امنیت سایبری شبکه صنعتی: گزارش بررسی اجمالی آسیب‌پذیری سوئیچ‌های صنعتی زیمنس (‏ CVE-2018-4833)

 

سامانه‌های کنترل صنعتی که در صنعت و زیرساخت‌های حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکت‌های محدود و انحصاری تولید می‌گردند. این سامانه‌ها درگذشته به‌صورت جدا از سایر سامانه‌های دیگر به کار گرفته می‌شدند و این امر روشی در امن سازی این سامانه‌ها قلمداد می‌گردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرف‌کنندگان این سامانه‌ها را از پرداختن به سایر لایه‌های امنیتی غافل کرده بود. استفاده از معماری و پروتکل‌های غیر امن و واسط‌های غیراستاندارد را می‌توان از نتایج این رویکرد دانست [1].به دلیل نیازمندی‌های جدید و توسعه فناوری امروزه این قبیل سامانه‌های صنعتی، به‌تدریج با انواع جدیدتر جایگزین و یا به‌روزرسانی می‌گردند. در سامانه‌های جدید از پروتکل‌ها و نقاط دسترسی ارتباطی مشترک در شبکه‌ها استفاده می‌گردد [1]. به علت تفاوت‌های متعدد میان امنیت در فضای فناوری اطلاعات ( IT) و امنیت در فضای فناوری عملیاتی  (OT[1] ) لزوماً نمی‌توان راهکارهای عمومی حوزه‌ی سایبری را به حوزه‌ی سایبر-فیزیکی منتقل کرد[1].

 

 

 در غالب صنایع و زیرساخت‌های حیاتی شاهد به‌کارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچ‌های لایه دو و لایه سه، هاب‌ها، بریج‌ها، تقویت‌کننده‌های ارتباطی کارت‌های شبکه و حتی مسیریاب‌ها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکه‌ها به کار گرفته می‌شوند در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساخت‌های حیاتی کشور خواهیم بود. ازاین‌رو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکه‌های کنترل صنعتی(واحد‌های بهره بردار و نگه‌داری) قرار گیرد.

 در این سند در  بخش دوم به بررسی اجمالی آسیب‌پذیری سوئیچ‌های صنعتی زیمنس (‏  CVE-2018-4833) می‌پردازیم،  در بخش سوم در راستای پاسخ به سوال یکی از مخاطبان گرامی به گزینش دوره‌های پیشرفته امنیت کنترل و اتوماسیون صنعتی درکشور خواهیم پرداخت .در بخش چهارم مجموعه فیلم حوادث و حملات سایبر-فیزیکی به سامانه‌های کنترل صنعتی را معرفی خواهیم کرد و نهایتا در بخش پنجم به سوء برداشتی که در بین برخی مدیران صنایع و زیرساخت‌های حیاتی وجود دارد خواهیم پرداخت.

 

امنیت اسکادا: معیارهای گزینش دوره‌های پیشرفته امنیت کنترل و اتوماسیون صنعتی درکشور

 

 

اخیراً جناب کاظم زاده،یکی از مخاطبین گرامی سمینارها، در این پست پرسش ذیل را مطرح نمودند:

 

 

 

 

 

بخش‌هایی از این نظر که با * مشخص شده، توسط مدیر سایت حذف شده است

 

 

سلام جناب دکتر احمدیان

 

 

از مقالات آموزشی شما بسیار ممنونم. بنده و همکاران در سمینار اخیر شما حضور داشتیم و استفاده فراوان بردیم. سوالی در مورد دوره آموزشی امنیت کنترل صنعتی sans داشتم، در پروپوزال دوره آموزشی شما سرفصل های sans پوشش داده نشده است، می خواستم بدانم چرا؟ در دوره های دیگر موجود در ایتترنت نظیر دوره های **** *** ***** **** * **** *****  این سرفصل ها پوشش داده شده است.  آیا شما نیز این دوره ها را ارائه می کنید؟ شما کدام دوره را توصیه می کنید؟

 

 

 

 

 

 در مورد این سؤال به‌تفصیل پاسخ می‌دهم چون این مسئله چند ماهی است در چندین جلسه و محفل دیگر نیز مطرح‌شده است و خالی از لطف نیست که یک‌بار به شکل مفصل به آن پاسخ دهم.نخست باید به این نکته اشاره‌کنم که دوره‌های امنیت کنترل صنعتی غالباً در دو سطح برگزار می‌شوند؛ سطح نخست عمومی (دوره‌های مقدماتی) است که این دوره غالباً به شکل کاملاً نظری برگزار می‌شود، سطح دوم دوره‌های پیشرفته است که این دوره‌های باید به شکل نظری و عملی برگزار شوند. آنچه در ادامه مطرح می‌کنم معیارها و نیازمندی‌هایی است که یک دوره پیشرفته (مانند دوره‌های مشابه SANS) باید داشته باشد و شما چنانچه نیاز به برگزاری این دوره‌های تخصصی دارید فارغ از اینکه چه مدرس یا مدرسینی آن را ارائه می نمایند شرایط ذیل را برای انتخاب دوره و مدرس بررسی نمایید و در نظر بگیرید.

امنیت اتوماسیون صنعتی و اسکادا: افشاء اطلاعات زیرساخت های حیاتی از طریق مستند تلویزیونی

در این ارائه به بررسی اجمالی مستند «آفتاب نهان» از زاویه نشت اطلاعات سایبر-فیزیکی صنایع و زیرساخت‏های حیاتی کشور می‌پردازیم. این مستند به گفته تهیه‌کنندگان آن اولین مجله تصویری صنعت هسته‌ای کشور محسوب می‌شود که در قالب 23 قسمت (هر قسمت تقریباً 28 دقیقه) از شبکه مستند پخش‌شده است و در کنار همه نقاط قوت و اهدافی که داشت و قطعاً متصدیان آن برای آن زحمت بسیاری کشیده‌اند متأسفانه به اعتقاد ما اطلاعات بسیاری را از صنایع هسته‌ای و صنایع وابسته، ازجمله پتروشیمی را در معرض دسترس عموم قرار داده است! می‌دانیم که حجم عظیمی از اطلاعات و داده‏های مهم صنایع کشور و شرکت‏های تابعه در فضای اینترنت و شبکه‌های مجازی به سهولت قابل‌دسترسی است: این اطلاعات شامل اطلاعات دارایی‌ها (تجهیزات، سازندگان، پروتکل‏ها، نرم‌افزارها و ...)، اطلاعات فرایند‏ها، اطلاعات ارتباطات، اطلاعات آزمایشگاه‏های امنیت سایبر-فیزیکی (اطلاعات، شبکه، امواج، شیمایی و غیره)، اطلاعات پیمانکاران و تصاویر و فیلم دارایی‌ها است که از طرق مختلف ازجمله وب‏سایت‏های رسمی صنایع و شرکت‏های تابعه، وب‏سایت‏های خبری (تصاویر بازدیدها و پروژه‏ها)، مقالات کنفرانس‏ها، ژورنال‌ها و مجلات، گروه‏ها تلگرامی و دیگر شبکه‏های اجتماعی در دسترس است و متأسفانه حالا مستندهای تلویزیونی نیز به این منابع اطلاعاتی اضافه‌شده است. ما بارها این مسئله را تذکر داده‌ایم و به‌تفصیل در این مورد در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز، پالایش و پتروشیمی در 27 دی 1396 صحبت کردیم! فایل (اسلایدها) این ارائه از طریق لینک ذیل قابل‌دسترسی است:

مشاهده فایل ارائه

امنیت سیستمهای کنترل صنعتی و اسکادا: گزارش بررسی آسیب پذیری های تجهیزات شبکه و توجه به اهمیت آن

سامانه‌های کنترل صنعتی که در صنعت و زیرساخت‌های حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکت‌های محدود و انحصاری تولید می‌گردند. این سامانه‌ها درگذشته به‌صورت جدا از سایر سامانه‌های دیگر به کار گرفته می‌شدند و این امر روشی در امن سازی این سامانه‌ها قلمداد می‌گردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرف‌کنندگان این سامانه‌ها را از پرداختن به سایر لایه‌های امنیتی غافل کرده بود. استفاده از معماری و پروتکل‌های غیر امن و واسط‌های غیراستاندارد را می‌توان از نتایج این رویکرد دانست [1].

به دلیل نیازمندی‌های جدید و توسعه فناوری امروزه این قبیل سامانه‌های صنعتی، به‌تدریج با انواع جدیدتر جایگزین و یا به‌روزرسانی می‌گردند. در سامانه‌های جدید از پروتکل‌ها و نقاط دسترسی ارتباطی مشترک در شبکه‌ها استفاده می‌گردد [1]. در غالب صنایع و زیرساخت‌های حیاتی شاهد به‌کارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچ‌های لایه دو و لایه سه، هاب‌ها، بریج‌ها، تقویت‌کننده‌های ارتباطی کارت‌های شبکه و حتی مسیریاب‌ها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکه‌ها به کار گرفته می‌شوند و در بسیاری از ارزیابی‌های که ما از صنایع کشور داشته‌ایم شاهد عدم پیاده‌سازی مکانیزم‌های HA برای این تجهیزات بوده‌ایم در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساخت‌های حیاتی کشور خواهیم بود. ازاین‌رو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکه‌های کنترل صنعتی قرار گیرد. لذا در این سند قصد داریم بعد از بیان نوشته اخیر دیل پترسون  در رابطه با استاکس‌نت، نمونه‌ای از آسیب‌پذیری‌های برخی از تجهیزات شبکه‌ای فراگیر در صنایع و زیرساخت‌های حیاتی کشور (تجهیزات موکسا، زیمنس و سیسکو) را موردبررسی قرار دهیم.

 در انتها در بخش پنجم این سند، به دلیل فراگیری تجهیزات سیسکو در کشور و از سویی اهمیت حمله اخیر به این تجهیزات گزارشی اجمالی از حمله به تجهیزات سیسکو دارای آسیب‌پذیری CVE-2018-0171 آن قرار داده‌ام تا ضمن مرور مختصر این حمله به نکات قابل‌توجه این حمله و نقاط ضعف خود در کشور پی ببریم و بتوانیم این نقاط ضعف را در برنامه‌های امن‌سازی صنایع کشور مدنظر قرار دهیم تا قبل از اینکه این‌گونه‌ حملات را در صنایع کشور شاهد باشیم توانسته باشیم برای پیشگیری از آن و مقابله با آن برنامه‌ریزی کرده باشیم.

 

در این گزارش 51 صفحه ای به موارد ذیل پرداخته  شده است:

امنیت سایبری شبکه کنترل صنعتی و اسکادا: گزارش آسیب پذیری حیاتی در PLC WAGO CoDeSys

 

 

اخیراً آسیب‌پذیری با سطح مخاطره حیاتی از نوع احراز اصالت نامناسب در نرم‌افزار[1] CoDeSys شناسایی شد که محصولات WAGO PFC200 را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری این امکان را به مهاجمین می‌دهد که در صورت بهره‌جویی[2] موفق بتوانند به شکل غیرمجاز به کنترل‌کننده (PLC) وصل شده و انواع دستورات و عملیات غیرمجاز را به شکل راه دور و از طریق درگاه[3] TCP شماره 2455 انجام دهند؛ این دستورات شامل خواندن، نوشتن و پا کردن فایل‌ یا دست‌کاری برنامه کنترل‌کننده (PLC) در حین اجرا است.

در گزارشی 19 صفحه ای که برای این آسیب پذیری آماده کرده به موارد ذیل پرداخته  خواهد شد:

 

• 1.مشخصات آسیب‌پذیری
• 2. معرفی آسیب‌پذیری
• 3.گزاش فنی آسیب‌پذیری
• 4.محصولات تحت تأثیر
• 5.کدهای بهره‌جویی منتشرشده
• 6.تاریخچه آسیب‌پذیری‌های محصولات تحت تأثیر
• 7.توصیه‌ها و راه‌حل‌های امنیتی
• 8.درس‌هایی از این آسیب‌پذیری
• ضمیمه الف: آسیب‌پذیری و انواع آن
• ضمیمه ب: توصیه‌های در مورد به‌روزرسانی تجهیزات و وصله‌های امنیتی
• ضمیمه ج: اصول سه گانه‌ی امنیت

گزارش کامل این آسیب پذیری از طریق این لینک قابل دانلود است.

امنیت سایبری سیستمهای کنترل صنعتی : تجهیزات Lantronix کنترل صنعتی(اتوماسیون صنعتی) متصل به اینترنت

در تصویر پایین چهار نمودار با عنوان های ذیل مشاهده می کنید:

 

• مقایسه انواع تجهیزات کنترل صنعتی متصل به اینترنت در سال های 2016 و 2017
• تعداد آسیب پذیری های جدید  تجهیزات کنترل صنعتی به تفکیک سال
• تعداد تجهیزات کنترل صنعتی متصل به اینترنت به تفکیک سازنده
• جایگاه آسیب پذیری های جدید  تجهیزات کنترل صنعتی

 

 تعداد8,733 تجهیز شرکت لنترونیکس،  با حق دسترسی مدیریتی به اینترنت وصل است که بسیاری از آنها بدون رمزعبور اند!بسیاری از این تجهیزات در سامانه های کنترل صنعتی استفاده می شود؛ درصدد قابل توجهی از تجهیزات صنعتی  با استفاده از درگاه سریال  تنظیم می‌شوند و محصولات مبدل لنترونیکس امکان ارتباط با این تجهیزات را از طریق شبکه بازیرساخت اترنت  فراهم می کند. در کشور ما، 21 تجهیز در حال حاضر با این شرایط در اینترنت شناسایی شده اند که یکی از آنها در زیرساختهای صنعتی بوشهر قرار دارد!اگر در صنعت یا سازمان شما از این تجهیز استفاده می شود و آن را امن سازی نکرده اید هر چه سریعتر دست به کار شوید!

امنیت سایبری سیستم کنترل صنعتی: حمله بدافزار VPNFilter به سایت صنعتی تولید کلر در اوکراین

در اوایل ماه می میلادی اسکن‌های TCP فراوانی روی درگاه‌های شماره‌های ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ مسیریاب‌ها و تجهیزات ذخیره‌ساز شبکه (NAS ) تولیدشده توسط شرکت‌های Mikrotik، ASUS، D-Link،TP-Link، Linksys، QNAP،Huawei، Ubiquiti، UPVEL و ZTE در بیش از ۱۰۰ کشور مشاهده‌شده است. گزارش‌های اولیه در ماه می میلادی حاکی از آلودگی بالغ‌بر 500 هزار دستگاه در دنیا بوده است. این بدافزار دارای قابلیت‌های راه‌اندازی مجدد تجهیزات هدف (حمله ممانعت از خدمات)، رصد ترافیک عبوری و جلوگیری از ارسال داد‌ه‌ها است.

اگرچه قربانیان اولیه‌ی بدافزار VPNFilter کاربران و شرکت‌های ISP کوچک و متوسط بودند اما شواهد حاکی از این دارد که احتمالاً به دلیل قدرت بسیار بالای این بدافزار، تیم سازنده بدافزار یا تیم دیگری که به کد منبع آن دسترسی داشته است از آن برای حمله به شبکه‌های کنترل صنعتی و زیرساخت‌های شبکه‌ای که بستر عبور ترافیک‌های صنعتی (خاص پروتکل مدباس) هستند استفاده نمودند. در این راستا یک پلاگین خاص برای تحلیل و شناسایی پروتکل مدباس طراحی و پیاده‌سازی شده است. می‌دانیم مدباس قدیمی‌ترین پرکاربردترین پروتکل ارتباطی برای سامانه‌های کنترل صنعتی است. مدباس به‌طور گسترده به‌عنوان یک استاندارد به کار گرفته‌شده است و طی سال‌ها تکامل‌یافته و نسخه‌های متفاوتی از آن به وجود آمده است.

جهت مشاهده  متن کامل گزارش این بدافزار(مراحل حمله، محصولات تحت تاثیر، توصیه ها و غیره) به فصل دوم سند گزارش اخیر بنده(ICS-SR-MMA-970502) مراجعه نمایید.

 

امنیت سیستمهای کنترل صنعتی و اسکادا: ویدئو مصاحبه بعد از سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز)

سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز) در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز ،پالایش و پتروشیمی در 27 دی  در مرکز همایش های بین المللی شهید بهشتی  تهران با حضور مدیران، متولیان و متخصصین شبکه های کنترل صنعتی صنایع مربوطه برگزار گردید و مورد استقبال مطلوبی در این کنفرانس و فضای مجازی قرار گرفت. در پایان این سخنرانی مصاحبه ای از سوی دبیرخانه محترم کنفرانس و جناب آقای منصور گنجی (ماهنامه شبکه)  انجام گرفت که ضمن تشکر از جناب گنجی بزرگوار و جناب  بیدختی عزیز،  شما را به  مشاهده ویدئوی این مصاحبه دعوت می‌کنم.

برخی سوالات که در این مصاحبه به آن پرداخته شد :

 

 

 

• مختصری از  مقدمه سخنرانی مربوطه (بخش چالش های امنیتی در صنایع کشور)...؟
• برخی راهکارها پیشنهادی برای صنایع و زیرساخت های حیاتی...؟ 
• برخی راهکارها برای علاقه مندان و گروه هایی که به دنبال فراگیری امنیت در حوزه اتوماسیون صنعتی(صنایع و سامانه های کنترل صنعتی آنها) اند ...؟

 

لینک مشاهده و دانلود مصاحبه در آپارات

ارزیابی امنیت سیستم های کنترل صنعتی:بخشی از سوالات چک لیست ارزیابی امنیتی مرحله پیاده سازی پروتکل IEC 60870-5-104

در تصویر  فوق بخشی از سوالات چک لیست ارزیابی امنیتی  مرحله پیاده سازی  پروتکل کنترل صنعتی IEC 60870-5-104  را مشاهده می کنیم. استفاده از سوالات چک لیست ها یکی از روش های مرسوم در  ارزیابی امنیتی سامانه های مختلف است که به شکل دستی یا نرم افزاری انجام می شود. این چک لیست بخشی از فصل 4  کتاب «پروتکل کنترل صنعتی IEC 60870-5-104 از منظر امنیت سایبری» است در از طریق این لینک می توانید با آن آشنا شوید.

پروتکل IEC 60870-5-104 که به طور مخفف در این کتاب به آن T104  گفته می شود در استاندارد مرجع با عنوان کلی «دسترسی به شبکه با استفاده از روش‌های انتقال استاندارد» مطرح است که مشخص کننده نحوه استفاده از پروتکل TCP/IP در این استاندارد است. این استاندارد ضمیمه جهت سیستم‌های اسکادای برق طراحی شد و به عنوان یک واسط باز TCP/IP برای ارتباط بین تجهیزات مختلف در شبکه‌های اینترانت و اینترنت استفاده می‌شود . یکی از مهم‌ترین ویژگی‌های مورد توجه پروتکل T104 امکان ارتباط با شبکه‌های استاندارد (به ویژه شبکه‌های TCP/IP) است که اجازه انتقال همزمان داده‌های چندین دستگاه و خدمت را می‌دهد. T104 کاربردهای متعددی در صنایع و زیرساخت های حیاتی از جمله انتقال دستورهای مستقیم، انتقال فوری داده‌ها، انتقال داده در صورت نیاز، همزمان سازی ساعت و انتقال فایل را فراهم می‌کند[1].
 

امنیت سایبری سامانه های کنترل صنعتی و اسکادا : دوره های آموزشی امن سازی سیستم های کنترل صنعتی در سطح پیشرفته

با ما دوره های آموزشی امن سازی سامانه های کنترل صنعتی را در سطح پیشرفته تجربه کنید. همراه با اجرای حملات و مشاهده زنده راهکارها و محصولات امنیتی           

 

• همراه با  اجرای حملات و رخدادهای سایبر-فیزیکی در بسترهای آزمایشی(Test Beds) واقعی صنایع متعدد ؛  جهت ایجاد درکی مملوس از حملات و پیامد آنها برای  مدیران، متولیان، کارشناسان و متخصصین  شبکه های کنترل صنعتی
• همراه با  ارائه راهکارهای امن سازی و محصولات امنیتی با اجرای  زنده و پیاده سازی آنها در بسترهای تحت حمله
• حملات و راهکارهای امنیتی ما بر اساس روش های به روز علمی و عملی دنیا ارائه می شود و پشتوانه آن  کتب و مقالات دانشگاهی معتبر، نظیر منابع ذیل است که توسط تیم مدرسین دوره  در مجامع علمی معتبر ارائه و پذیرش شده اند :

1. Ahmadian M. M. et. al., Towards Identification of IEC 60870-5-104 Protocol Security Vulnerabilities and    Threats . In Information Security and Cryptology ISCISC 2017 . IEEE.

2. Ahmadian M. M. et. al., From Cyber Security Perspective, IEC 60870-5-104 Industrial Control System          Protocol, 2018.

3. Ahmadian M. M. et. al., Implementation of the software testing environment for attacks against the Modbus Protocol . In Information Security and Cryptology ISCISC 2017 . IEEE.

4. Ahmadian M. M. et. al.,  2entFOX: A framework for high survivable ransomwares detection. In Information Security and Cryptology ISCISC 2016 . IEEE.

5. Nasiri A.,  Ahmadian M. M. ,  Combination of Fault Tolerant Controller and Gyro Bias Observer in Satellite Attitude Determination System, 21st Computer Science and Software Engineering Conference (CSSE 2017).