Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena
Starija izmjena
racfor_wiki:razno:sigurnost_plc_uredaja [2022/01/09 18:44]
iivankovic
racfor_wiki:razno:sigurnost_plc_uredaja [2023/06/19 18:17] (trenutno)
Redak 4: Redak 4:
 Nužno je pridržavati se dobrih praksi kako bi se osigurala maksimalna sigurnost, ali isto tako je bitno da su inženjeri upoznati s lošim praksama kako bi se mogli osigurati od sigurnosnih incidenata. Kroz zadnjih 10 godina dogodili su se brojni napadi na ove sustave gdje je došlo na vidjelo koliko su sustavi industrijskih postrojenja nesigurni i koliko su potencijalno velike posljedice napada. Nužno je pridržavati se dobrih praksi kako bi se osigurala maksimalna sigurnost, ali isto tako je bitno da su inženjeri upoznati s lošim praksama kako bi se mogli osigurati od sigurnosnih incidenata. Kroz zadnjih 10 godina dogodili su se brojni napadi na ove sustave gdje je došlo na vidjelo koliko su sustavi industrijskih postrojenja nesigurni i koliko su potencijalno velike posljedice napada.
  
-Keywords: plc, industrijska postrojenja, stuxnet, industroyer, havex, logiclocker+Ključne riječi: plc, industrijska postrojenja, stuxnet, industroyer, havex, logiclocker
  
 ===== Uvod ===== ===== Uvod =====
Redak 13: Redak 13:
 ===== PLC uređaj i njegovo okruženje ===== ===== PLC uređaj i njegovo okruženje =====
 PLC uređaji su jedni od glavnih elemenata u industrijskim informacijskim sustavima. U sebi sadrže mikroprocesor i namijenjeni su za kontrolu proizvodnih procesa. Neki od primjera upotrebe su pokretne trake, strojevi i roboti. Originalno su napravljeni za automobilsku industriju, no s vremenom kada se vidjela njihova učinkovitost, postali su standard u automatizacijskim procesima u industrijskim postrojenjima. PLC uređaji su jedni od glavnih elemenata u industrijskim informacijskim sustavima. U sebi sadrže mikroprocesor i namijenjeni su za kontrolu proizvodnih procesa. Neki od primjera upotrebe su pokretne trake, strojevi i roboti. Originalno su napravljeni za automobilsku industriju, no s vremenom kada se vidjela njihova učinkovitost, postali su standard u automatizacijskim procesima u industrijskim postrojenjima.
-Primaju podražaje od različitih senzora ili drugih uređaja koji ima daju informacije o trenutačnom stanju u radnom okruženju i PLC zatim reagira s predviđenom radnjom za taj scenarij. Osim ulaznih informacija, PLC šalje izlazne informacije ostalim PLC uređajima koji ovise o njemu ili SCADA sustavima.+Primaju podražaje od različitih senzora ili drugih uređaja koji im daju informacije o trenutačnom stanju u radnom okruženju i PLC zatim reagira s predviđenom radnjom za taj scenarij. Osim ulaznih informacija, PLC šalje izlazne informacije ostalim PLC uređajima koji ovise o njemu ili SCADA sustavima.
 SCADA (Supervisory Control and Data Acquisition) su informacijski sustavi koji su nadziru proizvodne procese i upravljaju njima. SCADA je zadužena da nadzire PLC uređaje i da prikuplja informacije od njih i ostalih uređaja u svrhu daljnjeg procesiranja, vizualiziranja ili arhiviranja podataka. SCADA (Supervisory Control and Data Acquisition) su informacijski sustavi koji su nadziru proizvodne procese i upravljaju njima. SCADA je zadužena da nadzire PLC uređaje i da prikuplja informacije od njih i ostalih uređaja u svrhu daljnjeg procesiranja, vizualiziranja ili arhiviranja podataka.
 PLC uređaji imaju ugrađenu komunikaciju preko USB, Ethernet ili specifičnih protokola za pojedinog proizvođača uređaja. Komunikacija se odvija prema raznim senzorima, SCADA sustavima ili HMI sustavima. PLC uređaji imaju ugrađenu komunikaciju preko USB, Ethernet ili specifičnih protokola za pojedinog proizvođača uređaja. Komunikacija se odvija prema raznim senzorima, SCADA sustavima ili HMI sustavima.
 HMI (Human Machine Interface) je sustav koji nudi grafičko korisničko sučelje preko kojeg inženjeri mogu mijenjati konfiguracije PLC uređaja, vršiti nadogradnje ili pratiti stanje i napredak uređaja u postrojenju. HMI (Human Machine Interface) je sustav koji nudi grafičko korisničko sučelje preko kojeg inženjeri mogu mijenjati konfiguracije PLC uređaja, vršiti nadogradnje ili pratiti stanje i napredak uređaja u postrojenju.
 +
 +Sljedeća slika prikazuje jedan PLC uređaj, točnije Siemens S7-300.
 +{{ :racfor_wiki:razno:teaser-lg.jpg |}}
  
 =====  Problemi zaštite PLC uređaja ===== =====  Problemi zaštite PLC uređaja =====
 Jedna od najvećih prijetnji sigurnosti PLC uređaja je poveznica između PLC uređaja i ostalih računala/uređaja. Radi jednostavnosti upravljanja uređajima, kompanije nerijetko spoje PLC na bežičnu mrežu kako bi mu inženjeri lakše mogli pristupiti. PLC generalno ima slabu do nikakvu mogućnost autentifikacije korisnika, te spajanjem u bežičnu mrežu bilo tko može mijenjati njegovu konfiguraciju ili čak pratiti njegov promet. CyberX je u svojem izvještaju pokazao da preko 84% industrijskih mreža ima barem jedan vanjski uređaj koji koriste za udaljeni pristup mreži. Iako olakšava rad, predstavlja izrazito veliku sigurnosnu manu. Jedna od najvećih prijetnji sigurnosti PLC uređaja je poveznica između PLC uređaja i ostalih računala/uređaja. Radi jednostavnosti upravljanja uređajima, kompanije nerijetko spoje PLC na bežičnu mrežu kako bi mu inženjeri lakše mogli pristupiti. PLC generalno ima slabu do nikakvu mogućnost autentifikacije korisnika, te spajanjem u bežičnu mrežu bilo tko može mijenjati njegovu konfiguraciju ili čak pratiti njegov promet. CyberX je u svojem izvještaju pokazao da preko 84% industrijskih mreža ima barem jedan vanjski uređaj koji koriste za udaljeni pristup mreži. Iako olakšava rad, predstavlja izrazito veliku sigurnosnu manu.
  
-Industrijska postrojenja bi se trebala držati nekih preporučenih sigurnosnih praksi, no i proizvođači moraju imati sigurnost na umu prilikom kreiranja PLC uređaja. Proizvođači trebaju uzeti u obzir sigurnost protokola koje koriste u svojim uređajima. Brojni standardi koji su osmišljeni ne uzimaju u obzir sigurnost, pa brojna rješenja koja koriste Ethernet ne osiguravaju integritet podataka, tajnost i nemaju potporu za autentifikaciju. Iskorištavanjem ranjivosti protokolamogu izvršiti brojne vrste napada npr. Man in the Middle napad. Ako ostala računala u industrijskom postrojenju koriste istu mrežu kao i PLC uređaji, tada može biti narušena njihova sigurnost ili dostupnost. Mreže bi se trebale razdvojiti u više podmreža kako bi se smanjile posljedice takvih propusta.+Industrijska postrojenja bi se trebala držati nekih preporučenih sigurnosnih praksi, no i proizvođači moraju imati sigurnost na umu prilikom kreiranja PLC uređaja. Proizvođači trebaju uzeti u obzir sigurnost protokola koje koriste u svojim uređajima. Brojni standardi koji su osmišljeni ne uzimaju u obzir sigurnost, pa brojna rješenja koja koriste Ethernet ne osiguravaju integritet podataka, tajnost i nemaju potporu za autentifikaciju. Iskorištavanjem ranjivosti protokola mogu izvršiti brojne vrste napada npr. Man in the Middle napad. Ako ostala računala u industrijskom postrojenju koriste istu mrežu kao i PLC uređaji, tada može biti narušena njihova sigurnost ili dostupnost. Mreže bi se trebale razdvojiti u više podmreža kako bi se smanjile posljedice takvih propusta.
 Snimanje i redovito promatranje mrežnog prometa je također bitno kako bi se mogli sigurnosni incidenti što prije otkrili i isto tako što prije razriješili. Snimanje i redovito promatranje mrežnog prometa je također bitno kako bi se mogli sigurnosni incidenti što prije otkrili i isto tako što prije razriješili.
 Mehanizmi nadogradnje sustava su izrazito bitni kako bi se što prije i što efikasnije otklonile postojeće ranjivosti u sustavima. Ako se radi o manjem broju uređaja to ne predstavlja veliki problem, no u većini slučajeva se radi o izrazito velikim i kompleksnim mrežama uređaja što može biti veliki problem inženjerima za održavati. Zato bi proizvođači trebali imati sigurne i brze mehanizme nadogradnje kako bi olakšale rad s uređajima. Mehanizmi nadogradnje sustava su izrazito bitni kako bi se što prije i što efikasnije otklonile postojeće ranjivosti u sustavima. Ako se radi o manjem broju uređaja to ne predstavlja veliki problem, no u većini slučajeva se radi o izrazito velikim i kompleksnim mrežama uređaja što može biti veliki problem inženjerima za održavati. Zato bi proizvođači trebali imati sigurne i brze mehanizme nadogradnje kako bi olakšale rad s uređajima.
Redak 37: Redak 40:
 Crv ulazi u radno okruženje putem zaraženog USB uređaja, te se zatim širi na Windows operacijske sustave. Na Windows računalima bi tražio Siemens S7 sustave koji se nalaze u mreži. Nakon što je našao Siemens sustav, napadao je SCADA sustav preko kojeg je promijenio PLC algoritme. Sve promjene koje su napravljene su bile skrivene kako inženjeri ne bi mogli primijetiti da se nešto opasno događa u sustavu.  Crv ulazi u radno okruženje putem zaraženog USB uređaja, te se zatim širi na Windows operacijske sustave. Na Windows računalima bi tražio Siemens S7 sustave koji se nalaze u mreži. Nakon što je našao Siemens sustav, napadao je SCADA sustav preko kojeg je promijenio PLC algoritme. Sve promjene koje su napravljene su bile skrivene kako inženjeri ne bi mogli primijetiti da se nešto opasno događa u sustavu. 
  
 +Prikaz različitih vektora širenja prije nego Stuxnet dolazi do PLC uređaja je prikazan na sljedećoj slici.
 +{{ :racfor_wiki:razno:4-figure4-1.png?600 |}}
 ==== Industroyer ==== ==== Industroyer ====
-Stuxnet je maliciozni crv koji je otkriven 2010. godine, ali se vjeruje da je njegov razvoj počeo već 2005godine. Crv je izrazito sofisticiran jer je koristio čak 4 zero-day (prethodno nitko nije znao da postoje) i zarazio je preko 200,000 računala uzrokovao je oštećenja/uništenja 1000 strojeva. Meta napada je bilo Iransko nuklearno postrojenje, točnije PLC uređaji postrojenju koji su se brinuli o plinskim centrifugama za razdvajanje nuklearnog materijala. Crv je došao do postrojenja gdje je prvo prikupljao informacije i zatim počeo uništavati centrifuge. Neki izvori navode da je Stuxnet uništio petinu Iranskih nuklearnih centrifuga+Industroyer (poznat i pod nazivom "Crashoverride"je zloćudni program koji je zaslužan za napad na Ukrainsku električnu mrežu. Napad je izvršen 17. prosinca 2016. godine, te je prouzrokovao nestanak struje u petini glavnog grada KijevaPoseban je jer je prvi program koji je uočen da napada električnu mrežu.   
- +Sastavljen je od 4 komponente:   
-Crv ulazi radno okruženje putem zaraženog USB uređaja, te se zatim širi na Windows operacijske sustave. Na Windows računalima bi tražio Siemens S7 sustave koji se nalaze u mreži. Nakon što je našao Siemens sustav, napadao je SCADA sustav preko kojeg je promijenio PLC algoritme. Sve promjene koje su napravljene su bile skrivene kako inženjeri ne bi mogli primijetiti da se nešto opasno događa u sustavu +  * Glavni "backdoor" - koristi se za upravljanjem ostalim komponentama. Spaja se na servere preko koji napadači dalje mogu upravljati sustavom 
 +  * Dodatni "backdoor" - osigurava dodatni mehanizam koji omogućava napadačima da si vrate pristup sustavu slučaju da je glavni backdoor otkriven ili onemogućen  
 +  * Komponenta koja napada specifične komunikacijske protokole, pronalazi uređaje mreži i inicijalizira napad prema uređajima koje želi napasti   
 +  * Komponenta koja brišWindows Registy ključeve i zamjenjuje određene datoteke s ciljem da se uređaj ne može ponovo pokrenuti da je teže oporavljanje od napada.
 ==== Havex ==== ==== Havex ====
 Havex (poznat kao Backdoor.Oldrea) je RAT (remote access trojan) čija je namjena krađa informacija o industrijskim postrojenjima. Modul za skeniranje mreže se primarno fokusirao na Siemens i Rockwell Automation uređaje. Sakupljene informacije su se prenosile na server preko kojeg je napadač imao pristup sustavu. Kada bi Havex bio instaliran na jednom uređaju, skenirao bi industrijsku mrežu za bilo kakve SCADA uređaje. Nakon toga je pomoću OPC standarda, koji je standardni komunikacijski protokol, slao informacije napadačevom serveru. Havex (poznat kao Backdoor.Oldrea) je RAT (remote access trojan) čija je namjena krađa informacija o industrijskim postrojenjima. Modul za skeniranje mreže se primarno fokusirao na Siemens i Rockwell Automation uređaje. Sakupljene informacije su se prenosile na server preko kojeg je napadač imao pristup sustavu. Kada bi Havex bio instaliran na jednom uređaju, skenirao bi industrijsku mrežu za bilo kakve SCADA uređaje. Nakon toga je pomoću OPC standarda, koji je standardni komunikacijski protokol, slao informacije napadačevom serveru.
Redak 47: Redak 54:
 Ideja je da Havex prvotno skuplja brojne informacije i podatke koje bi napadač kasnije mogao koristiti za neki drugi vektor napada. Napadač je mogao koristiti brojne metode napada, no najčešće je fokus bio na napad dobavnim lancem (supply chain) ili watering-hole napad. Ideja je da Havex prvotno skuplja brojne informacije i podatke koje bi napadač kasnije mogao koristiti za neki drugi vektor napada. Napadač je mogao koristiti brojne metode napada, no najčešće je fokus bio na napad dobavnim lancem (supply chain) ili watering-hole napad.
  - Supply chain napad je napad na legitimnog proizvođača software-a gdje se prvo iskoristi ranjivost na njihovoj stranici i zatim stavi maliciozni trojanac u legitiman software  - Supply chain napad je napad na legitimnog proizvođača software-a gdje se prvo iskoristi ranjivost na njihovoj stranici i zatim stavi maliciozni trojanac u legitiman software
- - Watering-hole je napad gdje se korisnik preusmjerava s legitimne stranice na napadačevu stranicu gdje preuzimaju maliciozni software bez da to primijete.+ - Watering-hole je napad gdje se korisnik preusmjerava s legitimne stranice na napadačevu stranicu gdje preuzima maliciozni software bez da to primijeti.
  
 ===== Zaključak ===== ===== Zaključak =====
racfor_wiki/razno/sigurnost_plc_uredaja.1641750298.txt.gz · Zadnja izmjena: 2023/06/19 18:15 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0