implemen ng a ver cally hardened dnp3 control stack
play

Implemen'ng a ver'cally hardened DNP3 control stack Sven - PowerPoint PPT Presentation

May 27, 2023 •392 likes •886 views

Implemen'ng a ver'cally hardened DNP3 control stack Sven M. Hallberg, Sergey Bratus, Adam Crain, Meredith L. Pa<erson,

  1. Implemen'ng ¡a ¡ver'cally ¡ hardened ¡DNP3 ¡control ¡stack ¡ Sven ¡M. ¡Hallberg, ¡ ¡ ¡ ¡Sergey ¡Bratus, ¡ ¡ ¡ ¡ ¡Adam ¡Crain, ¡ Meredith ¡L. ¡Pa<erson, ¡ ¡ ¡ ¡Maxwell ¡Koo, ¡ ¡ ¡ ¡Sean ¡W. ¡Smith ¡ Sponsor: ¡

  2. Outline • Parsers , ¡ security , ¡and ¡the ¡LangSec ¡viewpoint ¡ ¡ • Building ¡a ¡safer ¡DNP3 ¡parser ¡from ¡scratch ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡“ Make ¡the ¡parser ¡code ¡look ¡like ¡the ¡grammar ” ¡ - ¡ ¡ ¡ ¡ ¡a.k.a. ¡ Parser ¡combinators ¡ ¡(using ¡the ¡ Hammer ¡kit) ¡ ¡ • Case ¡study: ¡a ¡DNP3 ¡filtering ¡proxy ¡ ¡ • Lessons ¡learned ¡/ ¡discussion ¡ ¡

  3. What is syntax & why check it? • What ¡we ¡parse ¡for ¡(“syntax”): ¡ ¡ ¡ ¡-­‑ ¡object ¡boundaries ¡in ¡message, ¡ ¡ ¡ ¡ ¡-­‑ ¡object ¡embeddings ¡in ¡other ¡objects, ¡ ¡ ¡ ¡-­‑ ¡whether ¡it’s ¡legal ¡for ¡objects ¡to ¡appear ¡in ¡message ¡in ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡a ¡given ¡posiSon ¡ ¡ • ValidaSng ¡syntax ¡should: ¡ ¡ ¡ ¡-­‑ ¡create ¡expected ¡pre-­‑condiSons ¡for ¡the ¡rest ¡of ¡the ¡code ¡ ¡ ¡ ¡-­‑ ¡assure ¡predictable ¡behavior ¡of ¡code ¡on ¡input ¡data ¡

  4. LangSec ¡ • Many ¡security ¡issues ¡are ¡ language ¡ recogni'on ¡issues ¡ - exploit ¡= ¡accepSng ¡bad ¡input, ¡leVng ¡it ¡act ¡on ¡program ¡ internals. ¡What ¡to ¡accept? ¡What ¡is ¡expected? ¡What ¡is ¡valid? ¡ - ¡ ¡ • If ¡security ¡seems ¡like ¡an ¡uphill ¡ba<le… ¡ syntax ¡complexity ¡is ¡likely ¡at ¡fault ¡(the ¡higher ¡up ¡Chomsky’s ¡ hierarchy ¡of ¡grammars, ¡the ¡harder ¡to ¡parse ¡correctly) ¡ ¡ • Some ¡syntax ¡is ¡ poison : ¡(eg.: ¡nested ¡length, ¡fields ¡that ¡must ¡all ¡ agree; ¡several ¡sources ¡of ¡truth, ¡context-­‑dependence) ¡

  6. Solve ¡language ¡problems ¡with ¡a ¡language ¡ approach ¡ ¡ • Start ¡with ¡a ¡grammar ¡ • If ¡you ¡don’t ¡know ¡what ¡ valid ¡or ¡ expected ¡syntax/content ¡of ¡ a ¡message ¡is, ¡how ¡can ¡you ¡check ¡it? ¡Or ¡interoperate? ¡ • If ¡the ¡protocol ¡comes ¡without ¡a ¡grammar, ¡you ¡need ¡to ¡ derive ¡one. ¡It ¡sucks, ¡but ¡it’s ¡the ¡only ¡way. ¡ • Write ¡the ¡parser ¡to ¡ look ¡ like ¡the ¡grammar: ¡succinct ¡& ¡ ¡ ¡ ¡ ¡ ¡ incrementally ¡testable ¡(from ¡the ¡leaf ¡nodes/primiSves ¡up) ¡ ¡ • Don’t ¡start ¡ processing ¡before ¡you’re ¡done ¡ parsing ¡ ¡ ¡

  7. The ¡Recognizer ¡design ¡pa<ern ¡ ¡ Language grammar& Spec& Processing:&& only&well3typed& Recognizer& objects,& Input& for&input& no&raw&inputs&& language& & Reject&& invalid& inputs& Only&valid/expected&inputs,& semanCc&acCons&past&this&line&

  8. Parsing & protocol anti-patterns • “ Shotgun ¡ parsers ”: ¡input ¡validity ¡checks ¡ intermixed ¡with ¡ processing ¡code; ¡no ¡clear ¡separaSon ¡boundary ¡ • OpenSSL’s ¡Heartbleed, ¡GNU ¡TLS ¡Hello ¡bug, ¡… ¡ • Unnecessarily ¡complex ¡syntax ¡(e.g., ¡context-­‑ sensi've ¡where ¡ context-­‑ free ¡or ¡ regular ¡would ¡suffice) ¡ • Objects’ ¡interpretaSon ¡& ¡legality ¡depends ¡on ¡sibling ¡object ¡contents ¡ • Parser ¡ differen'als ¡(parsers ¡disagree ¡about ¡message ¡contents) ¡ • X.509 ¡CA ¡vs ¡client ¡bugs, ¡Android ¡Master ¡Key ¡bugs, ¡… ¡ • Overloaded ¡fields ¡ • recent ¡NTP ¡vulnerabiliSes ¡ ¡ ¡ • … ¡(see ¡our ¡IEEE ¡SecDev ¡2016 ¡paper) ¡ ¡

  9. DNP3 issues are not theoretical • 2013 ¡to ¡2014 ¡– ¡Over ¡ 30 ¡CVEs ¡related ¡to ¡input ¡validaSon ¡ with ¡DNP3 ¡implementaSons. ¡ ¡ ¡ ¡ ¡(“ Robus ¡Master ¡Serial ¡Killer ”, ¡ ¡Sistrunk ¡& ¡Crain, ¡2014) ¡ ¡ • Out ¡of ¡ dozens ¡of ¡implementaSons ¡only ¡a ¡small ¡few ¡were ¡ defect-­‑free. ¡ • Low-­‑defect ¡implementaSons ¡chose ¡a ¡conservaSve ¡subset ¡

  10. DNP3 Complex? ¡

  11. DNP3 Complex?? ¡

  12. DNP3 Complex! ¡

  13. Vuln #1 FA 82 00 00 01 00 02 00 00 00 00 FF FF FF FF 0 4294967295 Group 1 4 byte Unsolicited Variation 0 start/stop Response Sizeless?! ● infinite loop ● missing data ● integer overflow? ● accepts broadcast From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  14. Vuln #2 DD 82 00 00 0A 02 01 00 00 FF FF 0 65535 2 byte UNSOL start/stop Group 10 ● infinite loop Variation 2 ● missing data Binary Output ● unexpected data Status ● integer overflow? From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  15. Vuln #3 CRC CRC 05 64 06 44 64 00 64 00 FF F2 C0 1D 0A 100 100 FIR / FIN SEQ = 0 1 byte unconfirmed payload user data ● transport header only ● unhandled exception From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  16. Vuln #4 (TMW integration) DD 82 00 00 0C 01 00 00 01 rnd(11) rnd(11) CROB #1 CROB #2 Control 1 byte Unsolicited Relay start/stop Response Output Block ● buffer overrun ● not malformed! ● unexpected objects ● accepts broadcast From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  17. Vuln #5 (TMW integration) FA 82 00 00 02 02 01 01 00 FF FF 1 65535 Group 2 2 byte Unsolicited Var 2 start/stop Response (event) ● stable infinite loop ● max range - 1 and no data ● accepts broadcast From: Adam Crain, Chris Sistrunk “Project Robus, Master Serial Killer”, S4x14

  18. Language Poison • Range: ¡( start , ¡ stop ) • If ¡we ¡can't ¡get ¡this ¡right ¡in ¡2016… • Be<er: ¡( start , ¡ count ), ¡as ¡in ¡Modbus ¡& ¡IEC ¡104 ¡ • Would ¡ ideally ¡like ¡to ¡avoid ¡counts ¡in ¡the ¡first ¡place l => ¡Context-­‑free ¡is ¡much ¡easier ¡to ¡parse

  19. Syntax spills into semantics // group 50 (times)... g50v1_time_oblock = dnp3_p_single (G_V(TIME, TIME), time); Read requests & responses; Object ¡group ¡50: ¡ 'me ¡and ¡ date Write requests (to set time)

  20. Syntax spills … where? Object ¡group ¡51: ¡common ¡Sme-­‑of-­‑occurance “should the relative time variants generate an error unless preceded by a CTO object in the same message?”

  21. Implementation Goals / Principles • Be ¡as ¡ gramma'cal ¡as ¡possible ¡ • Want ¡the ¡parser ¡to ¡look ¡like ¡a ¡ CFG , ¡though ¡we ¡can't ¡be ¡ ¡ • Avoid ¡code ¡duplicaSon ¡(much ¡abstracSon) ¡ ¡ • Capture ¡DNP3's ¡" true " ¡syntax ¡ • Reject ¡at ¡ syntax ¡level ¡what ¡other ¡checkers ¡may ¡(or ¡may ¡ not!) ¡do ¡later ¡in ¡the ¡code ¡

  22. Parser combinators: a natural choice • Hammer ¡parser ¡construcSon ¡kit: ¡C/C++ ¡ ¡ ¡ • Bindings ¡for ¡Java, ¡Python, ¡Ruby, ¡.NET, ¡Go ¡ • Three ¡algorithmic ¡parsing ¡back-­‑ends ¡ ¡ • Freely ¡available ¡on ¡GitHub: ¡ h<ps://github.com/UpstandingHackers/hammer ¡

  23. Parser combinators at a glance (1)

  24. Parser combinators at a glance (2)

  25. Parser Combinators: code looks like the grammar • Have ¡primiSves ¡ ¡ ¡ ¡ ¡ HParser *seqno = h_bits(4, false); HParser *bit = h_bits(1, false); ... ¡ • Combined ¡to ¡form ¡higher-­‑level ¡structures ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ h_choice, h_many, h_many1, ... ¡ • define ¡own ¡combinators ¡

  26. Example – Fragment Header Flags ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ /* --- uns,con,fin,fir --- */ conflags = h_sequence(bit,zro,one,one, NULL); // CONFIRM reqflags = h_sequence(zro,zro,one,one, NULL); // always fin,fir! unsflags = h_sequence(one,one,ign,ign, NULL); // unsolicited rspflags = h_sequence(zro,bit,bit,bit, NULL); ¡ ¡

  27. Example - CROB Object crob = h_sequence(h_bits(4, false), // op type bit, // queue flag bit, // clear flag tcc, h_uint8(), // count h_uint32(), // on-time [ms] h_uint32(), // off-time [ms] status, // 7 bits dnp3_p_reserved(1), NULL));

Recommend

Systema(cally exploring control programs (Lecture I) Ratul

Systema(cally exploring control programs (Lecture I) Ratul

Systema(cally exploring control programs (Lecture I) Ratul Mahajan Microso' Research Joint work with Jason Cro3, Ma5 Caesar, and Madan Musuvathi

718 views • 67 slides
Building a Literate Parser and Proxy for DNP3 Sven M.

Building a Literate Parser and Proxy for DNP3 Sven M.

Building a Literate Parser and Proxy for DNP3 Sven M. Hallberg, Sergey Bratus, Adam Crain Outline Parsers, security, and the

368 views • 33 slides
Towards Nirvana Stack: OpenDaylight Network Control Solution with FD.io Data plane Srikanth

Towards Nirvana Stack: OpenDaylight Network Control Solution with FD.io Data plane Srikanth

Towards Nirvana Stack: OpenDaylight Network Control Solution with FD.io Data plane Srikanth Vavilapalli, Ericsson; Andre Fredette, Redhat OpenStack Summit 2017- Boston Nirvana SDN Stack Applicable Projects Neutron (+Gluon Innovations)

696 views • 16 slides
Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week

Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week

Attacking the stack (continued) hic 1 1 Firefox bugs this morning hic 2 Last week Using buffer overruns or format string attacks to read out or corrupt the stack, esp. the control data on the stack: frame pointers and return

647 views • 42 slides
Stack and Queue Stack Overview Stack ADT Basic operations of stack Pushing, popping

Stack and Queue Stack Overview Stack ADT Basic operations of stack Pushing, popping

Stack and Queue Stack Overview Stack ADT Basic operations of stack Pushing, popping etc. Implementations of stacks using array linked list The Stack ADT A stack is a list with the restriction that insertions and

566 views • 44 slides
SPECIFICATION-BASED IDS FOR THE DNP3 PROTOCOL NOVEMBER, 12TH, 2014 HUI LIN UNIVERSITY OF

SPECIFICATION-BASED IDS FOR THE DNP3 PROTOCOL NOVEMBER, 12TH, 2014 HUI LIN UNIVERSITY OF

ANNUAL INDUSTRY WORKSHOP NOVEMBER 12-13, 2014 SPECIFICATION-BASED IDS FOR THE DNP3 PROTOCOL NOVEMBER, 12TH, 2014 HUI LIN UNIVERSITY OF ILLINOIS AT URBANA-CHAMPAIGN TRUSTWORTHY CYBER INFRASTRUCTURE FOR THE POWER GRID | TCIPG.ORG 1

746 views • 31 slides
Petri Net Modeling of the Reconfigurable Protocol Stack for Cloud Computing Control Systems Dr.

Petri Net Modeling of the Reconfigurable Protocol Stack for Cloud Computing Control Systems Dr.

Control Science and Engineering Petri Net Modeling of the Reconfigurable Protocol Stack for Cloud Computing Control Systems Dr. Naixue Xiong Georgia State Univ. GA Authors: Chunjie Zhou, Hui Chen, et al. Control Science and Engineering

934 views • 20 slides
Implemen'ng a NRG code, handling second quan'za'on

Implemen'ng a NRG code, handling second quan'za'on

Implemen'ng a NRG code, handling second quan'za'on expressions, symmetries, paralleliza'on issues Rok itko Ins'tute Joef Stefan Ljubljana, Slovenia Tools:

479 views • 31 slides
Chapter 13 Implemen ting the Ob ject-Orien ted P aradigm In this c hapter w e will

Chapter 13 Implemen ting the Ob ject-Orien ted P aradigm In this c hapter w e will

Chapter 13 Implemen ting the Ob ject-Orien ted P aradigm In this c hapter w e will discuss some of the diculties in v olv ed in implemen ting those features of Leda that are relev an t to the ob ject-orien

138 views • 9 slides
The Stack Eric McCreath The Stack The stack is a simple but useful data structure in computer

The Stack Eric McCreath The Stack The stack is a simple but useful data structure in computer

The Stack Eric McCreath The Stack The stack is a simple but useful data structure in computer science. The stack is an abstract data type that has two main operations. These are push which adds an element to the top of the stack and pop which

754 views • 8 slides
Implemen'ng)programma'c)screening)for)distress)related)to)

Implemen'ng)programma'c)screening)for)distress)related)to)

Implemen'ng)programma'c)screening)for)distress)related)to) physical)symptoms)and)emo'onal)/)psychosocial)concerns) Margaret'Fitch''''''''' ''''Jeff'Myers'''''''''''''Stephanie'Burlein6Hall' ' PURPOSE '

223 views • 3 slides
Stack ADT Tiziana Ligorio 1 Todays Plan Questons? Stack ADT 2 Abstract Data Types

Stack ADT Tiziana Ligorio 1 Todays Plan Questons? Stack ADT 2 Abstract Data Types

Stack ADT Tiziana Ligorio 1 Todays Plan Questons? Stack ADT 2 Abstract Data Types Bag List Stack 3 Stack 34 A data structure representing a stack of things Objects can be pushed onto the stack or popped from the stack

1.62k views • 116 slides
Chapter 7 Sets The problem w e will consider in this c hapter is the implemen

Chapter 7 Sets The problem w e will consider in this c hapter is the implemen

Chapter 7 Sets The problem w e will consider in this c hapter is the implemen tation of a data structure that corresp onds roughly to the notion of a in mathematics. Our purp ose is not to explain set the

487 views • 22 slides
III. CONFIDENTIALITY IV. CONFLICT OF INTEREST 1 2018-02-23 Suppor ort t to the implemen

III. CONFIDENTIALITY IV. CONFLICT OF INTEREST 1 2018-02-23 Suppor ort t to the implemen

2018-02-23 Support to the implementation of the judicial reform in Armenia legal al advis viser Jdrzej Klatka Suppor ort t to the implemen menta tati tion on of the judicial refor orms ms in Armenia I. SCOPE II. INDEPENDENCE III.

225 views • 20 slides
Fuzzing and protocol analysis case-study of DNP3 Adam Crain, Automatak Developed by Harris Corp,

Fuzzing and protocol analysis case-study of DNP3 Adam Crain, Automatak Developed by Harris Corp,

Fuzzing and protocol analysis case-study of DNP3 Adam Crain, Automatak Developed by Harris Corp, handed over to a vendor-neutral User Group in 1993. Many features have been bolted on, including security. Layered Architecture IED/RTU or

470 views • 24 slides
1 Array-based Stack (2.1.1) Algorithm pop (): if isEmpty () then A simple way of throw

1 Array-based Stack (2.1.1) Algorithm pop (): if isEmpty () then A simple way of throw

Elementary Data Structures Stacks, Queues, Vectors, Lists &amp; Sequences Trees The Stack ADT (2.1.1) The Stack ADT stores arbitrary objects Insertions and deletions Auxiliary stack follow the last-in first-out operations: scheme

473 views • 13 slides
ADT Stack 1 Stacks of Coins and Plates 2 Stacks of Rocks and Books TOP OF THE STACK TOP OF

ADT Stack 1 Stacks of Coins and Plates 2 Stacks of Rocks and Books TOP OF THE STACK TOP OF

ADT Stack 1 Stacks of Coins and Plates 2 Stacks of Rocks and Books TOP OF THE STACK TOP OF THE STACK Add, remove rock and book from the top, or else 3 Stack at logical level A stack is an ADT in which elements add added and

1.06k views • 37 slides
ADT Stack 1 Stacks of Coins and Plates 2 Stacks of Rocks and Books TOP OF THE STACK TOP OF

ADT Stack 1 Stacks of Coins and Plates 2 Stacks of Rocks and Books TOP OF THE STACK TOP OF

ADT Stack 1 Stacks of Coins and Plates 2 Stacks of Rocks and Books TOP OF THE STACK TOP OF THE STACK Add, remove rock and book from the top, or else 3 Stack at logical level A stack is an ADT in which elements add added and

679 views • 19 slides
Implemen'ng a Ring-based Real-'me Capable Network Using a

Implemen'ng a Ring-based Real-'me Capable Network Using a

Robotics Research Institute technische universitt Jun.-Prof. Dr. rer. nat. Sascha Uhrig dortmund Implemen'ng a Ring-based Real-'me Capable Network Using a Mul'threaded Java Processor

800 views • 13 slides
Call Stack Stack Bottom Memory region managed with stack discipline Procedures and the Call

Call Stack Stack Bottom Memory region managed with stack discipline Procedures and the Call

Call Stack Stack Bottom Memory region managed with stack discipline Procedures and the Call Stack higher %rsp holds lowest stack address addresses (address of &quot;top&quot; element) Topics stack grows Procedures toward lower

76 views • 5 slides
amforth : multitasking Erich W alde Forth Gesellschaft e.V. 2012 Task Control Block state

amforth : multitasking Erich W alde Forth Gesellschaft e.V. 2012 Task Control Block state

amforth : multitasking Erich W alde Forth Gesellschaft e.V. 2012 Task Control Block state (sleep or awake) follower (tid of next task) rp0 base of return stack sp0 base of data stack sp top of data stack catch/throw

539 views • 12 slides
The Impact of Maternal Death on Childrens Health and Education Outcomes Cally Ardington*

The Impact of Maternal Death on Childrens Health and Education Outcomes Cally Ardington*

The Impact of Maternal Death on Childrens Health and Education Outcomes Cally Ardington* University of Cape Town Megan Little University of Cape Town * Corresponding author: Email: cally.ardington@uct.ac.za Address: SALDRU, University of

407 views • 39 slides
Stack 7 January 2019 OSU CSE 1 Stack The Stack component family allows you to manipulate

Stack 7 January 2019 OSU CSE 1 Stack The Stack component family allows you to manipulate

Stack 7 January 2019 OSU CSE 1 Stack The Stack component family allows you to manipulate strings of entries of any (arbitrary) type in LIFO (last-in-first-out) order A kind of dual to Queue Remember, &quot;first&quot; and

451 views • 33 slides
Micro-spectroscopic investigations of the Al and S speciation in hardened cement paste 1 ,R.

Micro-spectroscopic investigations of the Al and S speciation in hardened cement paste 1 ,R.

Nuclear Energy and Safety Research Department Laboratory for Waste Management PAUL SCHERRER INSTITUT Micro-spectroscopic investigations of the Al and S speciation in hardened cement paste 1 ,R. Dhn 1 , B. Lothenbach 2 , M. Vespa 1 E.

646 views • 52 slides

More recommend