دوره آموزشی «پدافندغیرعامل و امنیت سایبری در سامانههای کنترل و اتوماسیون صنعتی (محتوای 16 ساعته)» در 22 و 23 آذر ماه 1397 در یکی از صنایع استراتژیک جنوب کشور به مدت دو روز برگزار شد.
به لطف خدواند متعال، برگزاری سمینار تخصصی دیگر در حوزه امنیت سامانه های کنترل و اتوماسیون صنعتی، این بار در استان خوزستان ؛ باتشکر از سازمان پدافند غیرعامل کشور و افتای ریاست جمهوری؛ امیدواریم در حد بضاعت خود بتوانیم در جهت ارتقاء امنیت سایبری صنایع و زیرساختهای حیاتی کشور گامی درخور و شایسته برداریم.
در سالهای اخیر با گسترش فناوری شاهد حرکت سامانههای فناوری اطلاعات (IT) و سامانههای فناوری عملیاتی (OT) بهسوی یکدیگر بودهایم. از این پدیده بهعنوان یکی از همگراییهای فرایندهای سایبری با فرایندهای فیزیکی با عنوان تلاقی سایبر-فیزیکی یاد میشود. در یک دهه گذشته به دلیل افزایش حملات سایبری به زیرساختهای حیاتی، امنیت سامانههای کنترل و اتوماسیون صنعتی بسیار موردتوجه قرارگرفته است و در نشستها و محافل بسیاری شاهد صحبت از این نوع حملات هستم. نکتهای که بسیار قابلتوجه است این است که واقعاً در عمل، چگونه انجام یک حمله به سامانههای کنترل صنعتی باوجود بسترهای ارتباطی سنتی آنالوگ و بسترهای به نسبت جدید دیجیتال ممکن است. بهراستی حملاتی نظیر Stuxnet، Industroyer، Triton و VPNFilter در عمل از چه بردارهای حملهای استفاده میکنند؟ آیا همانطور که در بسیاری از محافل بیان میشود، به همان سهولتی که میتوان به یک شبکه غیرصنعتی نفوذ و حمله نمود، به یک شبکه صنعتی با تجهیزاتی نظیر PLC،RTU،HMI و غیره نیز میتوان نفوذ کرد؟ آیا واقعاً میتوان تمامی حملات فراگیر در حوزه فناوری اطلاعات را در حوزه کنترل صنعتی اجرایی کرد؟
جهت کمک به شفاف نمودن مسائل مطرحشده فوق، انشا الله قصد داریم در روز سهشنبه، ششم شهریورماه (ساعت 11 الی 12)، در محل نمایشگاههای پانزدهمین کنفرانس بینالمللی انجمن رمز ایران (تهران، دانشگاه شهید رجایی) ارائهای با مضمون پیادهسازی حملات پایه در شبکههای کنترل صنعتی ارائه نماییم. هدف این ارائه فنی و عملی این است که بهاجمال چند سناریو حمله (حملات شناسایی، ممانعت از خدمات و مردی در میان) بر روی بستر آزمایشی(Test Bed) تجهیزات زیمنس و اشنایدر، اجرا گردد، چالشهای آنها مطرح شود و برخی سازوکارهای امنیتی آنها نمایش داده شود. بهعنوان نمونه دریکی از این سناریوها تلاش خواهیم کرد نشان دهیم چگونه در صورت نفوذ به سامانه صنعتی میتوان به نحوی اطلاعات شبکه را مخدوش نماییم که بدون اطلاع اپراتور، اطلاعات HMI با اطلاعات چرخش موتور در تناقض باشد. از تمامی مدیران، متولیان و مسئولان محترم صنایع که برای این کنفرانس برنامه دارند، دعوت میشود در این برنامه یکساعته شرکت نمایند.
با ما دوره آموزشی عملی « الزامات امنیت در سامانه های کنترل صنعتی و اسکادا» را تجربه کنید. این دوره منطبق بر سرفصل های رسمی دوره SANS ICS410: ICS/SCADA Security Essentials ارائه می شود.
جهت مشاهده و دانلود سند معرفی این دوره آموزشی بر روی این لینک کلیک نمایید.
سرفصل های کلان این دوره (سرفصل های جزئی این دوره در پروپوزال تقدیم می گردد) :
سامانههای کنترل صنعتی که در صنعت و زیرساختهای حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکتهای محدود و انحصاری تولید میگردند. این سامانهها درگذشته بهصورت جدا از سایر سامانههای دیگر به کار گرفته میشدند و این امر روشی در امن سازی این سامانهها قلمداد میگردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرفکنندگان این سامانهها را از پرداختن به سایر لایههای امنیتی غافل کرده بود. استفاده از معماری و پروتکلهای غیر امن و واسطهای غیراستاندارد را میتوان از نتایج این رویکرد دانست [1].به دلیل نیازمندیهای جدید و توسعه فناوری امروزه این قبیل سامانههای صنعتی، بهتدریج با انواع جدیدتر جایگزین و یا بهروزرسانی میگردند. در سامانههای جدید از پروتکلها و نقاط دسترسی ارتباطی مشترک در شبکهها استفاده میگردد [1]. به علت تفاوتهای متعدد میان امنیت در فضای فناوری اطلاعات ( IT) و امنیت در فضای فناوری عملیاتی (OT[1] ) لزوماً نمیتوان راهکارهای عمومی حوزهی سایبری را به حوزهی سایبر-فیزیکی منتقل کرد[1].
در غالب صنایع و زیرساختهای حیاتی شاهد بهکارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچهای لایه دو و لایه سه، هابها، بریجها، تقویتکنندههای ارتباطی کارتهای شبکه و حتی مسیریابها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکهها به کار گرفته میشوند در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساختهای حیاتی کشور خواهیم بود. ازاینرو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکههای کنترل صنعتی(واحدهای بهره بردار و نگهداری) قرار گیرد.
در این سند در بخش دوم به بررسی اجمالی آسیبپذیری سوئیچهای صنعتی زیمنس ( CVE-2018-4833) میپردازیم، در بخش سوم در راستای پاسخ به سوال یکی از مخاطبان گرامی به گزینش دورههای پیشرفته امنیت کنترل و اتوماسیون صنعتی درکشور خواهیم پرداخت .در بخش چهارم مجموعه فیلم حوادث و حملات سایبر-فیزیکی به سامانههای کنترل صنعتی را معرفی خواهیم کرد و نهایتا در بخش پنجم به سوء برداشتی که در بین برخی مدیران صنایع و زیرساختهای حیاتی وجود دارد خواهیم پرداخت.
در این ارائه به بررسی اجمالی مستند «آفتاب نهان» از زاویه نشت اطلاعات سایبر-فیزیکی صنایع و زیرساختهای حیاتی کشور میپردازیم. این مستند به گفته تهیهکنندگان آن اولین مجله تصویری صنعت هستهای کشور محسوب میشود که در قالب 23 قسمت (هر قسمت تقریباً 28 دقیقه) از شبکه مستند پخششده است و در کنار همه نقاط قوت و اهدافی که داشت و قطعاً متصدیان آن برای آن زحمت بسیاری کشیدهاند متأسفانه به اعتقاد ما اطلاعات بسیاری را از صنایع هستهای و صنایع وابسته، ازجمله پتروشیمی را در معرض دسترس عموم قرار داده است! میدانیم که حجم عظیمی از اطلاعات و دادههای مهم صنایع کشور و شرکتهای تابعه در فضای اینترنت و شبکههای مجازی به سهولت قابلدسترسی است: این اطلاعات شامل اطلاعات داراییها (تجهیزات، سازندگان، پروتکلها، نرمافزارها و ...)، اطلاعات فرایندها، اطلاعات ارتباطات، اطلاعات آزمایشگاههای امنیت سایبر-فیزیکی (اطلاعات، شبکه، امواج، شیمایی و غیره)، اطلاعات پیمانکاران و تصاویر و فیلم داراییها است که از طرق مختلف ازجمله وبسایتهای رسمی صنایع و شرکتهای تابعه، وبسایتهای خبری (تصاویر بازدیدها و پروژهها)، مقالات کنفرانسها، ژورنالها و مجلات، گروهها تلگرامی و دیگر شبکههای اجتماعی در دسترس است و متأسفانه حالا مستندهای تلویزیونی نیز به این منابع اطلاعاتی اضافهشده است. ما بارها این مسئله را تذکر دادهایم و بهتفصیل در این مورد در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز، پالایش و پتروشیمی در 27 دی 1396 صحبت کردیم! فایل (اسلایدها) این ارائه از طریق لینک ذیل قابلدسترسی است:
سامانههای کنترل صنعتی که در صنعت و زیرساختهای حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکتهای محدود و انحصاری تولید میگردند. این سامانهها درگذشته بهصورت جدا از سایر سامانههای دیگر به کار گرفته میشدند و این امر روشی در امن سازی این سامانهها قلمداد میگردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرفکنندگان این سامانهها را از پرداختن به سایر لایههای امنیتی غافل کرده بود. استفاده از معماری و پروتکلهای غیر امن و واسطهای غیراستاندارد را میتوان از نتایج این رویکرد دانست [1].
به دلیل نیازمندیهای جدید و توسعه فناوری امروزه این قبیل سامانههای صنعتی، بهتدریج با انواع جدیدتر جایگزین و یا بهروزرسانی میگردند. در سامانههای جدید از پروتکلها و نقاط دسترسی ارتباطی مشترک در شبکهها استفاده میگردد [1]. در غالب صنایع و زیرساختهای حیاتی شاهد بهکارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچهای لایه دو و لایه سه، هابها، بریجها، تقویتکنندههای ارتباطی کارتهای شبکه و حتی مسیریابها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکهها به کار گرفته میشوند و در بسیاری از ارزیابیهای که ما از صنایع کشور داشتهایم شاهد عدم پیادهسازی مکانیزمهای HA برای این تجهیزات بودهایم در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساختهای حیاتی کشور خواهیم بود. ازاینرو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکههای کنترل صنعتی قرار گیرد. لذا در این سند قصد داریم بعد از بیان نوشته اخیر دیل پترسون در رابطه با استاکسنت، نمونهای از آسیبپذیریهای برخی از تجهیزات شبکهای فراگیر در صنایع و زیرساختهای حیاتی کشور (تجهیزات موکسا، زیمنس و سیسکو) را موردبررسی قرار دهیم.
در انتها در بخش پنجم این سند، به دلیل فراگیری تجهیزات سیسکو در کشور و از سویی اهمیت حمله اخیر به این تجهیزات گزارشی اجمالی از حمله به تجهیزات سیسکو دارای آسیبپذیری CVE-2018-0171 آن قرار دادهام تا ضمن مرور مختصر این حمله به نکات قابلتوجه این حمله و نقاط ضعف خود در کشور پی ببریم و بتوانیم این نقاط ضعف را در برنامههای امنسازی صنایع کشور مدنظر قرار دهیم تا قبل از اینکه اینگونه حملات را در صنایع کشور شاهد باشیم توانسته باشیم برای پیشگیری از آن و مقابله با آن برنامهریزی کرده باشیم.
در این گزارش 51 صفحه ای به موارد ذیل پرداخته شده است:
اخیراً آسیبپذیری با سطح مخاطره حیاتی از نوع احراز اصالت نامناسب در نرمافزار[1] CoDeSys شناسایی شد که محصولات WAGO PFC200 را تحت تأثیر قرار میدهد. این آسیبپذیری این امکان را به مهاجمین میدهد که در صورت بهرهجویی[2] موفق بتوانند به شکل غیرمجاز به کنترلکننده (PLC) وصل شده و انواع دستورات و عملیات غیرمجاز را به شکل راه دور و از طریق درگاه[3] TCP شماره 2455 انجام دهند؛ این دستورات شامل خواندن، نوشتن و پا کردن فایل یا دستکاری برنامه کنترلکننده (PLC) در حین اجرا است.
در گزارشی 19 صفحه ای که برای این آسیب پذیری آماده کرده به موارد ذیل پرداخته خواهد شد:
سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز) در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز ،پالایش و پتروشیمی در 27 دی در مرکز همایش های بین المللی شهید بهشتی تهران با حضور مدیران، متولیان و متخصصین شبکه های کنترل صنعتی صنایع مربوطه برگزار گردید و مورد استقبال مطلوبی در این کنفرانس و فضای مجازی قرار گرفت. در پایان این سخنرانی مصاحبه ای از سوی دبیرخانه محترم کنفرانس و جناب آقای منصور گنجی (ماهنامه شبکه) انجام گرفت که ضمن تشکر از جناب گنجی بزرگوار و جناب بیدختی عزیز، شما را به مشاهده ویدئوی این مصاحبه دعوت میکنم.
برخی سوالات که در این مصاحبه به آن پرداخته شد :
لینک مشاهده و دانلود مصاحبه در آپارات