تجربه موفقی دیگر در حوزه ارزیابی امنیتی و تست نفوذ تجهیزات لایه فیلد و کنترلکننده صنعتی، در کنار همکارانی فهیم و دغدغهمند از پژوهشگاه نیروی وزارت نیرو؛ میزبان شما عزیزان در کنفرانس بینالمللی حفاظت و اتوماسیون در سیستمهای قدرت(IPAPS 2019) هستیم، همراه با اجرای عملی دموی حملات به سامانههای کنترل صنعتی حوزه برق و انرژی و معرفی راهکارهای ارزیابی امنیتی
سهشنبه و چهارشنبه 18 و 19 دیماه، دانشکده مهندسی برق دانشگاه صنعتی شریف ، غرفه پژوهشگاه نیرو
استخدام برنامه نویس وب در شرکت دانش بنیان مهندسی گسترش سامانه امن همراه با امکان گذراندن طرح نخبه وظیفه
مهلت ارسال رزومه : تا پایان دیماه 1397
✨ یکی از مباحثی که در دورههای آموزشی به مخاطبین عزیز آموزش میدهیم سوءاستفاده مهاجمین، هکرها و کلاهبردارها از تکنیکهای مهندسی اجتماعی است. مدتی پیش برایم اتفاق بسیار جالب و جدیدی افتاد که وظیفه ملی و شرعی خود دیدم که آن را به مخاطبین عزیز به اشتراک بگذارم و اسناد صوتی آن را منتشر کنم؛ اگرچه شاید بسیاری از افراد، به دلیل برخی عواقب، در اینگونه تجربیات این اسناد را منتشر ننمایند. هدف از اشتراک این تجربه این است که بهقدر بضاعت خود برای جلوگیری از این نوع کلاهبرداریها گامی برداشته باشم و مانع از این شوم که در این اوضاع وخیم اقتصادی کشور، اینگونه شیادان بهسادگی مردم را فریب دهند و از آنها کلاهبرداری نمایند.
🔍 قضیه از آنجایی آغاز شد که فردی با شماره تماس 0922***6278 با بنده تماس گرفت و مدعی شد از سازمان صداوسیما و از پخش زنده یک برنامه رادیویی تماس میگیرد و در حضور مهمان ویژهبرنامه از میان قرعهکشی همراه اول به مناسبت بیست و پنجمین سال تأسیس همراه اول اسم بنده در لیست 14 برنده مبلغ 50 میلیون ریالی بیرون آمده است. در ابتدای کار بیشترین احتمال را بر این دیدم که احتمالاً برخی دوستان عزیز دانشگاه یا همکار مشغول سرکار گذاشتن بنده هستند؛ اما هیچگاه نباید وسوسه برنده شدن در یک قرعهکشی با مبلغ متوسط به بالا را دسته کم گرفت حتی اگر شما پژوهشگر حوزه امنیت اطلاعات باشید و با شگردهای مهندسی اجتماعی و تحریک کاربران آشنا باشید.
کنجکاوی بسیار و اندک امید به واقعی بودن قرعهکشی باعث شد قضیه را ادامه دهم، بهمرور که تماس جلو میرفت متوجه غالب شگردهای مهندسی اجتماعی این کلاهبردار تقریباً حرفهای میشدم اما پیش خود میگفتم قضیه را جلو میبرم تا ببینم کجا میخواهد سر بنده کلاه بگذارد. در ادامه 4 فایل صوتی مکالمه کامل بنده با این شخص کلاهبردار محترم را منتشر میکنم (البته 4 تماس تلفنی بود که در قالب یک فایل ادغام کردهام و بخشهایی که در مسیر بودهام و صحبتی رد و بد نشده را نیز حذف کردهام). توصیه اکید بنده به شما این است که حتماً این مکالمه(لینک فایل صوتی 24 دقیقه ای) را گوش بدهید و بههیچعنوان تکنیکهای مهندسی اجتماعی را دسته کم نگیرید و همیشه خود، اطرافیان و بستگانتان را از تکنیکهای جدید مهندسی اجتماعی و کلاهبرداری آگاه سازید، چراکه هرروز شگردهای جدیدی را این نوابغ کلاهبرداری میآموزند و از آنها برای سوءاستفاده از مردم بهره میبرند. قطعاً از زمانی که در حین مکالمات به کلاهبرداری بودن مسئله اطمینان پیدا کردم اطلاعاتی که فرد کلاهبردار دادم غیرواقعی است اما تا پای دستگاه خودپرداز این قضیه را ادامه دادم.
نظر به اهمیت تهدیدات سایبری در حوزه صنایع حیاتی، حساس و مهم و تاریخچه حملات سایبری به کشور، توجه به حملات سایبری به صنایع و زیرساختهای حیاتی سایر کشورها باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکههای کنترل صنعتی (واحدهای بهرهبردار، نگهداری و ...) قرار گیرد. در این گزارش که بسیار فوری گردآوری و ارائهشده است تلاش نمودیم که حمله اخیر بدافزار GreyEnergy به شبکههای کنترل و اتوماسیون صنعتی اکراین و لهستان را به شکل عمومی به اطلاع صنایع و زیرساختهای حیاتی کشور برسانیم.
GreyEnergy بدافزاری جدیدی است از نوع مانای پیشرفته (APT) که چند روز پیش برای اولین بار توسط شرکت امنیتی ESET شناساییشده است و هدف آن سامانههای کنترل صنعتی و زیرساختهای حیاتی است. عملیات اصلی این بدافزار جاسوسی سایبری است. تاریخ دقیق شناسایی این بدافزار 18 اکتبر 2018 است اما بر اساس شواهد موجود این بدافزار سه سال فعالیت میکرده است. طبق معمول بهعنوان اولین پایگاه اطلاعرسانی در کشور، در حوزه سامانههای کنترل صنعتی، این اطلاعرسانی را به شکل رایگان منتشر میکنیم، چراکه وظیفه ملی و شرعی خود میدانیم که در حد بضاعت خود برای ارتقاء امنیت سایبری کشور گام برداریم؛ امیدواریم اقدامات لازم برای پیشگیری از انتشار و گسترش این بدافزار در صنایع کشور صورت گیرد. در صورت گسترش آلودگی این بدافزار به داخل کشور قطعاً شاهد چالشهای اطلاعاتی جدیدی در برخی صنایع و زیرساختهای حیاتی کشور خواهیم بود. در بخش بعدی این سند به معرفی دوره آموزشی «الزامات امنیت در سامانههای کنترل صنعتی و اسکادا» خواهیم پرداخت.
در این گزارش به موارد ذیل پرداخته شده است:
1. مقدمه
2. حمله بدافزار GreyEnergy به زیرساختهای حیاتی صنعتی
2-1- گزارش بررسی اجمالی بدافزار GreyEnergy
2-2- جزئیات بیشتر بدافزار GreyEnergy
2-3- مروری بر بدافزار Blackenergy
2-4- توصیهها و راهحلهای امنیتی
3. معرفی دوره آموزشی (40 ساعته): «الزامات امنیت در سامانههای کنترل صنعتی و اسکادا»
3-1- دستاورد علمی و عملی شرکتکنندگان از این دوره
3-2- سرفصلهای کلان این دوره
3-3- سرفصلهای جزئی این دوره (منطبق بر SANS ICS410-2016)
3-4- جزئیات این دوره آموزشی
3-5- مخاطبین
گزارش کامل این آسیب پذیری از طریق این لینک قابل دانلود است.
در سالهای اخیر با گسترش فناوری شاهد حرکت سامانههای فناوری اطلاعات (IT) و سامانههای فناوری عملیاتی (OT) بهسوی یکدیگر بودهایم. از این پدیده بهعنوان یکی از همگراییهای فرایندهای سایبری با فرایندهای فیزیکی با عنوان تلاقی سایبر-فیزیکی یاد میشود. سامانههای کنترل صنعتی که در صنعت و زیرساختهای حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکتهای محدود و انحصاری تولید میگردند. این سامانهها درگذشته بهصورت جدا از سایر سامانههای دیگر به کار گرفته میشدند و این امر روشی در امن سازی این سامانهها قلمداد میگردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرفکنندگان این سامانهها را از پرداختن به سایر لایههای امنیتی غافل کرده بود. استفاده از معماری و پروتکلهای غیر امن و واسطهای غیراستاندارد را میتوان از نتایج این رویکرد دانست [1]. به دلیل نیازمندیهای جدید و توسعه فناوری امروزه این قبیل سامانههای صنعتی، بهتدریج با انواع جدیدتر جایگزین و یا بهروزرسانی میگردند. در سامانههای جدید از پروتکلها و نقاط دسترسی ارتباطی مشترک در شبکهها استفاده میگردد [1]. به علت تفاوتهای متعدد میان امنیت در فضای فناوری اطلاعات (IT) و امنیت در فضای فناوری عملیاتی (OT ) لزوماً نمیتوان راهکارهای عمومی حوزهی سایبری را به حوزهی سایبر-فیزیکی منتقل کرد [1].
در غالب صنایع و زیرساختهای حیاتی شاهد بهکارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچهای لایه دو و لایه سه، هابها، بریجها، تقویتکنندههای ارتباطی کارتهای شبکه و حتی مسیریابها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکهها به کار گرفته میشوند در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساختهای حیاتی کشور خواهیم بود. ازاینرو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکههای کنترل صنعتی (واحدهای بهرهبردار و نگهداری) قرار گیرد. در این سند در بخش دوم به بررسی اجمالی حمله بدافزار VPNFilter به سایت صنعتی تولید کلر در اوکراین میپردازیم، در بخش سوم به معرفی ارائه «حملات کنترل صنعتی، از حرف تا عمل» خواهیم پرداخت که انشا الله قصد داریم در روز سهشنبه، ششم شهریورماه (ساعت 11 الی 12)، در محل نمایشگاههای پانزدهمین کنفرانس بینالمللی انجمن رمز ایران (تهران، دانشگاه شهید رجایی) آن را ارائه نماییم. در بخش چهارم به بررسی اجمالی آسیبپذیری حیاتی مسیربابهای میکروتیک خواهیم پرداخت.
در این گزارش 38 صفحه ای به موارد ذیل پرداخته شده است:
در سالهای اخیر با گسترش فناوری شاهد حرکت سامانههای فناوری اطلاعات (IT) و سامانههای فناوری عملیاتی (OT) بهسوی یکدیگر بودهایم. از این پدیده بهعنوان یکی از همگراییهای فرایندهای سایبری با فرایندهای فیزیکی با عنوان تلاقی سایبر-فیزیکی یاد میشود. در یک دهه گذشته به دلیل افزایش حملات سایبری به زیرساختهای حیاتی، امنیت سامانههای کنترل و اتوماسیون صنعتی بسیار موردتوجه قرارگرفته است و در نشستها و محافل بسیاری شاهد صحبت از این نوع حملات هستم. نکتهای که بسیار قابلتوجه است این است که واقعاً در عمل، چگونه انجام یک حمله به سامانههای کنترل صنعتی باوجود بسترهای ارتباطی سنتی آنالوگ و بسترهای به نسبت جدید دیجیتال ممکن است. بهراستی حملاتی نظیر Stuxnet، Industroyer، Triton و VPNFilter در عمل از چه بردارهای حملهای استفاده میکنند؟ آیا همانطور که در بسیاری از محافل بیان میشود، به همان سهولتی که میتوان به یک شبکه غیرصنعتی نفوذ و حمله نمود، به یک شبکه صنعتی با تجهیزاتی نظیر PLC،RTU،HMI و غیره نیز میتوان نفوذ کرد؟ آیا واقعاً میتوان تمامی حملات فراگیر در حوزه فناوری اطلاعات را در حوزه کنترل صنعتی اجرایی کرد؟
جهت کمک به شفاف نمودن مسائل مطرحشده فوق، انشا الله قصد داریم در روز سهشنبه، ششم شهریورماه (ساعت 11 الی 12)، در محل نمایشگاههای پانزدهمین کنفرانس بینالمللی انجمن رمز ایران (تهران، دانشگاه شهید رجایی) ارائهای با مضمون پیادهسازی حملات پایه در شبکههای کنترل صنعتی ارائه نماییم. هدف این ارائه فنی و عملی این است که بهاجمال چند سناریو حمله (حملات شناسایی، ممانعت از خدمات و مردی در میان) بر روی بستر آزمایشی(Test Bed) تجهیزات زیمنس و اشنایدر، اجرا گردد، چالشهای آنها مطرح شود و برخی سازوکارهای امنیتی آنها نمایش داده شود. بهعنوان نمونه دریکی از این سناریوها تلاش خواهیم کرد نشان دهیم چگونه در صورت نفوذ به سامانه صنعتی میتوان به نحوی اطلاعات شبکه را مخدوش نماییم که بدون اطلاع اپراتور، اطلاعات HMI با اطلاعات چرخش موتور در تناقض باشد. از تمامی مدیران، متولیان و مسئولان محترم صنایع که برای این کنفرانس برنامه دارند، دعوت میشود در این برنامه یکساعته شرکت نمایند.
پذیرش مقاله "A Novel Approach for Detecting DGA-based Ransomwares " در پانزدهمین کنفرانس بین المللی انجمن رمز ایران را خدمت تیم محترم آزمایشگاه طراحی و تحلیل سیستمهای امن دانشگاه صنعتی امیرکبیر(جناب دکتر حمیدرضا شهریاری ،جناب مهندس سعید صالحی، سرکار خانم مهندس تازیک )تبریک عرض می کنم و و موفقیت روز افزون شما عزیزان را از خداوند متعال خواستارم. پانزدهمین دوره کنفرانس بین المللی انجمن رمز ایران از ۶ تا ۷ شهریور ماه سال ۱۳۹۷ توسط دانشکده مهندسی برق دانشگاه تربیت دبیر شهید رجایی در تهران برگزار خواهد شد. شایان ذکر است که امسال تنها 28 مقاله در این کنفرانس پذیرفته شده است؛ برای مشاهده فهرست مقالات پذیرفته شده به این لینک مراجعه فرمایید.علاقه مندان به مباحث مختلف امنیت اطلاعات می توانند در این کنفرانس شرکت نمایند.
با ما دوره آموزشی عملی « الزامات امنیت در سامانه های کنترل صنعتی و اسکادا» را تجربه کنید. این دوره منطبق بر سرفصل های رسمی دوره SANS ICS410: ICS/SCADA Security Essentials ارائه می شود.
جهت مشاهده و دانلود سند معرفی این دوره آموزشی بر روی این لینک کلیک نمایید.
سرفصل های کلان این دوره (سرفصل های جزئی این دوره در پروپوزال تقدیم می گردد) :
در این پست یک پادکست با عنوان «دنیای صنعتی در معرض بحران امنیتی است» را معرفی خواهیم کرد. در این پادکست با Eddie Habibi، مدیرعامل شرکت امنیتی PAS یک مصاحبه صورت گرفته است و وی به اختصار به بحث امنیت سیستم های کنترل صنعتی می پردازد و به برخی سوالات پاسخ می دهد. زبان این پادکست انگلیسی است .در این پادکست به موضوعات ذیل پرداخته می شود:
