زمانی که مدیر(مدیران) ناآگاه یک صنعت یا یک سازمان ، پروژه ارزیابی امنیتی که حداقل یک ماه زمان (مثلاً) میبرد را در یک هفته توقع دارد انجام دهیم، یا پروژه امن سازی که شش ماه (مثلاً) زمان میبرد را در یک ماه میخواهد تحویل دهیم، راهی باقی نمیماند جز اینکه این فیلم را برایشان نمایش دهیم. مدیر عزیز، سرپرست گرامی:«تو خود بخوان حدیث مفصل ازاین مجمل!»
سامانههای کنترل صنعتی که در صنعت و زیرساختهای حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکتهای محدود و انحصاری تولید میگردند. این سامانهها درگذشته بهصورت جدا از سایر سامانههای دیگر به کار گرفته میشدند و این امر روشی در امن سازی این سامانهها قلمداد میگردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرفکنندگان این سامانهها را از پرداختن به سایر لایههای امنیتی غافل کرده بود. استفاده از معماری و پروتکلهای غیر امن و واسطهای غیراستاندارد را میتوان از نتایج این رویکرد دانست [1].به دلیل نیازمندیهای جدید و توسعه فناوری امروزه این قبیل سامانههای صنعتی، بهتدریج با انواع جدیدتر جایگزین و یا بهروزرسانی میگردند. در سامانههای جدید از پروتکلها و نقاط دسترسی ارتباطی مشترک در شبکهها استفاده میگردد [1]. به علت تفاوتهای متعدد میان امنیت در فضای فناوری اطلاعات ( IT) و امنیت در فضای فناوری عملیاتی (OT[1] ) لزوماً نمیتوان راهکارهای عمومی حوزهی سایبری را به حوزهی سایبر-فیزیکی منتقل کرد[1].
در غالب صنایع و زیرساختهای حیاتی شاهد بهکارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچهای لایه دو و لایه سه، هابها، بریجها، تقویتکنندههای ارتباطی کارتهای شبکه و حتی مسیریابها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکهها به کار گرفته میشوند در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساختهای حیاتی کشور خواهیم بود. ازاینرو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکههای کنترل صنعتی(واحدهای بهره بردار و نگهداری) قرار گیرد.
در این سند در بخش دوم به بررسی اجمالی آسیبپذیری سوئیچهای صنعتی زیمنس ( CVE-2018-4833) میپردازیم، در بخش سوم در راستای پاسخ به سوال یکی از مخاطبان گرامی به گزینش دورههای پیشرفته امنیت کنترل و اتوماسیون صنعتی درکشور خواهیم پرداخت .در بخش چهارم مجموعه فیلم حوادث و حملات سایبر-فیزیکی به سامانههای کنترل صنعتی را معرفی خواهیم کرد و نهایتا در بخش پنجم به سوء برداشتی که در بین برخی مدیران صنایع و زیرساختهای حیاتی وجود دارد خواهیم پرداخت.
سامانههای کنترل صنعتی که در صنعت و زیرساختهای حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکتهای محدود و انحصاری تولید میگردند. این سامانهها درگذشته بهصورت جدا از سایر سامانههای دیگر به کار گرفته میشدند و این امر روشی در امن سازی این سامانهها قلمداد میگردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرفکنندگان این سامانهها را از پرداختن به سایر لایههای امنیتی غافل کرده بود. استفاده از معماری و پروتکلهای غیر امن و واسطهای غیراستاندارد را میتوان از نتایج این رویکرد دانست [1].
به دلیل نیازمندیهای جدید و توسعه فناوری امروزه این قبیل سامانههای صنعتی، بهتدریج با انواع جدیدتر جایگزین و یا بهروزرسانی میگردند. در سامانههای جدید از پروتکلها و نقاط دسترسی ارتباطی مشترک در شبکهها استفاده میگردد [1]. در غالب صنایع و زیرساختهای حیاتی شاهد بهکارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچهای لایه دو و لایه سه، هابها، بریجها، تقویتکنندههای ارتباطی کارتهای شبکه و حتی مسیریابها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکهها به کار گرفته میشوند و در بسیاری از ارزیابیهای که ما از صنایع کشور داشتهایم شاهد عدم پیادهسازی مکانیزمهای HA برای این تجهیزات بودهایم در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساختهای حیاتی کشور خواهیم بود. ازاینرو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکههای کنترل صنعتی قرار گیرد. لذا در این سند قصد داریم بعد از بیان نوشته اخیر دیل پترسون در رابطه با استاکسنت، نمونهای از آسیبپذیریهای برخی از تجهیزات شبکهای فراگیر در صنایع و زیرساختهای حیاتی کشور (تجهیزات موکسا، زیمنس و سیسکو) را موردبررسی قرار دهیم.
در انتها در بخش پنجم این سند، به دلیل فراگیری تجهیزات سیسکو در کشور و از سویی اهمیت حمله اخیر به این تجهیزات گزارشی اجمالی از حمله به تجهیزات سیسکو دارای آسیبپذیری CVE-2018-0171 آن قرار دادهام تا ضمن مرور مختصر این حمله به نکات قابلتوجه این حمله و نقاط ضعف خود در کشور پی ببریم و بتوانیم این نقاط ضعف را در برنامههای امنسازی صنایع کشور مدنظر قرار دهیم تا قبل از اینکه اینگونه حملات را در صنایع کشور شاهد باشیم توانسته باشیم برای پیشگیری از آن و مقابله با آن برنامهریزی کرده باشیم.
در این گزارش 51 صفحه ای به موارد ذیل پرداخته شده است:
در تصویر پایین چهار نمودار با عنوان های ذیل مشاهده می کنید:
تعداد8,733 تجهیز شرکت لنترونیکس، با حق دسترسی مدیریتی به اینترنت وصل است که بسیاری از آنها بدون رمزعبور اند!بسیاری از این تجهیزات در سامانه های کنترل صنعتی استفاده می شود؛ درصدد قابل توجهی از تجهیزات صنعتی با استفاده از درگاه سریال تنظیم میشوند و محصولات مبدل لنترونیکس امکان ارتباط با این تجهیزات را از طریق شبکه بازیرساخت اترنت فراهم می کند. در کشور ما، 21 تجهیز در حال حاضر با این شرایط در اینترنت شناسایی شده اند که یکی از آنها در زیرساختهای صنعتی بوشهر قرار دارد!اگر در صنعت یا سازمان شما از این تجهیز استفاده می شود و آن را امن سازی نکرده اید هر چه سریعتر دست به کار شوید!
در اوایل ماه می میلادی اسکنهای TCP فراوانی روی درگاههای شمارههای ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ مسیریابها و تجهیزات ذخیرهساز شبکه (NAS ) تولیدشده توسط شرکتهای Mikrotik، ASUS، D-Link،TP-Link، Linksys، QNAP،Huawei، Ubiquiti، UPVEL و ZTE در بیش از ۱۰۰ کشور مشاهدهشده است. گزارشهای اولیه در ماه می میلادی حاکی از آلودگی بالغبر 500 هزار دستگاه در دنیا بوده است. این بدافزار دارای قابلیتهای راهاندازی مجدد تجهیزات هدف (حمله ممانعت از خدمات)، رصد ترافیک عبوری و جلوگیری از ارسال دادهها است.
اگرچه قربانیان اولیهی بدافزار VPNFilter کاربران و شرکتهای ISP کوچک و متوسط بودند اما شواهد حاکی از این دارد که احتمالاً به دلیل قدرت بسیار بالای این بدافزار، تیم سازنده بدافزار یا تیم دیگری که به کد منبع آن دسترسی داشته است از آن برای حمله به شبکههای کنترل صنعتی و زیرساختهای شبکهای که بستر عبور ترافیکهای صنعتی (خاص پروتکل مدباس) هستند استفاده نمودند. در این راستا یک پلاگین خاص برای تحلیل و شناسایی پروتکل مدباس طراحی و پیادهسازی شده است. میدانیم مدباس قدیمیترین پرکاربردترین پروتکل ارتباطی برای سامانههای کنترل صنعتی است. مدباس بهطور گسترده بهعنوان یک استاندارد به کار گرفتهشده است و طی سالها تکاملیافته و نسخههای متفاوتی از آن به وجود آمده است.
جهت مشاهده متن کامل گزارش این بدافزار(مراحل حمله، محصولات تحت تاثیر، توصیه ها و غیره) به فصل دوم سند گزارش اخیر بنده(ICS-SR-MMA-970502) مراجعه نمایید.
یکی از کارهایی که در آخر هر سال ،جهت رسیدن به موفقیت در زندگی شخصی و حرفه ای، بسیار توصیه می شود جمع بندی کارهای انجام شده در طول سال است. البته این جمع بندی نیاز به یک زیرساخت برنامه ریزی دقیق دارد که باید در طول سال انجام شده باشد و بتواند شاخص هایی را برای محاسبه ارائه کند. البته جدای از فراهم نمودن این زیرساخت، متعهد نمودن خود به عمل به برنامه ریزی و ثبت آن بسیار اهمیت دارد. اهمیت برنامه ریزی و نظم در امور بر هیچ انسان عاقلی پوشیده نیست همانطور که در ادیان مختلف از جمله دین مبین اسلام نیز بارها به آن تاکید شده است(حَاسِبُوا أَنْفُسَکُمْ قَبْلَ أَنْ تُحَاسَبُوا ، اوصیکما...بتقوی اللّه و نظم امرکم).در برخی از پست ها و محافل برخی مخاطبین گرامی خواسته بودند که از برنامه ریزی شخصی و حرفه ای نیز در وب نوشت مطالبی درج نمایم که انشالله در آینده این توفیق نصیب شود که بتوانم تجارب شخصی و حرفه ای خود را در حوزه برنامه ریزی که حاصل 14 سال تجربه در حوزه برنامه ریزی است منتشر نمایم. بنده حقیر نیز همواره سعی می کنم در حد بضاعت خود چه در پروژه های حرفه ای حوزه سایبری و چه در زندگی شخصی چنین برنامه ریزی و جمع بندی داشته باشم؛ به عنوان مثال در شکل فوق برخی از نمودارهای جمع بندی برنامه ریزی(شخصی) سال 1396 بنده را مشاهده می کنید.
و اما تلنگری به ما در حوزه امن سازی صنایع و زیرساخت های حیاتی:
در آستانه فرا رسیدن «عید نوروز باستانی»آغاز سال نو خورشیدی را به همه مخاطبین عزیز (مدیران و متولیان محترم صنایع و شرکت ها، سرپرستان گرامی، متخصصین،کارشناسان، مشاورین ، پژوهشگران و دانشجویان عزیز و سایر دوستان بزرگوار) تبریک عرض نموده و در پرتو الطاف بیکران خداوندی سالی سرشار از سلامتی و بهروزی، طراوت و شادکامی، عزت و کامیابی را برای شما آرزومندیم.
در سال 96 در کشور شاهد برگزاری دوره های مختلف آموزشی و نشست های تخصصی در حوزه امنیت سامانه های کنترل صنعتی بوده ایم؛ شرکت ها، پژوهشگاه ها و دانشگاه ها فعالیت خود را این حوزه شروع کرده اند و متخصصین و پژوهشگران جوانی در کشور، دانش و تجربه ارزشمند خود را از طرق مختلف در اختیار صنایع و نیازمندان این حوزه قرار می دهند، به عنوان یک ایرانی از این حضور فعال کارشناسان و متخصصین بسیار خوشنودم، چرا که کشور عزیزمان همواره در جبهه تهاجم سایبری دشمنان قرار داشته و به شکل مستمر زیرساخت های حیاتی آن مورد تهدیدات سایبر-فیزیکی است. امید است حضور فعال کارشناسان، متخصصین و مشاوران امنیت کنترل صنعتی و ارائه تجارب و دانش ارزشمند آنها به ویژه از طریق فضای مجازی بتواند خلاء بسیار قابل توجه در حوزه امنیت کنترل صنعتی کشور را در بخش آگاهی بخشی و حساس سازی پر نماید تا در گام بعد این متولیان، مدیران و کارشناسان صنایع باشند که با درایت و تدبیر خود گام های مهمی را در جهت امن سازی زیرساخت های حساس، حیاتی و مهم کشور بر دارند.
سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز) در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز ،پالایش و پتروشیمی در 27 دی در مرکز همایش های بین المللی شهید بهشتی تهران با حضور مدیران، متولیان و متخصصین شبکه های کنترل صنعتی صنایع مربوطه برگزار گردید و مورد استقبال مطلوبی در این کنفرانس و فضای مجازی قرار گرفت. در پایان این سخنرانی مصاحبه ای از سوی دبیرخانه محترم کنفرانس و جناب آقای منصور گنجی (ماهنامه شبکه) انجام گرفت که ضمن تشکر از جناب گنجی بزرگوار و جناب بیدختی عزیز، شما را به مشاهده ویدئوی این مصاحبه دعوت میکنم.
برخی سوالات که در این مصاحبه به آن پرداخته شد :
لینک مشاهده و دانلود مصاحبه در آپارات
به راستی چقدر به فکر حملات سایبر-فیزیکی ممکن برای صنعت خود بوده ایم؟! آیا برای بعد از حملات و حوادث برنامه های ایمنی و امنیتی تدوین کرده ایم و مکانیزم های لازم را اعمال نموده ایم؟ با ما باشید تا به شما کمک کنیم...
برای مشاهده مجموعه ویدئوهای حوادث و حملات سایبر-فیزیکی به سامانه های کنترل صنعتی به این لینک مراجعه نمایید.
