امنیت سایبری سیستم های کنترل صنعتی و اسکادا

احمدیان : مشاور ، مجری، مدرس و پژوهشگر/ کاندیدای دکترای تخصصی از دانشگاه صنعتی امیرکبیر

۱۴ مطلب با کلمه‌ی کلیدی «ارزیابی امنیت دیسپاچینگ» ثبت شده است

امنیت شبکه کنترل صنعتی: ارزیابی امنیتی و تست نفوذ شبکه های کنترل صنعتی

امنیت شبکه کنترل صنعتی: ارزیابی امنیتی و تست نفوذ شبکه های کنترل صنعتی

 

تجربه‌ موفقی دیگر در حوزه ارزیابی امنیتی و تست نفوذ تجهیزات لایه فیلد و کنترل‌کننده صنعتی، در کنار همکارانی فهیم و دغدغه‌مند از پژوهشگاه نیروی وزارت نیرو؛ میزبان شما عزیزان در کنفرانس بین‌المللی حفاظت و اتوماسیون در سیستم‌های قدرت(IPAPS 2019) هستیم، همراه با  اجرای عملی دموی حملات به سامانه‌های کنترل صنعتی حوزه  برق و انرژی  و معرفی راهکارهای ارزیابی امنیتی 

 سه‌شنبه و چهارشنبه 18 و 19 دی‌ماه، دانشکده مهندسی برق دانشگاه صنعتی شریف ، غرفه پژوهشگاه نیرو

 

 

مشاهده عکس بالا در اندازه بزرگتر

۱ نظر موافقین ۰ مخالفین ۰
امنیت سایبری شبکه صنعتی: گزارش بررسی اجمالی آسیب‌پذیری سوئیچ‌های صنعتی زیمنس (‏  CVE-2018-4833)

امنیت سایبری شبکه صنعتی: گزارش بررسی اجمالی آسیب‌پذیری سوئیچ‌های صنعتی زیمنس (‏ CVE-2018-4833)

 

سامانه‌های کنترل صنعتی که در صنعت و زیرساخت‌های حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکت‌های محدود و انحصاری تولید می‌گردند. این سامانه‌ها درگذشته به‌صورت جدا از سایر سامانه‌های دیگر به کار گرفته می‌شدند و این امر روشی در امن سازی این سامانه‌ها قلمداد می‌گردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرف‌کنندگان این سامانه‌ها را از پرداختن به سایر لایه‌های امنیتی غافل کرده بود. استفاده از معماری و پروتکل‌های غیر امن و واسط‌های غیراستاندارد را می‌توان از نتایج این رویکرد دانست [1].به دلیل نیازمندی‌های جدید و توسعه فناوری امروزه این قبیل سامانه‌های صنعتی، به‌تدریج با انواع جدیدتر جایگزین و یا به‌روزرسانی می‌گردند. در سامانه‌های جدید از پروتکل‌ها و نقاط دسترسی ارتباطی مشترک در شبکه‌ها استفاده می‌گردد [1]. به علت تفاوت‌های متعدد میان امنیت در فضای فناوری اطلاعات ( IT) و امنیت در فضای فناوری عملیاتی  (OT[1] ) لزوماً نمی‌توان راهکارهای عمومی حوزه‌ی سایبری را به حوزه‌ی سایبر-فیزیکی منتقل کرد[1].

 

 

 در غالب صنایع و زیرساخت‌های حیاتی شاهد به‌کارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچ‌های لایه دو و لایه سه، هاب‌ها، بریج‌ها، تقویت‌کننده‌های ارتباطی کارت‌های شبکه و حتی مسیریاب‌ها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکه‌ها به کار گرفته می‌شوند در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساخت‌های حیاتی کشور خواهیم بود. ازاین‌رو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکه‌های کنترل صنعتی(واحد‌های بهره بردار و نگه‌داری) قرار گیرد.

 در این سند در  بخش دوم به بررسی اجمالی آسیب‌پذیری سوئیچ‌های صنعتی زیمنس (‏  CVE-2018-4833) می‌پردازیم،  در بخش سوم در راستای پاسخ به سوال یکی از مخاطبان گرامی به گزینش دوره‌های پیشرفته امنیت کنترل و اتوماسیون صنعتی درکشور خواهیم پرداخت .در بخش چهارم مجموعه فیلم حوادث و حملات سایبر-فیزیکی به سامانه‌های کنترل صنعتی را معرفی خواهیم کرد و نهایتا در بخش پنجم به سوء برداشتی که در بین برخی مدیران صنایع و زیرساخت‌های حیاتی وجود دارد خواهیم پرداخت.

 

۰ نظر موافقین ۰ مخالفین ۰
امنیت اتوماسیون صنعتی و اسکادا: افشاء اطلاعات زیرساخت های حیاتی از طریق مستند تلویزیونی

امنیت اتوماسیون صنعتی و اسکادا: افشاء اطلاعات زیرساخت های حیاتی از طریق مستند تلویزیونی

در این ارائه به بررسی اجمالی مستند «آفتاب نهان» از زاویه نشت اطلاعات سایبر-فیزیکی صنایع و زیرساخت‏های حیاتی کشور می‌پردازیم. این مستند به گفته تهیه‌کنندگان آن اولین مجله تصویری صنعت هسته‌ای کشور محسوب می‌شود که در قالب 23 قسمت (هر قسمت تقریباً 28 دقیقه) از شبکه مستند پخش‌شده است و در کنار همه نقاط قوت و اهدافی که داشت و قطعاً متصدیان آن برای آن زحمت بسیاری کشیده‌اند متأسفانه به اعتقاد ما اطلاعات بسیاری را از صنایع هسته‌ای و صنایع وابسته، ازجمله پتروشیمی را در معرض دسترس عموم قرار داده است! می‌دانیم که حجم عظیمی از اطلاعات و داده‏های مهم صنایع کشور و شرکت‏های تابعه در فضای اینترنت و شبکه‌های مجازی به سهولت قابل‌دسترسی است: این اطلاعات شامل اطلاعات دارایی‌ها (تجهیزات، سازندگان، پروتکل‏ها، نرم‌افزارها و ...)، اطلاعات فرایند‏ها، اطلاعات ارتباطات، اطلاعات آزمایشگاه‏های امنیت سایبر-فیزیکی (اطلاعات، شبکه، امواج، شیمایی و غیره)، اطلاعات پیمانکاران و تصاویر و فیلم دارایی‌ها است که از طرق مختلف ازجمله وب‏سایت‏های رسمی صنایع و شرکت‏های تابعه، وب‏سایت‏های خبری (تصاویر بازدیدها و پروژه‏ها)، مقالات کنفرانس‏ها، ژورنال‌ها و مجلات، گروه‏ها تلگرامی و دیگر شبکه‏های اجتماعی در دسترس است و متأسفانه حالا مستندهای تلویزیونی نیز به این منابع اطلاعاتی اضافه‌شده است. ما بارها این مسئله را تذکر داده‌ایم و به‌تفصیل در این مورد در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز، پالایش و پتروشیمی در 27 دی 1396 صحبت کردیم! فایل (اسلایدها) این ارائه از طریق لینک ذیل قابل‌دسترسی است:

مشاهده فایل ارائه

۰ نظر موافقین ۰ مخالفین ۰
امنیت سیستمهای کنترل صنعتی و اسکادا: گزارش بررسی آسیب پذیری های تجهیزات شبکه و توجه به اهمیت آن

امنیت سیستمهای کنترل صنعتی و اسکادا: گزارش بررسی آسیب پذیری های تجهیزات شبکه و توجه به اهمیت آن

سامانه‌های کنترل صنعتی که در صنعت و زیرساخت‌های حیاتی کشورها مورداستفاده قرار دارند، اغلب توسط شرکت‌های محدود و انحصاری تولید می‌گردند. این سامانه‌ها درگذشته به‌صورت جدا از سایر سامانه‌های دیگر به کار گرفته می‌شدند و این امر روشی در امن سازی این سامانه‌ها قلمداد می‌گردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرف‌کنندگان این سامانه‌ها را از پرداختن به سایر لایه‌های امنیتی غافل کرده بود. استفاده از معماری و پروتکل‌های غیر امن و واسط‌های غیراستاندارد را می‌توان از نتایج این رویکرد دانست [1].

به دلیل نیازمندی‌های جدید و توسعه فناوری امروزه این قبیل سامانه‌های صنعتی، به‌تدریج با انواع جدیدتر جایگزین و یا به‌روزرسانی می‌گردند. در سامانه‌های جدید از پروتکل‌ها و نقاط دسترسی ارتباطی مشترک در شبکه‌ها استفاده می‌گردد [1]. در غالب صنایع و زیرساخت‌های حیاتی شاهد به‌کارگیری انواع تجهیزات ارتباطی شبکه نظیر سوییچ‌های لایه دو و لایه سه، هاب‌ها، بریج‌ها، تقویت‌کننده‌های ارتباطی کارت‌های شبکه و حتی مسیریاب‌ها هستیم. به دلیل اینکه این تجهیزات به شکل کاملاً فعال در شبکه‌ها به کار گرفته می‌شوند و در بسیاری از ارزیابی‌های که ما از صنایع کشور داشته‌ایم شاهد عدم پیاده‌سازی مکانیزم‌های HA برای این تجهیزات بوده‌ایم در صورت حمله یا گسترش آلودگی سایبری به این تجهیزات قطعاً شاهد اختلال در صنایع و زیرساخت‌های حیاتی کشور خواهیم بود. ازاین‌رو توجه به امنیت سایبر-فیزیکی این تجهیزات باید در دستور کار مدیران صنعت و حراست، مسئولان و سرپرستان، کارشناسان فناوری اطلاعات و شبکه‌های کنترل صنعتی قرار گیرد. لذا در این سند قصد داریم بعد از بیان نوشته اخیر دیل پترسون  در رابطه با استاکس‌نت، نمونه‌ای از آسیب‌پذیری‌های برخی از تجهیزات شبکه‌ای فراگیر در صنایع و زیرساخت‌های حیاتی کشور (تجهیزات موکسا، زیمنس و سیسکو) را موردبررسی قرار دهیم.

 در انتها در بخش پنجم این سند، به دلیل فراگیری تجهیزات سیسکو در کشور و از سویی اهمیت حمله اخیر به این تجهیزات گزارشی اجمالی از حمله به تجهیزات سیسکو دارای آسیب‌پذیری CVE-2018-0171 آن قرار داده‌ام تا ضمن مرور مختصر این حمله به نکات قابل‌توجه این حمله و نقاط ضعف خود در کشور پی ببریم و بتوانیم این نقاط ضعف را در برنامه‌های امن‌سازی صنایع کشور مدنظر قرار دهیم تا قبل از اینکه این‌گونه‌ حملات را در صنایع کشور شاهد باشیم توانسته باشیم برای پیشگیری از آن و مقابله با آن برنامه‌ریزی کرده باشیم.

 

در این گزارش 51 صفحه ای به موارد ذیل پرداخته  شده است:

۰ نظر موافقین ۰ مخالفین ۰
امنیت سایبری شبکه کنترل صنعتی و اسکادا: گزارش آسیب پذیری حیاتی در PLC  WAGO  CoDeSys

امنیت سایبری شبکه کنترل صنعتی و اسکادا: گزارش آسیب پذیری حیاتی در PLC WAGO CoDeSys

 

 

اخیراً آسیب‌پذیری با سطح مخاطره حیاتی از نوع احراز اصالت نامناسب در نرم‌افزار[1] CoDeSys شناسایی شد که محصولات WAGO PFC200 را تحت تأثیر قرار می‌دهد. این آسیب‌پذیری این امکان را به مهاجمین می‌دهد که در صورت بهره‌جویی[2] موفق بتوانند به شکل غیرمجاز به کنترل‌کننده (PLC) وصل شده و انواع دستورات و عملیات غیرمجاز را به شکل راه دور و از طریق درگاه[3] TCP شماره 2455 انجام دهند؛ این دستورات شامل خواندن، نوشتن و پا کردن فایل‌ یا دست‌کاری برنامه کنترل‌کننده (PLC) در حین اجرا است.

در گزارشی 19 صفحه ای که برای این آسیب پذیری آماده کرده به موارد ذیل پرداخته  خواهد شد:

 

  • 1.مشخصات آسیب‌پذیری
  • 2. معرفی آسیب‌پذیری
  • 3.گزاش فنی آسیب‌پذیری
  • 4.محصولات تحت تأثیر
  • 5.کدهای بهره‌جویی منتشرشده
  • 6.تاریخچه آسیب‌پذیری‌های محصولات تحت تأثیر
  • 7.توصیه‌ها و راه‌حل‌های امنیتی
  • 8.درس‌هایی از این آسیب‌پذیری
  • ضمیمه الف: آسیب‌پذیری و انواع آن
  • ضمیمه ب: توصیه‌های در مورد به‌روزرسانی تجهیزات و وصله‌های امنیتی
  • ضمیمه ج: اصول سه گانه‌ی امنیت
گزارش کامل این آسیب پذیری از طریق این لینک قابل دانلود است.
۰ نظر موافقین ۰ مخالفین ۰

امنیت سایبری سیستم کنترل صنعتی: حمله بدافزار VPNFilter به سایت صنعتی تولید کلر در اوکراین

در اوایل ماه می میلادی اسکن‌های TCP فراوانی روی درگاه‌های شماره‌های ۲۳، ۸۰، ۲۰۰۰ و ۸۰۸۰ مسیریاب‌ها و تجهیزات ذخیره‌ساز شبکه (NAS ) تولیدشده توسط شرکت‌های Mikrotik، ASUS، D-Link،TP-Link، Linksys، QNAP،Huawei، Ubiquiti، UPVEL و ZTE در بیش از ۱۰۰ کشور مشاهده‌شده است. گزارش‌های اولیه در ماه می میلادی حاکی از آلودگی بالغ‌بر 500 هزار دستگاه در دنیا بوده است. این بدافزار دارای قابلیت‌های راه‌اندازی مجدد تجهیزات هدف (حمله ممانعت از خدمات)، رصد ترافیک عبوری و جلوگیری از ارسال داد‌ه‌ها است.

اگرچه قربانیان اولیه‌ی بدافزار VPNFilter کاربران و شرکت‌های ISP کوچک و متوسط بودند اما شواهد حاکی از این دارد که احتمالاً به دلیل قدرت بسیار بالای این بدافزار، تیم سازنده بدافزار یا تیم دیگری که به کد منبع آن دسترسی داشته است از آن برای حمله به شبکه‌های کنترل صنعتی و زیرساخت‌های شبکه‌ای که بستر عبور ترافیک‌های صنعتی (خاص پروتکل مدباس) هستند استفاده نمودند. در این راستا یک پلاگین خاص برای تحلیل و شناسایی پروتکل مدباس طراحی و پیاده‌سازی شده است. می‌دانیم مدباس قدیمی‌ترین پرکاربردترین پروتکل ارتباطی برای سامانه‌های کنترل صنعتی است. مدباس به‌طور گسترده به‌عنوان یک استاندارد به کار گرفته‌شده است و طی سال‌ها تکامل‌یافته و نسخه‌های متفاوتی از آن به وجود آمده است.

جهت مشاهده  متن کامل گزارش این بدافزار(مراحل حمله، محصولات تحت تاثیر، توصیه ها و غیره) به فصل دوم سند گزارش اخیر بنده(ICS-SR-MMA-970502) مراجعه نمایید.

 

۰ نظر موافقین ۰ مخالفین ۰
امنیت  سیستمهای کنترل صنعتی و اسکادا: ویدئو مصاحبه بعد از سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز)

امنیت سیستمهای کنترل صنعتی و اسکادا: ویدئو مصاحبه بعد از سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز)

سخنرانی چالش های امنیتی در سامانه های سایبر-فیزیکی (با محوریت تحلیل جریان اطلاعات در خطوط لوله نفت و گاز) در ششمین کنفرانس فناوری اطلاعات و ارتباطات در نفت، گاز ،پالایش و پتروشیمی در 27 دی  در مرکز همایش های بین المللی شهید بهشتی  تهران با حضور مدیران، متولیان و متخصصین شبکه های کنترل صنعتی صنایع مربوطه برگزار گردید و مورد استقبال مطلوبی در این کنفرانس و فضای مجازی قرار گرفت. در پایان این سخنرانی مصاحبه ای از سوی دبیرخانه محترم کنفرانس و جناب آقای منصور گنجی (ماهنامه شبکه)  انجام گرفت که ضمن تشکر از جناب گنجی بزرگوار و جناب  بیدختی عزیز،  شما را به  مشاهده ویدئوی این مصاحبه دعوت می‌کنم.

برخی سوالات که در این مصاحبه به آن پرداخته شد :

 

 

 

  • مختصری از  مقدمه سخنرانی مربوطه (بخش چالش های امنیتی در صنایع کشور)...؟
  • برخی راهکارها پیشنهادی برای صنایع و زیرساخت های حیاتی...؟ 
  • برخی راهکارها برای علاقه مندان و گروه هایی که به دنبال فراگیری امنیت در حوزه اتوماسیون صنعتی(صنایع و سامانه های کنترل صنعتی آنها) اند ...؟

 

لینک مشاهده و دانلود مصاحبه در آپارات

۰ نظر موافقین ۰ مخالفین ۰
امنیت سیستم کنترل صنعتی : یک حادثه  یا یک حمله سایبر-فیزیکی؟!  مسئله این است!

امنیت سیستم کنترل صنعتی : یک حادثه یا یک حمله سایبر-فیزیکی؟! مسئله این است!

به راستی چقدر به فکر حملات سایبر-فیزیکی ممکن برای صنعت خود بوده ایم؟! آیا برای بعد از حملات و حوادث برنامه های ایمنی و امنیتی تدوین کرده ایم و مکانیزم های لازم را اعمال نموده ایم؟  با ما باشید تا به شما کمک کنیم...

برای مشاهده مجموعه ویدئوهای حوادث و حملات سایبر-فیزیکی به سامانه های کنترل صنعتی به این لینک مراجعه نمایید.

 

۰ نظر موافقین ۰ مخالفین ۰
ارزیابی امنیت سیستم های کنترل صنعتی:بخشی از  سوالات  چک لیست ارزیابی امنیتی مرحله پیاده سازی پروتکل IEC 60870-5-104

ارزیابی امنیت سیستم های کنترل صنعتی:بخشی از سوالات چک لیست ارزیابی امنیتی مرحله پیاده سازی پروتکل IEC 60870-5-104

در تصویر  فوق بخشی از سوالات چک لیست ارزیابی امنیتی  مرحله پیاده سازی  پروتکل کنترل صنعتی IEC 60870-5-104  را مشاهده می کنیم. استفاده از سوالات چک لیست ها یکی از روش های مرسوم در  ارزیابی امنیتی سامانه های مختلف است که به شکل دستی یا نرم افزاری انجام می شود. این چک لیست بخشی از فصل 4  کتاب «پروتکل کنترل صنعتی IEC 60870-5-104 از منظر امنیت سایبری» است در از طریق این لینک می توانید با آن آشنا شوید.

پروتکل IEC 60870-5-104 که به طور مخفف در این کتاب به آن T104  گفته می شود در استاندارد مرجع با عنوان کلی «دسترسی به شبکه با استفاده از روش‌های انتقال استاندارد» مطرح است که مشخص کننده نحوه استفاده از پروتکل TCP/IP در این استاندارد است. این استاندارد ضمیمه جهت سیستم‌های اسکادای برق طراحی شد و به عنوان یک واسط باز TCP/IP برای ارتباط بین تجهیزات مختلف در شبکه‌های اینترانت و اینترنت استفاده می‌شود . یکی از مهم‌ترین ویژگی‌های مورد توجه پروتکل T104 امکان ارتباط با شبکه‌های استاندارد (به ویژه شبکه‌های TCP/IP) است که اجازه انتقال همزمان داده‌های چندین دستگاه و خدمت را می‌دهد. T104 کاربردهای متعددی در صنایع و زیرساخت های حیاتی از جمله انتقال دستورهای مستقیم، انتقال فوری داده‌ها، انتقال داده در صورت نیاز، همزمان سازی ساعت و انتقال فایل را فراهم می‌کند[1].
 

۰ نظر موافقین ۰ مخالفین ۰
امنیت  در سیستمهای اتوماسیون صنعتی: مجموعه فیلم حوادث و حملات سایبر-فیزیکی به سامانه های کنترل صنعتی

امنیت در سیستمهای اتوماسیون صنعتی: مجموعه فیلم حوادث و حملات سایبر-فیزیکی به سامانه های کنترل صنعتی

بنا به تقاضای برخی مخاطبین محترم کارگاه های آموزشی،در این پست قصد دارم به مرور ،مجموعه ارائه ها و ویدئوهای مختلف در حوزه حوادث  و حمله های سایبر-فیزیکی به سامانه های کنترل صنعتی  رامعرفی نمایم (با کلیک بر روی لینک هر عنوان ویدئو مربوطه را مشاهده خواهید کرد):

  • نفوذ سایبر-فیزیکی به زیرساختها و پست های برق آمریکا  (لینک)
    • در این فیلم که توسط یک شرکت امنیتی تولید و منتشر شده است نحوه نفوذ سایبر-فیزیکی به زیرساختها و پست های برق آمریکا را مشاهده می کنیم. قبل از اینکه دیر شود امنیت سایبر-فیزیکی زیرساختهای برق را جدی بگیریم.
  • آتش سوزی در ایستگاه برق شرکت فولاد در اثر حمله سایبری به ونزوئلا(لینک فیلم 1 ،لینک فیلم2 )
    • در پی قطع برق سراسری در ونزوئلا، برخی منابع گزارش دادند در روز شنبه 9 مارس ایستگاه برق SIDOR در شهر Puerto Ordaz در اثر قطع برق دچار آتش سوزی شد . SIDOR یکی از بزرگترین شرکت فولادسازی در ونزوئلا است.
  • دموی حمله باج افزار به سیستم کنترل و اتوماسیون صنعتی(لینک)
    • همانطور که در پست  «هشدار به کارشناسان امنیت سامانه های کنترل صنعتی در مورد باجگیرافزارها » پیشبینی کرده بودیم و هشدار داده بودیم باجگیرافزارهای سامانه های کنترل صنعتی دو سالی است که پا به عرصه گذاشته اند. دو محقق از مؤسسه فناوری جورجیا، باجگیرافزاری آزمایشی ساخته‌اند که قادر است ضمن قطع دسترسی به دستگاه PLC تنظیمات آن را نیز تغییر دهد. این محققان این نمونه باجگیرافزار را روز دوشنبه 25 بهمن 1395 در کنفرانس RSA ارائه کردند. در دنیای واقعی تجهیزات PLC دریچه‌ها، موتورها، پمپ‌ها، حسگرها، آسانسورها، پله‌های برقی، ورودی‌های ولتاژ، زمان‌سنج‌ها، سیستم‌های تهویه و بسیاری از سیستم‌های مکانیکی دیگر را کنترل می‌کنند.
    • تجهیزات PLC که در موقعیت های مختلف پراکنده‌اند خود نیز از طریق نرم‌افزارهای صنعتی که معمولاً بر روی یک کامپیوتر معمولی یا صنعتی نصب شده‌اند توسط اپراتور یا بصورت خودکار کنترل و نظارت می‌شوند.
    • در حقیقت تجهیزات PLC، قلب تپنده سامانه های کنترل صنعتی (ICS) و سامانه‌های اسکادا هستند. سامانه های کنترل صنعتی داده‌ها را از روی دستگاه متصل به آن جمع‌آوری کرده و آنها را به کامپیوتر و نرم‌افزار کنترل‌کننده نصب شده بر روی آن ارسال می‌کند. همچنین PLC فرامین دریافت شده از نرم‌افزار کنترلی را نیز بر روی دستگاه اعمال می‌کند.
    •  اکنون این دو محقق در این فیلم نشان داده‌اند که چطور یک باج‌افزار می‌تواند با اجرا شدن بر روی دستگاه با نرم‌افزار اسکادا  دسترسی به PLC را مسدود کرده و حتی در پشت صحنه تنظیمات آن را هم بنحوی مخرب تغییر دهد.حمله باجگیرافزار به مرکز تصفیه آب می‌تواند یک سناریوی احتمالی باشد. مهاجم دسترسی به تجهیزات PLC را مسدود کرده و در عین حال مقدار ترکیبات کلردار اضافه شده به آب را نیز به میزان خطرناکی افزایش می‌دهد. این مهاجم در ازای بازگشایی دسترسی به تجهیزات PLC مبلغ بسیار هنگفتی را اخاذی می‌کند.بسته به تعداد دستگاه‌های PLC قفل‌شده ممکن است سازمان هدف قرار گرفته شده پرداخت باج را به Reset کردن هر دستگاه و پیکربندی مجدد آن که ممکن است ساعت‌ها زمان ببرد ترجیح دهد.
  • فیلم راف لنگنر در مورد استاکس نت و تشخیص آن از طریق صدای سانتریفیوژ (لینک)
    • در این فیلم لاف لنگنر پژوهشگر برجسته حوزه امنیت سامانه های کنترل صنعتی بر اساس فیلم های جدید منتشر شده از سایت های هسته ای کشور به مسئله احتمال تشخیص استاکس نت از طریق نویز شدید ایجاد شده می پردازد. راف به‌صراحت به صدای بلند نویزی اشاره دارد که واضح است که تیم مستقر در سایت هسته‌ای می‌دانست که سرعت چرخش در صفحه‌نمایش آن‌ها دقیق نیست. اخیراً مستندی چند قسمتی در کشور با عنوان آفتاب نهان توسط شبکه مستند تولیدشده که اطلاعات بسیاری از صنایع هسته‌ای کشور را منتشر کرده است که علیرغم اینکه در این فیلم تصاویر مانیتورها و برخی تجهیزات محو شده است اما بازهم حجم زیادی اطلاعات از دارایی‌هایی فیزیکی سایت های اتمی منتشر شده است که ما بارها این مسئله را تذکر داده‌ایم و در کنفرانس PetroICT اخیر نیز یک سخنرانی با همین موضوع و اهمیت اطلاعات میدانی در سایت های صنعتی ارائه کردم. 
  • آزمایش و  انفجار ناشی از افزایش فشار بخار حاصل از جوشیدن مایع از دنیای فیزیکی تا دنیای سایبری (لینک)
    • در این فیلم در بخش اول شاهد آزمایش انفجار ناشی از افزایش فشار بخار حاصل از جوشیدن مایع(*BLEVE) هستیم که عمده ترین انفجار مخازن در صنایع مختلف بوده که سبب دو یا چند تکه شدن مخزن مایع در کسری از ثانیه می شود و بسیار خطرناک است. انفجار این مخازن زمانی صورت می گیرد که درجه حرارت مایع داخل مخزن به بالاتر از نقطه جوش خود ( در فشار اتمسفر) برسد. در بخش دوم فیلم نمونه واقعی این نوع انفجار را خواهیم دید.
    • با توسعه فناوری اطلاعات (IT) و نسل چهارم سامانه های اتوماسیون ، اسکادا و فناوری های عملیاتی(OT)  و همگرا شدن آنها شاهد هوشمند شدن بیشتر تجهیزات مختلف تا لایه فیلد(Field) خواهیم بود؛ آنگاه حوداث فیزیکی نظیر انفجارها در صنایع نفت، گاز، پالایش، پتروشیمی، نیروگاه ها، فولاد، مس و غیره کی در برخی موارد تا چند کیلومتر می تواند به محیط اطراف آسیب جبران ناپذیری وارد کند می تواند از بستر کانالهای سایبری و توسط مهاجمین انجام شود؛ به مرور بحث ایمنی(Safety) و امنیت(Security) به همدیگر نزدیک تر می شوند همانطور که بدافزار Triton این مسئله را نشان داد! *:Boiling Liquid Expanding Vapor Explosion
  • یک حادثه در مجتمع مس شهربابک (کارخانه ذوب خاتون آباد) (لینک)
    • به گزارش باشگاه خبرنگاران جوان در این ویدئو به عنوان یک حادثه غیرامنیتی شاهد پاره شدن سیم جرثقیل سقفی در سالن ذوب مس و چپ شدن پاتیل مواد مذاب هستیم. در این حادثه خوشبختانه به کسی آسیب نرسیده است. هرچه فناوری اطلاعات(IT) و نسل چهارم سامانه های اتوماسیون و اسکادا توسعه پیدا کنند و با فناوری های عملیاتی(OT) همگرا شوند شاهد هوشمند شدن بیشتر تجهیزات مختلف تا لایه فیلد(Field) خواهیم بود؛ تصور کنید در آن زمان (که چندان دور هم نخواهد بود) مهاجمین می توانند در صورت ضعف در امنیت صنایع و زیرساخت های حیاتی به راحتی این گونه حوادث فیزیکی را از طریق کانال های سایبری تحقق بخشند؛ مانند اتفاقی که در سال 2014 در صنعت فولاد آلمان افتاد. در حمله سایبری به صنعت فولاد آلمان مهاجمین با تکنیک های مهندسی اجتماعی و فیشینگ بدافزاری را از لایه مالی-تجاری صنعت به لایه کنترل محلی رساندند و با شناخت بسیار زیادی که از صنعت هدف داشتند و این صنعت را در سطح عالی می شناختند(شناخت در سطح فرایندها، دارایی ها، ارتباطات و غیره) تخریب شدید فیزیکی را در این صنعت رقم زدند! مدیران عزیز و سرپرستان گرامی! قبل از اینکه دیر شود و اینترنت اشیاء صنعتی و نسل چهارم اتوماسیون فراگیر شوند به فکر امنیت صنایع و زیرساخت های حیاتی وابسته به اتوماسیون صنعتی  باشیم!
  • دموی حمله DoS  به PLC (لینک)
    • در این ویدئو دموی حمله ممانعت از خدمات(DoS)  با سناریو بسیار ساده ای را مشاهده می کنیم
  • دموی حمله دستکاری مقادیر کنترلی ژنراتور (لینک)
    • در این ویدئو نمونه حمله سایبر-فیزیکی (زیررنظر آزمایشگاه آیداهو) را مشاهده می کنید که بعد از انجام نفوذ به سامانه کنترلی آسیب پذیر کنترل  ژنراتور  به دست گرفته می شود و منجر به بروز چنین رخدادی می شود. بسیار قابل توجه است که بسیاری از صنایع در برابر چنین حملاتی آسیب پذیر هستند و متولیان صنایع باید هرچه سریعتر به فکر امن سازی سامانه های عملیاتی و فرایندی خود باشند.
  • نمونه یک مسیر از درخت حمله سایبری به سامانه های کنترل صنعتی (لینک)
    •  نمونه صنعت: پلنت نیروگاه برق
    • نکات :
      •   اهمیت فاز شناسایی در حملات هدفمند به زیرساخت های حیاتی و سامانه های کنترل صنعتی
        •  متاسفانه این مرحله از شناسایی برای مهاجمین در کشور ما تسهیل شده است، چرا که بسیاری از اطلاعات پلنت های صنعتی ما در اینترنت، کانال های فضای مجازی، مقالات و ویدئوهای تبلیغاتی و  غیره بدون رعایت اصول امنیتی افشاء می شود!
          • مهاجمین حرفه ای سازمان دهی شده زمان و هزینه زیادی برای شناسایی و حمله به پلنت هدف اختصاص می دهند.
        •  بهره گیری از تکنیک های مهندسی اجتماعی اهمیت ویژه ای دارد.
  • یک حادثه یا یک حمله سایبر-فیزیکی، مسئله این است! (لینک)
    • در این ویدئو در کمترین زمان ممکن، یک انفجار مهیب در یک سایت صنعتی به وقوع می‌پیوندد و حجم عظیمی از خاکستر و دود به هوا بر می خیزد، حادثه ای که تلفات جانی و مالی بسیاری را به همراه دارد.گاهی مرز میان حوادث در صنایع و حملات سایبر-فیزیکی به آنها، آنقدر به هم نزدیک می شود و از سویی با فقدان شواهد فورنزیکی در اثر خلاء زیرساخت ایمنی و امنیتی در صنایع روبه رو می شویم که واقعا مسئله تیم ارزیابی این می شود که با یک حادثه رو به رو هستیم یا یک حمله سایبر-فیزیکی! به راستی چقدر به فکر حملات سایبر-فیزیکی ممکن برای صنعت خود بوده ایم و به چه میزان برای کاهش خسارات و تلفات آن برنامه ریزی کرده ایم؟ آیا برای بعد از حملات و حوادث برنامه های ایمنی و امنیتی تدوین کرده ایم و مکانیزم های لازم را اعمال نموده ایم؟
  • فیلم راف لنگنر  و  دیل پترسون  در مورد استاکسنت (لینک)
    • در این فیلم لاف لنگنر و دیل پترسون از پژوهشگران برجسته حوزه امنیت سامانه های کنترل صنعتی به تحلیل اولیه بر روی استاکسنت می پردازند.

این پست به مرور  تکمیل می گردد

 

*** با عضویت در کانال تلگرام(MohammadMehdiAhmadian@) از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***
*** با دنبال کردن کانال اینستاگرام( mmAhmadian@) از مطالب تصویری و ویدئویی و به روزرسانی ها مطلع شوید.***
*** با دنبال کردن کانال آپارات( mmAhmadian@) از ویدئوهای آموزشی و اطلاع رسانی ما مطلع شوید.***
*** در صورت فیلتر تلگرام،باعضویت در کانال سروش(mmAhmadian@) از مطالب بیشتر، فیلم ها و به روزرسانی ها مطلع شوید.***

 

 

 

 

۰ نظر موافقین ۰ مخالفین ۰