سامانههای کنترل صنعتی که در صنعت و زیرساختهای حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکتهای محدود و انحصاری تولید میگردند. این سامانهها درگذشته بهصورت جدا از سایر سامانههای دیگر به کار گرفته میشدند و این امر روشی در امن سازی این سامانهها قلمداد میگردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرفکنندگان این سامانهها را از پرداختن به سایر لایههای امنیتی غافل کرده بود. استفاده از معماری و پروتکلهای غیر امن و واسطهای غیراستاندارد را میتوان از نتایج این رویکرد دانست [1].
به دلیل نیازمندیهای جدید و توسعه فناوری امروزه این قبیل سامانههای صنعتی، بهتدریج با انواع جدیدتر جایگزین و یا بهروزرسانی میگردند. در سامانههای جدید از پروتکلها و نقاط دسترسی ارتباطی مشترک در شبکهها استفاده میگردد [1]. در غالب صنایع و زیرساختهای حیاتی شاهد بهکارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچهای لایه دو و لایه سه، هابها، بریجها، تقویتکنندههای ارتباطی کارتهای شبکه و حتی مسیریابها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکهها به کار گرفته میشوند و در بسیاری از ارزیابیهای که ما از صنایع کشور داشتهایم شاهد عدم پیادهسازی مکانیزمهای HA برای این تجهیزات بودهایم در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساختهای حیاتی کشور خواهیم بود. ازاینرو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکههای کنترل صنعتی قرار گیرد. لذا در این سند قصد داریم بعد از بیان نوشته اخیر دیل پترسون در رابطه با استاکسنت، نمونهای از آسیبپذیریهای برخی از تجهیزات شبکهای فراگیر در صنایع و زیرساختهای حیاتی کشور (تجهیزات موکسا، زیمنس و سیسکو) را موردبررسی قرار دهیم.
در انتها در بخش پنجم این سند، به دلیل فراگیری تجهیزات سیسکو در کشور و از سویی اهمیت حمله اخیر به این تجهیزات گزارشی اجمالی از حمله به تجهیزات سیسکو دارای آسیبپذیری CVE-2018-0171 آن قرار دادهام تا ضمن مرور مختصر این حمله به نکات قابلتوجه این حمله و نقاط ضعف خود در کشور پی ببریم و بتوانیم این نقاط ضعف را در برنامههای امنسازی صنایع کشور مدنظر قرار دهیم تا قبل از اینکه اینگونه حملات را در صنایع کشور شاهد باشیم توانسته باشیم برای پیشگیری از آن و مقابله با آن برنامهریزی کرده باشیم.
در این گزارش 51 صفحه ای به موارد ذیل پرداخته شده است:
1. مقدمه
۲. به مناسبت خروج آمریکا از برجام (عدم اهمیت شناسایی استاکسنت!)
3. گزارش بررسی اجمالی آسیبپذیریهای تجهیزات موکسا
3-1- مشخصات آسیبپذیری
۳-۲- گزاش فنی آسیبپذیری
3-3- محصولات تحت تأثیر
3-4- کدهای بهرهجویی منتشرشده
3-5- توصیهها و راهحلهای امنیتی
3-6- درسهایی از این آسیبپذیری
4. گزارش اجمالی آسیبپذیری کارتهای شبکه زیمنس(CVE-2018-4843)
4-1- مشخصات آسیبپذیری
4-2- محصولات تحت تأثیر
4-3- کدهای بهرهجویی منتشرشده
4-4- توصیهها و راهحلهای امنیتی
4-۵- درسهایی از این آسیبپذیری
۵. گزارشی اجمالی از حمله به تجهیزات سیسکو ( CVE-2018-0171)
5-1- مشخصات حمله
5-2- گزارش سطح بالا از حمله
5-3- اطلاعات ظاهراً اشتباه در اطلاعیه وزارت ارتباطات و فناوری اطلاعات
5-4- گزارش فنی حمله
5-5- شواهد و جرم شناسی
5-6- محصولات تحت تأثیر
۵-۷- توصیههای امنیتی
۵-۸- درسهایی از این حمله
مطالب مرتبط:
- گزارش آسیب پذیری حیاتی در PLC WAGO CoDeSys
- اسیب پذیری تجهیزات Lantronix کنترل صنعتی(اتوماسیون صنعتی) متصل به اینترنت
متن ذیل نوشته اخیر دیل پترسون است که در تاریخ 18 اردیبهشت 1397 منتشر شد و به سؤال بزرگ باقیمانده در مورد استاکسنت میپردازد.
متن اصلی(لینک) :
The Big Remaining Stuxnet Question
Published on May 8, 2018
Dale Peterson
As we get ready to hear if President Trump will pull the US out of the Iran Nuclear Deal, it’s worth revisiting the big remaining question and underreported story on Stuxnet:
Why Did The US Government Not Care If Or Want Iran To Discover Stuxnet?
Full credit for identifying that Stuxnet’s creators likely either wanted Stuxnet discovered, or knew it would be discovered and didn’t care, goes to my friend Ralph Langner. The amount of time and work he has put into understanding and explaining Stuxnet is something all in the ICS security community should be grateful for. His S4x12 Stuxnet Deep Dive video goes deep into the PLC programming and his To Kill A Centrifuge paper written after more years of work is the definitive paper on Stuxnet.
Most people in the ICSsec community are familiar with the rotor speed attack, but the initial versions of Stuxnet were a highly stealthy and very complex centrifuge overpressure attack. I won’t try to summarize the enrichment process and the attack, read To Kill a Centrifuge, but this is the attack that recorded 21 seconds of normal operation and replayed these to fool the Operators. This version was only discovered as an artifact in the code of the figuratively and literally noisy rotor speed attack that replaced the centrifuge overpressure attack.
The critical rotor speed attack was much simpler. It sped up the centrifuge rotation to a speed that would damage the centrifuge and then slammed on the brakes, all the while showing the operator a constant speed. While Ralph hypothesized that the US knew and didn’t care that Stuxnet would be discovered in his paper, he provided even better and easier to understand proof last year. The centrifuges were very loud, and the noise would vary noticeably as the rotating speed changed as specified in the Stuxnet code.
This video below makes the point so clearly, and loudly, that it is obvious that the team in the Plant quickly knew that the rotation speed showing in their displays was not accurate.
While the physical affects of Stuxnet were now easily detected, the methods used to deliver and propagate Stuxnet were also expanded to such a degree that detection was likely. This means that detection would not only be likely in Iran, but elsewhere as Stuxnet now propagated via Windows rather than Siemens Step 7 software.
So now back to the question. Unless the Stuxnet team, who had done brilliant technical work in the overpressure attack someone lost all of their smarts and skills, this had to be a conscious decision to modify the attack knowing it would only be effective for a short time. And importantly that the US would be letting the genie out of the bottle, crossing the Rubicon or whatever buzz phrase you select.
The enhanced propagation and much simpler attack had a higher likelihood of causing damage until it was discovered. Perhaps the overpressure attack was not doing enough damage and a short term increase in damage was viewed as worthwhile even given the likely ramifications of this new type of weapon, which seems shortsighted now. Perhaps there was another part of the plan that we don’t know yet post Stuxnet that was believed to make this Stuxnet part of the campaign worthwhile.
Perhaps … I haven’t heard a credible answer and don’t have a great educated guess as to why they moved from stealthy Stuxnet to obvious Stuxnet. It remains the last big unanswered question about Stuxnet.
- دوره آموزشی عملی « الزامات امنیت در سامانه های کنترل صنعتی و اسکادا»(منطبق بر سرفصل های رسمی دوره SANS ICS410: ICS/SCADA Security Essentials)
- سند معرفی دوره آموزشی امنیت اطلاعات در سامانههای کنترل صنعتی و زیرساختهای حیاتی : چالشها و راهکارها
- ارائه آموزشی حمله به سیستم های کنترل صنعتی (حملات کنترل صنعتی، از حرف تا عمل)
- سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز)
- معیارهای گزینش دورههای پیشرفته امنیت کنترل و اتوماسیون صنعتی درکشور
- دوره های آموزشی امن سازی سیستم های کنترل صنعتی در سطح پیشرفته
- کارگاه آموزشی امنیت اطلاعات در سامانههای کنترل صنعتی(کنفرانس انجمن کامپیوتر 96)
- کارگاه آموزشی امنیت اطلاعات در سامانههای کنترل صنعتی : چالشها و راهکارها(کنفرانس رمز 96)
- راهکارهای امنیت سایبری سامانه های کنترل صنعتی در جهان و تطبیق آن با وضعیت ایران
- دوره آموزشی امنیت سایبری در سامانه های صنعتی
- انتشار کتاب پروتکل کنترل صنعتی IEC 60870-5-104 از منظر امنیت سایبری
- بخشی از سوالات چک لیست ارزیابی امنیتی مرحله پیاده سازی پروتکل IEC 60870-5-104
