¡DNP3 ¡implementaSons. ¡ ¡ ¡ ¡ ¡(“ Robus ¡Master ¡Serial ¡Killer ”, ¡ ¡Sistrunk ¡& ¡Crain, ¡2014) ¡ ¡ • Out ¡of ¡ dozens ¡of ¡implementaSons ¡only ¡a ¡small ¡few ¡were ¡ defect-­‑free. ¡ • Low-­‑defect ¡implementaSons ¡chose ¡a ¡conservaSve ¡subset ¡

  10. DNP3 Complex? ¡

  11. DNP3 Complex?? ¡

  12. DNP3 Complex! ¡

  13. Vuln #1 FA 82 00 00 01 00 02 00 00 00 00 FF FF FF FF 0 4294967295 Group 1 4 byte Unsolicited Variation 0 start/stop Response Sizeless?! ● infinite loop ● missing data ● integer overflow? ● accepts broadcast From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  14. Vuln #2 DD 82 00 00 0A 02 01 00 00 FF FF 0 65535 2 byte UNSOL start/stop Group 10 ● infinite loop Variation 2 ● missing data Binary Output ● unexpected data Status ● integer overflow? From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  15. Vuln #3 CRC CRC 05 64 06 44 64 00 64 00 FF F2 C0 1D 0A 100 100 FIR / FIN SEQ = 0 1 byte unconfirmed payload user data ● transport header only ● unhandled exception From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  16. Vuln #4 (TMW integration) DD 82 00 00 0C 01 00 00 01 rnd(11) rnd(11) CROB #1 CROB #2 Control 1 byte Unsolicited Relay start/stop Response Output Block ● buffer overrun ● not malformed! ● unexpected objects ● accepts broadcast From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  17. Vuln #5 (TMW integration) FA 82 00 00 02 02 01 01 00 FF FF 1 65535 Group 2 2 byte Unsolicited Var 2 start/stop Response (event) ● stable infinite loop ● max range - 1 and no data ● accepts broadcast From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  18. Language Poison • Range: ¡( start , ¡ stop ) • If ¡we ¡can't ¡get ¡this ¡right ¡in ¡2016… • Be<er: ¡( start , ¡ count ), ¡as ¡in ¡Modbus ¡& ¡IEC ¡104 ¡ • Would ¡ ideally ¡like ¡to ¡avoid ¡counts ¡in ¡the ¡first ¡place l => ¡Context-­‑free ¡is ¡much ¡easier ¡to ¡parse

  19. Syntax spills into semantics // group 50 (times)... g50v1_time_oblock = dnp3_p_single (G_V(TIME, TIME), time); Read requests & responses; Object ¡group ¡50: ¡ 'me ¡and ¡ date Write requests (to set time)

  20. Syntax spills … where? Object ¡group ¡51: ¡common ¡Sme-­‑of-­‑occurance “should the relative time variants generate an error unless preceded by a CTO object in the same message?”

  21. Implementation Goals / Principles • Be ¡as ¡ gramma'cal ¡as ¡possible ¡ • Want ¡the ¡parser ¡to ¡look ¡like ¡a ¡ CFG , ¡though ¡we ¡can't ¡be ¡ ¡ • Avoid ¡code ¡duplicaSon ¡(much ¡abstracSon) ¡ ¡ • Capture ¡DNP3's ¡" true " ¡syntax ¡ • Reject ¡at ¡ syntax ¡level ¡what ¡other ¡checkers ¡may ¡(or ¡may ¡ not!) ¡do ¡later ¡in ¡the ¡code ¡

  22. Parser combinators: a natural choice • Hammer ¡parser ¡construcSon ¡kit: ¡C/C++ ¡ ¡ ¡ • Bindings ¡for ¡Java, ¡Python, ¡Ruby, ¡.NET, ¡Go ¡ • Three ¡algorithmic ¡parsing ¡back-­‑ends ¡ ¡ • Freely ¡available ¡on ¡GitHub: ¡ h<ps://github.com/UpstandingHackers/hammer ¡

  23. Parser combinators at a glance (1)

  24. Parser combinators at a glance (2)

  25. Parser Combinators: code looks like the grammar • Have ¡primiSves ¡ ¡ ¡ ¡ ¡ HParser *seqno = h_bits(4, false); HParser *bit = h_bits(1, false); ... ¡ • Combined ¡to ¡form ¡higher-­‑level ¡structures ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ h_choice, h_many, h_many1, ... ¡ • define ¡own ¡combinators ¡

  26. Example – Fragment Header Flags ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ /* --- uns,con,fin,fir --- */ conflags = h_sequence(bit,zro,one,one, NULL); // CONFIRM reqflags = h_sequence(zro,zro,one,one, NULL); // always fin,fir! unsflags = h_sequence(one,one,ign,ign, NULL); // unsolicited rspflags = h_sequence(zro,bit,bit,bit, NULL); ¡ ¡

  27. Example - CROB Object crob = h_sequence(h_bits(4, false), // op type bit, // queue flag bit, // clear flag tcc, h_uint8(), // count h_uint32(), // on-time [ms] h_uint32(), // off-time [ms] status, // 7 bits dnp3_p_reserved(1), NULL));

Download Presentation
Download Policy: The content available on the website is offered to you 'AS IS' for your personal information and use only. It cannot be commercialized, licensed, or distributed on other websites without prior consent from the author. To download a presentation, simply click this link. If you encounter any difficulties during the download process, it's possible that the publisher has removed the file from their server.

Recommend

Systema(cally exploring control programs (Lecture I) Ratul

Systema(cally exploring control programs (Lecture I) Ratul

Systema(cally exploring control programs (Lecture I) Ratul Mahajan Microso' Research Joint work with Jason Cro3, Ma5 Caesar, and Madan Musuvathi

718 views • 67 slides
Building a Literate Parser and Proxy for DNP3 Sven M.

Building a Literate Parser and Proxy for DNP3 Sven M.

Building a Literate Parser and Proxy for DNP3 Sven M. Hallberg, Sergey Bratus, Adam Crain Outline Parsers, security, and the

368 views • 33 slides
Towards Nirvana Stack: OpenDaylight Network Control Solution with FD.io Data plane Srikanth

Towards Nirvana Stack: OpenDaylight Network Control Solution with FD.io Data plane Srikanth

Towards Nirvana Stack: OpenDaylight Network Control Solution with FD.io Data plane Srikanth Vavilapalli, Ericsson; Andre Fredette, Redhat OpenStack Summit 2017- Boston Nirvana SDN Stack Applicable Projects Neutron (+Gluon Innovations)

696 views • 16 slides
Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week

Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week

Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week Using buffer overruns or format string attacks to read out or corrupt the stack, esp. the control data on the stack: frame pointers and return

647 views • 42 slides
Stack and Queue Stack Overview Stack ADT Basic operations of stack Pushing, popping

Stack and Queue Stack Overview Stack ADT Basic operations of stack Pushing, popping

Stack and Queue Stack Overview Stack ADT Basic operations of stack Pushing, popping etc. Implementations of stacks using array linked list The Stack ADT A stack is a list with the restriction that insertions and

566 views • 44 slides
SPECIFICATION-BASED IDS FOR THE DNP3 PROTOCOL NOVEMBER, 12TH, 2014 HUI LIN UNIVERSITY OF

SPECIFICATION-BASED IDS FOR THE DNP3 PROTOCOL NOVEMBER, 12TH, 2014 HUI LIN UNIVERSITY OF

ANNUAL INDUSTRY WORKSHOP NOVEMBER 12-13, 2014 SPECIFICATION-BASED IDS FOR THE DNP3 PROTOCOL NOVEMBER, 12TH, 2014 HUI LIN UNIVERSITY OF ILLINOIS AT URBANA-CHAMPAIGN TRUSTWORTHY CYBER INFRASTRUCTURE FOR THE POWER GRID | TCIPG.ORG 1

746 views • 31 slides
Petri Net Modeling of the Reconfigurable Protocol Stack for Cloud Computing Control Systems Dr.

Petri Net Modeling of the Reconfigurable Protocol Stack for Cloud Computing Control Systems Dr.

Control Science and Engineering Petri Net Modeling of the Reconfigurable Protocol Stack for Cloud Computing Control Systems Dr. Naixue Xiong Georgia State Univ. GA Authors: Chunjie Zhou, Hui Chen, et al. Control Science and Engineering

934 views • 20 slides
Implemen'ng a NRG code, handling second quan'za'on

Implemen'ng a NRG code, handling second quan'za'on

Implemen'ng a NRG code, handling second quan'za'on expressions, symmetries, paralleliza'on issues Rok itko Ins'tute Joef Stefan Ljubljana, Slovenia Tools:

479 views • 31 slides
Chapter 13 Implemen ting the Ob ject-Orien ted P aradigm In this c hapter w e will

Chapter 13 Implemen ting the Ob ject-Orien ted P aradigm In this c hapter w e will

Chapter 13 Implemen ting the Ob ject-Orien ted P aradigm In this c hapter w e will discuss some of the diculties in v olv ed in implemen ting those features of Leda that are relev an t to the ob ject-orien

138 views • 9 slides
The Stack Eric McCreath The Stack The stack is a simple but useful data structure in computer

The Stack Eric McCreath The Stack The stack is a simple but useful data structure in computer

The Stack Eric McCreath The Stack The stack is a simple but useful data structure in computer science. The stack is an abstract data type that has two main operations. These are push which adds an element to the top of the stack and pop which

754 views • 8 slides
Implemen'ng)programma'c)screening)for)distress)related)to)

Implemen'ng)programma'c)screening)for)distress)related)to)

Implemen'ng)programma'c)screening)for)distress)related)to) physical)symptoms)and)emo'onal)/)psychosocial)concerns) Margaret'Fitch''''''''' ''''Jeff'Myers'''''''''''''Stephanie'Burlein6Hall' ' PURPOSE '

223 views • 3 slides
Stack ADT Tiziana Ligorio 1 Todays Plan Questons? Stack ADT 2 Abstract Data Types

Stack ADT Tiziana Ligorio 1 Todays Plan Questons? Stack ADT 2 Abstract Data Types

Stack ADT Tiziana Ligorio 1 Todays Plan Questons? Stack ADT 2 Abstract Data Types Bag List Stack 3 Stack 34 A data structure representing a stack of things Objects can be pushed onto the stack or popped from the stack

1.62k views • 116 slides
Chapter 7 Sets The problem w e will consider in this c hapter is the implemen

Chapter 7 Sets The problem w e will consider in this c hapter is the implemen

Chapter 7 Sets The problem w e will consider in this c hapter is the implemen tation of a data structure that corresp onds roughly to the notion of a in mathematics. Our purp ose is not to explain set the

487 views • 22 slides
III. CONFIDENTIALITY IV. CONFLICT OF INTEREST 1 2018-02-23 Suppor ort t to the implemen

III. CONFIDENTIALITY IV. CONFLICT OF INTEREST 1 2018-02-23 Suppor ort t to the implemen

2018-02-23 Support to the implementation of the judicial reform in Armenia legal al advis viser Jdrzej Klatka Suppor ort t to the implemen menta tati tion on of the judicial refor orms ms in Armenia I. SCOPE II. INDEPENDENCE III.

225 views • 20 slides
Fuzzing and protocol analysis case-study of DNP3 Adam Crain, Automatak Developed by Harris Corp,

Fuzzing and protocol analysis case-study of DNP3 Adam Crain, Automatak Developed by Harris Corp,

Fuzzing and protocol analysis case-study of DNP3 Adam Crain, Automatak Developed by Harris Corp, handed over to a vendor-neutral User Group in 1993. Many features have been bolted on, including security. Layered Architecture IED/RTU or

469 views • 24 slides
1 Array-based Stack (2.1.1) Algorithm pop (): if isEmpty () then A simple way of throw

1 Array-based Stack (2.1.1) Algorithm pop (): if isEmpty () then A simple way of throw

Elementary Data Structures Stacks, Queues, Vectors, Lists &amp; Sequences Trees The Stack ADT (2.1.1) The Stack ADT stores arbitrary objects Insertions and deletions Auxiliary stack follow the last-in first-out operations: scheme

473 views • 13 slides
Multidimensional quadrilateral lattices with the values in Grassmann manifold are integrable

Multidimensional quadrilateral lattices with the values in Grassmann manifold are integrable

Multidimensional quadrilateral lattices with the values in Grassmann manifold are integrable V.E. Adler, A.I. Bobenko, Yu.B. Suris Geometry and integrability, 13.1220.12.2008, Obergurgl Plan Introduction Multidimensional

576 views • 26 slides
Kubernetes+GlusterFS: Lightning Ver. Mohamed Ashiq Liazudeen &amp; Jos A. Rivera

Kubernetes+GlusterFS: Lightning Ver. Mohamed Ashiq Liazudeen &amp; Jos A. Rivera

Kubernetes+GlusterFS: Lightning Ver. Mohamed Ashiq Liazudeen &amp; Jos A. Rivera GlusterFS GlusterFS is a distributed, software-defined filesystem. Storage devices, called bricks, are selected on one or

266 views • 8 slides
An Approach for Detecting Learning Styles in Learning Management Systems Sabine Graf Kinshuk

An Approach for Detecting Learning Styles in Learning Management Systems Sabine Graf Kinshuk

An Approach for Detecting Learning Styles in Learning Management Systems Sabine Graf Kinshuk Vienna University of Technology Massey University Austria New Zealand graf@wit.tuwien.ac.at kinshuk@ieee.org Motivation and Aim Learning

189 views • 8 slides
Par$$oning &amp; Clustering Big Graphs George Karypis Department

Par$$oning &amp; Clustering Big Graphs George Karypis Department

U NIVERSITY OF M INNESOTA , D EPARTMENT OF C OMPUTER S CIENCE &amp; E NGINEERING Par$$oning &amp; Clustering Big Graphs George Karypis Department of Computer Science &amp;

600 views • 25 slides
ESP4ML Platform-Based Design of System-on-Chip for Embedded Machine Learning Davide Giri

ESP4ML Platform-Based Design of System-on-Chip for Embedded Machine Learning Davide Giri

ESP4ML Platform-Based Design of System-on-Chip for Embedded Machine Learning Davide Giri Kuan-Lin Chiu Giuseppe di Guglielmo Paolo Mantovani DATE 2020 Luca P. Carloni ESP4ML Open-source design flow to build and program SoCs for ML

2.72k views • 26 slides
Modelling, Specification and Verification of Reactive Systems Introduction to the Course

Modelling, Specification and Verification of Reactive Systems Introduction to the Course

Organization of the Course Introduction Formal Models for Reactive Systems Modelling, Specification and Verification of Reactive Systems Introduction to the Course Lecturer: Luca Aceto Email: luca@ru.is or luca.aceto@gmail.com Course web

449 views • 25 slides
Antimagic Labelings of Regular Bipartite Graphs Daniel Cranston dcransto@dimacs.rutgers.edu

Antimagic Labelings of Regular Bipartite Graphs Daniel Cranston dcransto@dimacs.rutgers.edu

Antimagic Labelings of Regular Bipartite Graphs Daniel Cranston dcransto@dimacs.rutgers.edu DIMACS, Rutgers University Antimagic Labelings Def. magic labeling: an injection from the edges of G to { 1 , 2 , . . . , | E |} such that the sum of

870 views • 38 slides
Model-View-Controller CS 4720 Web &amp; Mobile Systems

Model-View-Controller CS 4720 Web &amp; Mobile Systems

Model-View-Controller CS 4720 Web &amp; Mobile Systems CS 4720 Abstrac/ons and Tiers Every system we seem to build we talk about

559 views • 22 slides

More recommend