امنیت سایبری سیستم های کنترل صنعتی و اسکادا

احمدیان : مشاور ، مجری و مدرس / دکترای تخصصی از دانشگاه صنعتی امیرکبیر

اعتراض اعضای هیات علمی دانشگاه‌ها به حذف گرایش امنیت اطلاعات از رشته فناوری اطلاعات

حذف گرایش امنیت اطلاعات از گرایش‌های امتحانی رشته مهندسی فناوری اطلاعات در مقطع کارشناسی ارشد و اعلام گرایشی تحت عنوان رایانش امن در کارشناسی ارشد رشته مهندسی کامپیوتر که به عقیده بسیاری از اعضای هیات علمی فعال در این زمینه، گرایشی بدون تعریف مشخص و سابقه دانشگاهی است، سبب شد تا دانشجویان و حتی اعضای هیات علمی شاغل در این گرایش، نسبت به این تصمیم گلایه کرده و انعکاس آن را در قالب مکاتباتی به مسئولان مربوطه بروز دهند.

موضوع از آنجا آغاز شد که شورای برنامه ریزی آموزش عالی در آخرین ماه‌های فعالیت دولت دهم (خرداد 92)، ایجاد گرایشی تحت عنوان «رایانش امن» را در مقطع تحصیلات تکمیلی رشته مهندسی کامپیوتر به تصویب رسانده و آن را برای اجرا به دانشگاه‌ها ابلاغ کرد.

۰ نظر موافقین ۰ مخالفین ۰
امنیت سیستم کنترل صنعتی و اسکادا: هشدار به کارشناسان امنیت سامانه های کنترل صنعتی در مورد باجگیرافزارها (باج افزارها)

امنیت سیستم کنترل صنعتی و اسکادا: هشدار به کارشناسان امنیت سامانه های کنترل صنعتی در مورد باجگیرافزارها (باج افزارها)

با در نظر گرفتن انگیزه‌های اقتصادی می توان به این نتیجه رسید که تنوع و پیچیدگی بدافزارها به‌صورت قابل‌توجهی افزایش پیداکرده است. برای مثال باجگیرافزار(باج افزار)های خطرناک که گونه ای نسبتاً جدید بدافزارها می باشند در اواخر سال 2012 میلادی به‌شدت رشد کرده اند. از سویی دیگر به نظر میرسید که سال 2012 مهم‌ترین سال برای باجگیرافزارها باشد اما این روند از این سال بعد کماکان ادامه پیداکرده است[1].

New Ransomware Samples

تعداد نمونه باجگیرافزارهای جدید از 2010 تا 2015 [2]

 

بدافزار KillDisk که قبلا به سامانه های کنترل صنعتی اوکراین خسارات بالایی را وارد کرده بود اخیرا دارای ماژول هایی جدیدی شده است که می تواند این بدافزار را تبدیل به باجگیرافزار(باج افزار) نماید. بنابراین اگرچه هنوز گزارشی رسمی  از وقوع این نوع اخاذی بر روی سامانه های کنترل صنعتی اعلام نشده است اما کارشناسان امنیت سامانه های کنترل صنعتی آگاه باشند که باجگیرافزارها  قلمرو خود را به سامانه های کنترل صنعتی نیز  گسترش داده اند؛ البته این مسئله پیش بینی هم می شد؛ چرا که سامانه های کنترل صنعتی می توانند هدف مناسب  برای طراحان باجگیرافزارها باشند زیرا که:

  • عموما سطح امنیتی سامانه های کنترل صنعتی به نسبت سطح امنیتی سامانه های عمومی حوزه ICT پایین تر است.
  •  غالب منابع  سامانه های کنترل صنعتی بسیار ارزشمند بوده و در صورت  موفقیت باجگیرافزارها در آلوده سازی این سامانه ها امکان اخاذی مبالغ بالا وجود دارد.
  • چنانچه باجگیرافزار بتواند پایداری سامانه های کنترل صنعتی را با اختلال رو به رو کند قطعا می تواند مبلغ اخاذی بالایی را مطالبه کند.
  • به نظر بنده به لحاظ اهمیت اطلاعات موجود بر روی سامانه های کنترل صنعتی احتمال اینکه در آینده باجگیرافزارها به سمت حملات اخاذی اطلاعات(به این پست مراجعه کنید) بر روی این سامانه ها حرکت کنند وجود دارد.
۰ نظر موافقین ۰ مخالفین ۰
درخت هر چه پربارتر، افتاده تر!

درخت هر چه پربارتر، افتاده تر!

نسخه ای از این مقاله در  هفته نامه بابک زمین(سال چهاردهم،شماره 579، سه شنبه 6 مهر 1395) به چاپ رسیده است. 

-----------------

فصل تابستان رو به اتمام است و در آستانه فصل پاییز قرار داریم، فصلی که طبیعت رخت و لباس سبزش را از تن درمی‌آورد و دانش آموزان و دانشجویان رخت و لباس کسب دانش را به تن می‌کنند. چه بسیار دانش آموزان و دانشجویانی که در گوشه گوشه­ ی کشور عزیزمان و در لحظه‌لحظه‌ی تاریخ آن، این روزگاران را سپری کرده‌اند و در  صفحه صفحه‌ی تاریخ این مملکت خاطرات و تأثیرات مختلفی را به یادگار گذاشته‌اند. هر یک از ما نیز به فراخور سن و سال خود خاطرات مختلفی از روزگار مدرسه و دانشگاه و از اهل مدرسه و دانشگاه به همراه داریم. برای ذهنهای دغدغهمند چه بسیار چالش‌های فراوان من باب تأمل در محفل کسب دانش و برای گوش‌های شنوا چه بسیارها سخن‌ها برای گوش جان سپردن در این موضوع.

۲ نظر موافقین ۲ مخالفین ۰
امنیت سایبری در سیستمهای کنترل صنعتی و اسکادا: دوره آموزشی امنیت سایبری در سامانه های صنعتی

امنیت سایبری در سیستمهای کنترل صنعتی و اسکادا: دوره آموزشی امنیت سایبری در سامانه های صنعتی

در این پست اسلایدهای دوره آموزشی (مقدماتی)امنیت سایبری در سامانه های صنعتی (بخش مقدمات بدافزارها و تهدیدات دایمی پیشرفته ) که برای برخی  وزارت خانه ها و شرکت ها از جمله وزارت نفت و شرکت ملی گاز ارائه شده است  را برای استفاده عموم قرار می دهم. امیدوارم که مفید باشد.

 

لینک

کلیپ کوتاه از دوره‌های آموزشی تئوری-عملی امنیت سایبری سیستم‌های کنترل و اتوماسیون صنعتی (کلیک نمایید)

 



 

     

    ۲ نظر موافقین ۱ مخالفین ۰
    معرفی رمزکار ویروس شناسی ،تهدیدات امنیتی، راهکاری های حفاظت و مقابله با آنها

    معرفی رمزکار ویروس شناسی ،تهدیدات امنیتی، راهکاری های حفاظت و مقابله با آنها

     سمنیار « معرفی رمزکار ویروس شناسی ،تهدیدات امنیتی، راهکاری های حفاظت و مقابله با آنها » و گزارشات حاصل از آن اولین پژوهش بنده حقیر در حوزه رمزکاربدافزارشناسی به عنوان جایگاه اصلی باجگیرافزارها در سال 1392 بود که جهت استفاده علاقمندان و  محققین آن را منتشر می کنم، امیدوارم که مفید باشد.

    برخی دستاوردهای حاصل از این پژوهش (البته با تصحیح ایرادات) در آثار ذیل چاپ و منتشر شده اند:

    ۰ نظر موافقین ۰ مخالفین ۰
    حریم خصوصی را در فضای مجازی جدی بگیریم!سازمان های محترم هشیار باشید!

    حریم خصوصی را در فضای مجازی جدی بگیریم!سازمان های محترم هشیار باشید!

    متاسفانه در  فضای مجازی کنونی (مرتبط با کشور)  به واسطه رشد فناوری اطلاعات در سازمان های مختلف کشور و از سویی عدم رشد متوازن امنیت سایبری با آن شاهد چالش هایی متعدد امنیتی در این فضا هستیم. یکی از چالش هایی که این سالها به وفور در سامانه های سازمان ها ،پرتال های وب مختلف به ویژه پرتال های مرتبط با سازمان های دولتی و غیردولتی (از نهادهای دانشگاهی گرفته تا سازمان های بانکی، موسسات تبلیغاتی و غیره)  گاهی شاهد نقض اشکارحریم خصوصی کاربران و افشای اطلاعات خصوصی مردم در این فضاها است.  

    حریم خصوصی در حقیقت از میان اصول امنیتی سه گانه(محرمانگی، صحت و دسترس پذیری) زیرمجموعه  اصل محرمانگی قلمداد می شود که در آن این مسئله مورد توجه است که اطلاعاتی را که یک فرد در اختیار یک مرکز قرار می دهد و این مرکز از آن اطلاعات استفاده می کند و یا آنها را معرض عموم(اعلام عمومی) قرار میدهد باید بر اساس توافقنامه ای باشد که با آن فرد داشته است؛ یعنی که اگر یک فرد در برابر افشای برخی اطلاعاتش مثلا در محیط های عمومی رضایت نداشته باشد، این مرکز مجاز نیست که این نوع اطلاعات فرد را افشا کند.

    ۳ نظر موافقین ۲ مخالفین ۰
    یادآوری اصل ساده امنیتی کرکهُفس

    یادآوری اصل ساده امنیتی کرکهُفس

    در جلسات و  محافل مختلف امنیتی زیادی به  این موضوع برخورد کرده ام که افرادی که  آگاهی عمیقی از امنیت سایبری ندارند  (به ویژه مدیران سازمان ها ) تصور می کنند که امنیت یک سامانه به ویژه یک سامانه رمز (باید) بسیار متکی باشد به پنهان نگاه داشتن ساختار و جزییات طراحی و یا پیاده سازی آن و زمانی که اشتباه بودن این تصور و ضعف های آن صحبت می کنیم و  به اصل کرکهُفس(Kerckhoffs's principle)-که در قرن ۱۹ میلادی در حوزه رمزنگاری مطرح شد- اشاره می کنیم تصور می کنند که چه حرف غریبی می گوییم. اگرچه متخصصین حوزه امنیت به این اصل اشراف کامل دارند اما هدف بنده از نوشتن این پست صرفا ترویج و آگاهی بخشی در مورد این اصل ساده امنیتی است تا در آینده کمتر شاهد این سوء برداشت باشیم.

    البته اگر بخواهیم اندکی به کالبد شکافی این موضوع بپردازیم به این نکته پی می بریم که این تصور اشتباه در این گونه افراد -که عموما تحصیلات آکادمیک تخصصی در گرایش امنیت اطلاعات ندارند- می تواند حاصل سوء برداشت آنها از راهبرد امنیتی  امنیت از طریق ایجاد ابهام (Security through Obscurity strategy) باشد.اگرچه ایجاد ابهام و مبهم کردن غالب سامانه ها می تواند به تقویت امنیت در آنها کمک کند اما قرار دادند این راهبرد به عنوان یک اصل امنیتی در طراحی و پیاده سازی یک اشتباه قطعی و مسلم است و تهدیدات امنیتی پرخطری را برای سامانه مورد نظر رقم خواهد زد.

    در ادامه به بیان اصل کرکهُفس (برخی آن را کرهافس نیز تلفظ می کنند) که برگرفته از ویکی پدیا است می پردازم:

    ۱ نظر موافقین ۰ مخالفین ۰
    پیش نیاز های  ورود به گرایش امنیت اطلاعات(رایانش امن) در مقطع تحصیلات تکمیلی

    پیش نیاز های ورود به گرایش امنیت اطلاعات(رایانش امن) در مقطع تحصیلات تکمیلی

    با سلام به همه علاقمندان به گرایش امنیت اطلاعات (رایانش امن).عزیزان متعددی در وب نوشت در مورد پیش نیاز های غیررسمی  ورود به گرایش امنیت اطلاعات(رایانش امن) در مقطع تحصیلات تکمیلی سوالاتی را مطرح کرده بودند و پیش بینی می کنم تا زمانی که به این سوال یک پاسخ تقریبا جامع ندهم این روند پرسش ها به شکل  سازماندهی نشده تکرار خواهد شد. از این رو (علیرغم مشغله بسیار) در این پست سعی کردم اطلاعات خودم را در این مورد در اختیار شما بزرگواران قرار دهم . امید است که مفید باشد. این پست نیز مانند غالب پست های وب نوشت من به مرور با پرسش و پاسخ تکمیل و به روز می شود.

    ۸ نظر موافقین ۱ مخالفین ۰
    توصیه عمومی امنیتی به نویسندگان وب

    توصیه عمومی امنیتی به نویسندگان وب

    اگر چه این قضیه برای خیلی ها دور از تصور است اما به نویسندگان حوزه وب توصیه می کنم چنانچه تمایل ندارید بات ها در آینده نوشته های موجود در وب را که توسط شما نوشته شده اند (به عنوان مثال در وبنوشت یا وبگاه شما) تحلیل کنند و بتوانند بر اساس الگوهای ثابت موجود در این نوشته ها  طرز بیان، نوع نگارش ، قالب شخصیتی و  ایده‌های شما را یاد بگیرند و از آنها الگو برداری کنند راهکاری دفاعی برای تغییر الگوهای خود که برخی از آنها را در ادامه توضیح می دهم اتخاذ کنید  و به کمک تکنیک هایی نظیر چند الگویی یادگیری بات های آینده را دچار کمی اختلال کنید و اگر با این موضوع مشکلی ندارید به روند کنونی خود ادامه دهید.

    البته این مسئله از سال ها قبل به شکل محدود وجود داشته است به عنوان مثال بعد از سال 2012 عده ای جهت شناسایی هویت واقعی ساتوشی ناکاموتو( فرد یا افراد ابداع کننده بیت کوین)  در قالب پروژه هایی سعی نمودند نوشته های موجود در وب آشکار (از جمله مطالب وبنوشت ها، مقالات ، انجمن ها ، شبکه های اجتماعی و غیره ) را تحلیل کنند (از جمله تحلیل معنایی و لغوی) تا شاید از روی متن مقاله منتشر شده از بیت کوین بتوانند مشخص کنند الگوهایی درون این متن در کدام مطالب وب تشابه بالایی دارند.( تا از روی شناسایی نویسندگان این مطالب وب با الگو متشابه بتوانند هویت ساتوشی را فاش کنند.)

    ۲ نظر موافقین ۱ مخالفین ۰
    دوره گذار به دانشگاه های نسل سوم

    دوره گذار به دانشگاه های نسل سوم

    • دانشگاه نسل اول، دانشگاه های آموزش‌ محور هستند، که تا دهه اول انقلاب ادامه داشته به نام دانشگاه‌های آموزش‌محور یا دانشگاه‌های آموزشی شناخته می‌شود که هدف و وظیفه آن دانشگاه، ارائه آموزش و صدور مدرک تحصیلی از ویژگی‌های آن بوده و برای توسعه کشور فقط به تربیت نیروهای مجرب آموزش‌دیده پرداخته که این از محورهای اصلی دانشگاه نسل اول بوده است و فارغ‌التحصیلان آن برای امر تدریس در دانشگاه‌ها یا مراکز علمی و برای پر کردن پست‌های مدیریتی در صنعت کشور آماده می‌شوند و آموزش نیروهای انسانی جامعه جهت آگاهی‌بخشی و افزایش سطح آگاهی جامعه و تربیت نیروی انسانی برای انجام امور صنعتی و مدیریتی کشور صرف می‌شد.[1]
    • دانشگاه نسل دوم، نیز دانشگاه های پژوهش محور هستند که با توسعه مرزهای دانش و پژوهش‌های بنیانی و تربیت نیروهای متخصص، نسل دوم دانشگاه‌های کشور پدیدار شده‌اند که این نسل از دانشگاه ضمن فعالیت‌های آموزشی مختص دانشگاه نسل اول توجه بیشتری به مباحث پژوهشی و کاربردی داشته و خروجی آن افزایش تعداد مقالات ایران در میان کشور‌های پیشرفته بود.[1]

    • دانشگاه نسل سوم یعنی اینکه، دانشگاه دیگر صرفاً مکانی برای یادگیری یک سری آموزه‌های صرف نیست؛ همچنین دیگر مکانی نیست که فقط پروژه‌های تحقیقاتی را در راستای اهداف اقتصادی صنایع انجام دهد؛ بلکه علاوه بر آنکه تمام اهداف فوق را همچنان پیش می‌برد، فارغ‌التحصیلانی را به جامعه ارائه می‌دهد که دانش را در کنار پژوهش‌های کاربردی به خدمت گرفته و با نوآوری کار می‌آفرینند. دانشگاه کارآفرین یعنی علاوه بر تولید علم و تربیت نیروی انسانی مورد نیاز توسعه در راستای تجاری سازی علم و تأسیس شرکت های دانش بنیان قدم بر می دارد.  دانشگاه کارآفرین علاوه بر تربیت دانش‌آموختگانی براساس مولفه‌های کارآفرینی و کارمندی، باید به توسعه و اشتغال و ثروت‌آفرینی توجه کند.[1]

    دانشگاه نسل سوم


    • همانطور که در جدول بالا مشهود است  و البته جالب توجه، دانشگاههای مطرح اخیرا به این سمت پیش می روند که از فضایی که دانشجو در آن کمترین ارزش را داشت به فضایی گذر کنند که دانشجو ها اصلی ترین سرمایه دانشگاهها به حساب می آیند و با محوریت دانشجو و سرمایه گذاری روی آن است که دانشگاه معنی پیدا میکند.

    برای مشاهده ادامه مطلب روی فلش قرمز بالای پست کلیک کنید.

    ۰ نظر موافقین ۳ مخالفین ۵