سامانه‌های کنترل صنعتی که در صنعت و زیرساخت‌های حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکت‌های محدود و انحصاری تولید می‌گردند. این سامانه‌ها درگذشته به‌صورت جدا از سایر سامانه‌های دیگر به کار گرفته می‌شدند و این امر روشی در امن سازی این سامانه‌ها قلمداد می‌گردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرف‌کنندگان این سامانه‌ها را از پرداختن به سایر لایه‌های امنیتی غافل کرده بود. استفاده از معماری و پروتکل‌های غیر امن و واسط‌های غیراستاندارد را می‌توان از نتایج این رویکرد دانست [1].

به دلیل نیازمندی‌های جدید و توسعه فناوری امروزه این قبیل سامانه‌های صنعتی، به‌تدریج با انواع جدیدتر جایگزین و یا به‌روزرسانی می‌گردند. در سامانه‌های جدید از پروتکل‌ها و نقاط دسترسی ارتباطی مشترک در شبکه‌ها استفاده می‌گردد [1]. در غالب صنایع و زیرساخت‌های حیاتی شاهد به‌کارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچ‌های لایه دو و لایه سه، هاب‌ها، بریج‌ها، تقویت‌کننده‌های ارتباطی کارت‌های شبکه و حتی مسیریاب‌ها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکه‌ها به کار گرفته می‌شوند و در بسیاری از ارزیابی‌های که ما از صنایع کشور داشته‌ایم شاهد عدم پیاده‌سازی مکانیزم‌های HA برای این تجهیزات بوده‌ایم در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساخت‌های حیاتی کشور خواهیم بود. ازاین‌رو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکه‌های کنترل صنعتی قرار گیرد. لذا در این سند قصد داریم بعد از بیان نوشته اخیر دیل پترسون  در رابطه با استاکس‌نت، نمونه‌ای از آسیب‌پذیری‌های برخی از تجهیزات شبکه‌ای فراگیر در صنایع و زیرساخت‌های حیاتی کشور (تجهیزات موکسا، زیمنس و سیسکو) را موردبررسی قرار دهیم.

 در انتها در بخش پنجم این سند، به دلیل فراگیری تجهیزات سیسکو در کشور و از سویی اهمیت حمله اخیر به این تجهیزات گزارشی اجمالی از حمله به تجهیزات سیسکو دارای آسیب‌پذیری CVE-2018-0171 آن قرار داده‌ام تا ضمن مرور مختصر این حمله به نکات قابل‌توجه این حمله و نقاط ضعف خود در کشور پی ببریم و بتوانیم این نقاط ضعف را در برنامه‌های امن‌سازی صنایع کشور مدنظر قرار دهیم تا قبل از اینکه این‌گونه‌ حملات را در صنایع کشور شاهد باشیم توانسته باشیم برای پیشگیری از آن و مقابله با آن برنامه‌ریزی کرده باشیم.


در این گزارش 51 صفحه ای به موارد ذیل پرداخته  شده است:


1. مقدمه

۲. به مناسبت خروج آمریکا از برجام (عدم اهمیت شناسایی استاکس‌نت!)

3. گزارش بررسی اجمالی آسیب‌پذیری‏های تجهیزات موکسا

3-1- مشخصات آسیب‌پذیری

۳-۲- گزاش فنی آسیب‌پذیری

3-3- محصولات تحت تأثیر

3-4- کدهای بهره‌جویی منتشرشده

3-5- توصیه‌ها و راه‌حل‌های امنیتی

3-6- درس‌هایی از این آسیب‌پذیری

4. گزارش اجمالی آسیب‌پذیری کارت‌های شبکه زیمنس(CVE-2018-4843)

4-1- مشخصات آسیب‌پذیری

4-2- محصولات تحت تأثیر

4-3- کدهای بهره‌جویی منتشرشده

4-4- توصیه‌ها و راه‌حل‌های امنیتی

4-۵- درس‌هایی از این آسیب‌پذیری

۵. گزارشی  اجمالی از حمله به تجهیزات سیسکو ( CVE-2018-0171)

5-1- مشخصات حمله

5-2- گزارش سطح بالا از حمله

5-3- اطلاعات ظاهراً اشتباه در اطلاعیه وزارت ارتباطات و فناوری اطلاعات

5-4- گزارش فنی حمله

5-5- شواهد و جرم شناسی

5-6- محصولات تحت تأثیر

۵-۷- توصیه‌های امنیتی

۵-۸- درس‌هایی از این حمله


گزارش کامل این آسیب پذیری از طریق این لینک قابل دانلود است.

*** با عضویت در کانال تلگرام(MohammadMehdiAhmadian@) از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***
*** با دنبال کردن کانال اینستاگرام( mmAhmadian@) از مطالب تصویری و ویدئویی و به روزرسانی ها مطلع شوید.***
*** با دنبال کردن کانال آپارات( mmAhmadian@) از ویدئوهای آموزشی و اطلاع رسانی ما مطلع شوید.***
*** باعضویت در کانال سروش(mmAhmadian@) از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***

مطالب مرتبط: 


متن ذیل نوشته اخیر دیل پترسون است که در تاریخ 18 اردیبهشت 1397 منتشر شد و به سؤال بزرگ باقی‌مانده در مورد استاکس‌نت می‌پردازد. 

متن اصلی(لینک) :

The Big Remaining Stuxnet Question

Published on May 8, 2018

Dale Peterson


As we get ready to hear if President Trump will pull the US out of the Iran Nuclear Deal, it’s worth revisiting the big remaining question and underreported story on Stuxnet:

Why Did The US Government Not Care If Or Want Iran To Discover Stuxnet?

Full credit for identifying that Stuxnet’s creators likely either wanted Stuxnet discovered, or knew it would be discovered and didn’t care, goes to my friend Ralph Langner. The amount of time and work he has put into understanding and explaining Stuxnet is something all in the ICS security community should be grateful for. His S4x12 Stuxnet Deep Dive video goes deep into the PLC programming and his To Kill A Centrifuge paper written after more years of work is the definitive paper on Stuxnet.

Most people in the ICSsec community are familiar with the rotor speed attack, but the initial versions of Stuxnet were a highly stealthy and very complex centrifuge overpressure attack. I won’t try to summarize the enrichment process and the attack, read To Kill a Centrifuge, but this is the attack that recorded 21 seconds of normal operation and replayed these to fool the Operators. This version was only discovered as an artifact in the code of the figuratively and literally noisy rotor speed attack that replaced the centrifuge overpressure attack.

The critical rotor speed attack was much simpler. It sped up the centrifuge rotation to a speed that would damage the centrifuge and then slammed on the brakes, all the while showing the operator a constant speed. While Ralph hypothesized that the US knew and didn’t care that Stuxnet would be discovered in his paper, he provided even better and easier to understand proof last year. The centrifuges were very loud, and the noise would vary noticeably as the rotating speed changed as specified in the Stuxnet code.


This video below makes the point so clearly, and loudly, that it is obvious that the team in the Plant quickly knew that the rotation speed showing in their displays was not accurate.



 While the physical affects of Stuxnet were now easily detected, the methods used to deliver and propagate Stuxnet were also expanded to such a degree that detection was likely. This means that detection would not only be likely in Iran, but elsewhere as Stuxnet now propagated via Windows rather than Siemens Step 7 software.

So now back to the question. Unless the Stuxnet team, who had done brilliant technical work in the overpressure attack someone lost all of their smarts and skills, this had to be a conscious decision to modify the attack knowing it would only be effective for a short time. And importantly that the US would be letting the genie out of the bottle, crossing the Rubicon or whatever buzz phrase you select.

The enhanced propagation and much simpler attack had a higher likelihood of causing damage until it was discovered. Perhaps the overpressure attack was not doing enough damage and a short term increase in damage was viewed as worthwhile even given the likely ramifications of this new type of weapon, which seems shortsighted now. Perhaps there was another part of the plan that we don’t know yet post Stuxnet that was believed to make this Stuxnet part of the campaign worthwhile.

Perhaps … I haven’t heard a credible answer and don’t have a great educated guess as to why they moved from stealthy Stuxnet to obvious Stuxnet. It remains the last big unanswered question about Stuxnet.