سردبیر - شرکت پیشگامان امن آرمان (امان)

شناسایی اجمالی تهدیدات و آسیب‌پذیری‌ها پروتکل IEC 60870-5-104 (بخش سوم)

این خبر، بخش سوم مقاله مربوط به امنیت پروتکل IEC 60870-5-104 است که توسط واحد تخصصی آگاهی‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شده است.جهت دسترسی به بخش‌های قبلی این مقاله به انتهای همین صفحه مراجعه نمایید. مراجع این مقاله فنی در انتهای این خبر درج شده اند و در صورت استفاده از مطالب این مقاله لازم است به مراجع مذکور ارجاع داده شود.

به‌منظور شناسایی آسیب‌پذیری‌ها در IEC 60870-5-104 ما از دو سناریو بهره برده‌ایم. نخست به بررسی و کالبدشکافی اسناد منتشرشده از استاندارد و پروتکل هدف پرداخته‌ایم تا بتوانیم آسیب‌پذیری‌های مرحله طراحی را استخراج نماییم. در سناریو دوم با پیاده‌سازی بستر آزمایشی و بررسی اسنادی که این نوع سناریو را انجام داده‌اند تلاش کردیم در عمل آسیب‌پذیری‌ها و حملات به این پروتکل را بررسی کنیم؛ در ادامه در بخش‏3-1- به شکل تلفیقی از این دو سناریو آسیب‌پذیری‌های مرحله طراحی این پروتکل را تبیین می‌کنیم. در بخش ‏3-2- به بررسی آسیب‌پذیری‌های امنیتی مرحله‌ی پیاده‌سازی و عملیاتی IEC 60870-5-104 و تجهیزات مرتبط با آن می‌پردازیم.

حملات می‌توانند به سطوح مشخصی با توجه به نیازمندی اطلاعاتی و مهارت یک مهاجم طبقه‌بندی شوند؛ جدول (1) چهار سطح حملات را نشان می‌دهد که ما در ادامه مقاله بر اساس آن حملات را معرفی کرده‌ایم.

سطح حمله	شماره تهدید
پیشرفته	4
باتجربه	3
عادی	2
تصادفی	1

(جدول-1): سطوح حمله

1-1- آسیب‌پذیری‌های طراحی

در این بخش قصد داریم به بررسی آسیب‌پذیری‌های امنیتی مرحله طراحی استاندارد (پروتکل) IEC 60870-5-104 بپردازیم؛ اگرچه مشخص است که برخی از مواردی که در این بخش عنوان خواهد شد از چشم طراحان IEC 60870-5-104 به دور نمانده‌اند اما به دلیل نبود دغدغه امنیتی در IEC 60870-5-104، این موارد در طراحی و قاعدتاً در پیاده‌سازی پروتکل لحاظ نشد‌ه‌اند. این نکته قابل‌توجه است که حل این نوع از آسیب‌پذیری‌ها بدون دست بردن در طراحی و پیاده‌سازی پروتکل غیرممکن است. به دلیل محدودیت تعداد صفحات مقاله در جدول (2) حملات فنی ناشی از آسیب‌پذیری‌های طراحی IEC 60870-5-104 به شکل تجمیع شده و بر اساس شماره آسیب‌پذیری (V6-V1) آورده شده است.

1-1-1- فقدان مکانیزم تصدیق هویت (V₁)

طبق استاندارد طراحی IEC 60870-5-104 هیچ‌گونه تدبیری برای تصدیق هویت موجودیت‌هایی که از این پروتکل استفاده می‌کنند دیده نشده است؛ یعنی هر موجودیتی در شبکه که بسته‌ای را در قالب پروتکل IEC 60870-5-104 ارسال می‌کند صحت منبع ارسال‌کننده آن بررسی نشده و بنابراین امکان حملاتی ازجمله ارسال بسته از منبع غیر معتبر یا حتی انکار مبدأ وجود دارد. به دلیل فقدان مکانیزم تصدیق هویت در IEC 60870-5-104 در صورت دسترسی مهاجم به بستر شبکه و امکان وصل نمودن تجهیز خود در شبکه ارتباطی (در محل مناسب، بعد از مرحله جمع‌آوری اطلاعات از شبکه به شکل منفعل) قادر خواهد بود خود را به‌جای هر یک از تجهیزات معتبر شبکه درگیر با پروتکل IEC 60870-5-104 جا بزند.

در سناریو دیگر مهاجم می‌تواند با غصب نمودن هر یک از تجهیزات معتبر درون شبکه اقدام به ارسال دستورات جعلی که به‌ظاهر از سوی تجهیزات دیگر فرستاده‌شده‌اند نماید. این تغییرات می‌تواند منجر به حملات متعددی شود که در جدول (2) آورده شده است.

فیلد	نوع حمله
بایت آغاز (0x68)	تخریب غیر فیزیکی[1] (V₄)، ممانعت از کیفیت خدمات[2] (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)
طول APDU	تخریب غیر فیزیکی (V₄)، استراق سمع منفعل[3] (V₂)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)، داده‌ای[4] (V₁,V₄)، می‌تواند پیش‌زمینه‌ی حمله‌ی تزریق بسته شود (V₁,V₄)، می‌تواند پیش‌زمینه‌ی حمله‌ی ربایش جریان کنترلی شود (V₁,V₄)، مردی در میان غیرفعال (V₁)، مردی در میان فعال (V₁)، جعل هویت (V₁)
فیلد کنترلی 1	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)
فیلد کنترلی 2	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)
فیلد کنترلی 3	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁, V₄)
فیلد کنترلی 4	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)
شناسه نوع (TypeID)	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)، تزریق بسته (V₁,V₄)، می‌تواند پیش‌زمینه‌ی حمله‌ی ربایش جریان کنترلی (V₁,V₄)، مردی در میان غیرفعال (V₁)، مردی در میان فعال (V₁)
تعداد اشیا (NumIX)	تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)، تزریق بسته (V₁,V₄)، می‌تواند پیش‌زمینه‌ی حمله‌ی ربایش جریان کنترلی (V₁,V₄)
SQ	تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)، می‌تواند پیش‌زمینه‌ی حمله تزریق بسته (V₁,V₄)، می‌تواند پیش‌زمینه‌ی حمله‌ی ربایش جریان کنترلی (V₁,V₄)
علت انتقال (COT)	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)، می‌تواند پیش‌زمینه‌ی حمله تزریق بسته (V₁,V₄)، می‌تواند پیش‌زمینه‌ی حمله‌ی ربایش جریان کنترلی (V₁,V₄)
P/N	تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)
T	تخریب غیر فیزیکی (V₄)، دست‌کاری غیرمجاز (V₁,V₄)
آدرس منبع (ORG)	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)، مردی در میان غیرفعال (V₁,V₄)، شنود فعال (V₁,V₄)، مردی در میان فعال (V₁,V₄)، جعل هویت (V₁,V₄)، ارسال مجدد پیام[5] (V₁, V₃)
فیلدهای آدرس مشترک ASDU (CA)	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)، مردی در میان غیرفعال (V₁,V₄)، شنود فعال (V₁,V₄)، مردی در میان فعال (V₁,V₄)، جعل هویت (V₁,V₄)، ارسال مجدد پیام (V₁,V₃)
فیلدهای آدرس اشیا اطلاعاتی (IOA)	استراق سمع منفعل (V₂)، تخریب غیر فیزیکی (V₄)، ممانعت از کیفیت خدمات (V₁,V₄)، دست‌کاری غیرمجاز (V₁,V₄)، مردی در میان غیرفعال (V₁,V₄)، شنود فعال (V₁,V₄)، مردی در میان فعال (V₁,V₄)، جعل هویت (V₁,V₄)، ارسال مجدد پیام (V₁,V₃)
سایر فیلدها	تخریب غیر فیزیکی (V₄)، دست‌کاری غیرمجاز (V₁,V₄)

(جدول-2): کل حملات فنی به فیلدهای IEC 60870-5-104

1-1-2- فقدان مکانیزم‌های رمزنگاری (V₂)

در IEC 60870-5-104 هیچ‌گونه تدبیری برای رمزنگاری پیام‌ها دیده نشده است؛ ازاین‌رو بسته‌های نظارتی و کنترلی به شکل واضح ارسال‌شده و هر موجودیتی که بسته‌های عبوری را مشاهده کند می‌تواند از محتوای کنترلی و نظارتی اطلاع کامل پیدا کند. حملات مبتنی بر این آسیب‌پذیری در جدول (2) آورده شده است.

1-1-3- فقدان برچسب زمانی (V₃)

در IEC 60870-5-104 هیچ‌گونه مکانیزمی برای اعمال برچسب زمانی دیده نشده است؛ ازاین‌رو بسته‌های ارسالی ازلحاظ زمانی اعتبار زمانی معتبری ندارند. حملات پیرو این آسیب‌پذیری در جدول (1) آورده شده است. در ادامه با ذکر یک مثال یک نمونه حمله ارسال مجدد پیام حاصل از فقدان برچسب زمانی را خواهیم دید.

در شکل (2) شاهد یک سناریو پیاده‌سازی از ایستگاه‌های مختلف هستیم؛ در این سناریو RTU B وظیفه کنترل و متمرکز نمودن داده‌های مختلف را دارد. در لایه پایینی این RTU دو RTU بانام‌های D و C را مشاهده می‌کنیم که ایستگاه‌های کنترل شونده هستند. RTU D قصد تولید و ارسال یک ASDU کنترلی به RTU C را دارد. این ASDU توسط RTU B بر اساس فیلد CA مسیریابی می‌شود.

(شكل-2): ارسال دستور کنترلی از RTU حالت دوگانه

در شکل (3) مشاهده می‌کنیم که پیام‌های ASDU تائید عمل توسط ایستگاه RTU C در جهت نظارت تولیدشده و فیلد ORG آن به مقدار D تنظیم می‌گردد. RTU B فیلد ORG در این بسته که برابر D است را تشخیص داده و بر این اساس مسیریابی می‌نماید. حال مهاجم در این سناریو می‌تواند در صورت قراردادن خود در شبکه (اگرچه کار دشواری است) ASDU کنترلی ارسالی از سمت RTU D را ضبط نموده و بارها و بارها همین پیام را ارسال کند، این رفتار مخرب ضمن اشغال رسانه ارتباطی منجر می‌شود که RTU C به شکل مکرر ASDU تائید عمل ارسال کند و پهنای باند شبکه به شکل حجیمی اشغال‌شده و تجهیزات دو طرف درگیر این ارتباطات بدخواهانه باشند.

سناریو دیگر حمله این است که مهاجم در صورت دسترسی به RTU B که به‌عنوان کنترل‌کننده RTU مای سطح پایین‌تر از خود در معماری در نظر گرفته‌شده است و با دست‌کاری این تجهیز می‌تواند بسته‌های ارسالی در شکل (3) که از RTU B عبور می‌کنند و وی نقش مسیریابی آن‌ها را دارد را ضبط کرده و برای هر یک از طرفین به شکل پیوسته ارسال کند و منجر به اختلال در فرآیند کنترلی موردنظر شود.

1-1-4- فقدان مکانیزم تضمین صحت داده و فیلد چکسام (V₄)

در طراحی IEC 60870-5-104 هیچ فیلدی به‌منظور محاسبه و ذخیره‌سازی چکسام^[6] در نظر گرفته نشده است؛ این در حالی است که در IEC 60870-5-101 یک بایت فضا برای ذخیره‌سازی چکسام در نظر گرفته‌شده بود. عدم وجود این چکسام در IEC 60870-5-104 این پروتکل را در برابر حملات تغییر یا دست‌کاری داده بسیار آسیب‌پذیرتر می‌کند در نگاه اول بر اساس آنچه بیان شد و بر اساس منابعی که به آن‌ها استناد شد این‌گونه به ذهن متبادر می‌شود که امکان تغییر بسته‌های عبوری در پروتکل IEC 60870-5-104 به‌راحتی توسط هر مهاجمی با حداقل سطح حمله یک قابل انجام است؛ اما باید اذعان کرد که این‌گونه نیست.

یکی از دلایلی که طراحان IEC 60870-5-104 فیلد چکسام را از این پروتکل حذف کرده‌اند این است که این پروتکل در لایه انتقال و شبکه از پروتکل TCP/IP استفاده می‌کند و فیلد چکسام داده درون پروتکل TCP در لایه انتقال وجود دارد؛ بنابراین علیرغم وجود نداشتن چکسام در IEC 60870-5-104 مهاجم فاقد دانش کافی قادر به پیاده‌سازی یک حمله سطح یک برای دست‌کاری داده ارسالی توسط پروتکل IEC 60870-5-104 نخواهد بود و باید از دانش بالایی برای پیاده‌سازی یک حمله سطح بالاتر برای محاسبه مجدد چکسام TCP در صورت تغییر داده IEC 60870-5-104 باشد. حملات پیرو این آسیب‌پذیری در جدول (2) آورده شده است.

1-1-5- فقدان مکانیزم‌های امنیتی توکار در لایه کاربرد و پیوند داده (V₅)

در IEC 60870-5-104 مکانیزم‌های امنیتی توکار در لایه کاربرد و پیوند داده وجود ندارد و این مسئله در لایه کاربرد به‌نوعی می‌تواند درگیر با هر یک از آسیب‌پذیری‌های استخراج‌شده قبلی باشد (در برخی منابع نظیر [17] به‌عنوان آسیب‌پذیری جداگانه‌ای مطرح‌شده است).

1-1-6- محدودیت پهنای باند ارتباطی (V₆)

پهنای باند محدود در IEC 60870-5-104 منجر به محدودیت طول بسته ارسالی در این استاندارد می‌شود، به‌نحوی‌که حجم ارسالی قابل‌انتقال توسط IEC 60870-5-104 و IEC 60870-5-101 تنها 255 اکتت در واحد زمان خواهد بود. این مسئله باعث خواهد شد که حتی علیرغم داشتن ایده‌هایی برای تقویت IEC 60870-5-104 در مقابل برخی آسیب‌پذیری‌های شناخته‌شده نتوان از به‌کارگیری بیت یا بیت‌هایی اضافه برای اعمال مکانیزم‌های امنیتی در طول انتقال داده بهره برد [18].

1-2- آسیب‌پذیری‌های پیاده‌سازی و عملیاتی

در این بخش قصد داریم به بررسی آسیب‌پذیری‌های امنیتی مرحله‌ی پیاده‌سازی و عملیات IEC 60870-5-104 و تجهیزات مرتبط با آن بپردازیم. به دلیل محدودیت در منابع منتشرشده در این حوزه و محدودیت در برآورد تجهیزاتی که از پروتکل IEC 60870-5-104 استفاده می‌کنند با تعدادی معدود از آسیب‌پذیری‌های شناخته‌شده در این مورد، در زمان تدوین این مقاله، روبه‌رو بودیم. حل این نوع از آسیب‌پذیری‌ها با تغییر در پیاده‌سازی و پیکربندی محصولات مورداستفاده از طریق وصله‌های ارائه‌شده توسط سازندگان محصولات ممکن خواهد شد.

1-2-1- آسیب‌پذیری CVE-2008-2474

سرریز بافر در واحد پردازنده ارتباطی ABB PCU 400 به مهاجمان امکان اجرای کد دلخواه را از طریق بسته‌های دست‌کاری شده می‌دهد. میزان تأثیر این آسیب‌پذیری روی سازمان‌های مختلف به پارامترهای مختلفی بستگی دارد که برای هر سازمان متفاوت می‌باشند. مهاجم می‌تواند با ارسال بسته‌هایی که به‌طور خاص دست‌کاری شده‌اند به‌واسطه وب x87 و با استفاده از پروتکل‌های ارتباطی IEC 60870-5-101 یا IEC 60870-5-104 کدهای دلخواهی را اجرا نماید. نمره پایه CVSS نسخه دو این آسیب‌پذیری برابر با 10 می‌باشد.

این آسیب‌پذیری داری منشأ تهدید غیرطبیعی، محل تهدید خارجی، عامل تهدید غیرانسانی است و ویژگی امنیتی دسترس‌پذیری را نقض می‌نماید. این آسیب‌پذیری لایه‌های صنعتی سیستم کنترل مرکزی و سیستم کنترل محلی را تهدید می‌کند و زمینه‌ساز حملات فنی سرریز بافر در پشت، ممانعت از خدمات، اجرای کد دلخواه و تخریب حافظه می‌شود.

1-2-2- آسیب‌پذیری CVE-2015-3939

مهاجم می‌تواند با استفاده از این آسیب‌پذیری به گواهینامه‌هایی دست یابد که برای ارتقا سطوح دسترسی موردنیاز است. نمره پایه CVSS نسخه دو این آسیب‌پذیری برابر با 5/8 می‌باشد. با استفاده از این آسیب‌پذیری، مهاجم می‌تواند به بعضی از فایل‌ها از طریق واسط سرویس داخلی ماژول ارتباطی دسترسی پیدا کند.

این آسیب‌پذیری داری منشأ تهدید غیرطبیعی، محل تهدید خارجی، عامل تهدید غیرانسانی است و ویژگی امنیتی محرمانگی را نقض می‌نماید. این آسیب‌پذیری لایه‌های صنعتی سیستم کنترل مرکزی و سیستم کنترل محلی را تهدید می‌کند و زمینه‌ساز حملات فنی نقض کنترل دسترسی، مرور سیستم ، پیمایش مسیر، ارتقا مجوزها می‌شود.

1-2-3- آسیب‌پذیری‌های ارتباطی در به‌کارگیری رسانه غیرقابل اطمینان

درصورتی‌که رسانه‌های ارتباطی بکار گرفته‌شده برای انتقال داده‌های در IEC 60870-5-104 امواج رادیویی یا کابل‌های زوج سیم به هم تابیده باشد و این رسانه‌های در برابر تداخل امواج و فرکانس‌ها ایمن نشده باشند چالش‌‌های امنیتی در این حوزه به وجود می‌آید و می‌بایست امکان تداخل فرکانس توسط عوامل عمدی و غیرعمدی در آن‌ها بررسی شود.

1-2-4- آسیب‌پذیری‌های پیکربندی تجهیزات

راه‌اندازی و پیکربندی تجهیزات مختلف صنعتی فارغ از نوع پروتکل مورداستفاده نیازمند در نظر گرفتن اصول و ملاحظاتی است که شاید در اصل استانداردهای مربوط به پروتکل‌ها به‌صراحت در مورد عدم استفاده و بکار گیری نادرست آن‌ها و پیامدهای ممکن در مورد آن‌ها صحبتی نشده باشد. به‌عنوان‌مثال پروتکل IEC 60870-5-104 دارای فیلد‌های متعددی نظیر شناسه، نوع، SQ، NumIX و غیره بوده که چنانچه مانند مثالی که در ادامه ذکر می‌گردد هرکدام به شکل صحیح مورداستفاده قرار نگیرند می‌تواند امکان سوءاستفاده برای مهاجم را فراهم سازد.

به‌عنوان‌مثال در شکل (2) و شکل (3) شاهد یک سناریو پیاده‌سازی از ایستگاه‌های مختلف بودیم. همان‌طور که در شکل (4) مشاهده می‌کنیم تغییرات در حالت برگشت در اثر یک دستور منجر به بازگردانی ASDU اطلاعاتی به ایستگاه فرمانده می‌شود؛ این بسته ارسالی دارای آدرس ORG برابر صفر و نوع RETREM در جهت نظارت بوده همین باعث می‌شود که RTU B آن را به ایستگاه فرمانده بفرستد که در صورت عدم دقت در استفاده صحیح از این مقادیر امکان سوءاستفاده برای مهاجم می‌تواند فراهم شود.

(شكل-4): نظارت بر اطلاعات برگشت یافته به ایستگاه کنترل‌کننده

اگرچه آسیب‌پذیری‌های پیکربندی یا عملیاتی یک دسته مجزا از آسیب‌پذیری‌های امنیتی هستند که به علت پیکربندی و گسترش نادرست یک سیستم در محیطی خاص به وجود می‌آیند اما با توجه به اینکه استخراج این آسیب‌پذیری‌های در هر فرایند کنترل صنعتی و زیرساخت پیاده‌سازی شده آن (با توجه به تنوع تجهیزات و تولیدکنندگان تجهیزات) متفاوت می‌باشد و نیازمند استخراج و ارزیابی دارایی‌های واحد صنعتی هدف است، شناسایی و احصاء آسیب‌پذیری‌های این نوع است، ازاین‌رو این نوع آسیب‌پذیری‌های باید در محیط عملیاتی و توسط گروه امنیت سیستم ‌های سایبر-فیزیکی انجام پذیرد.

قابل‌توجه است که چنانچه شرکت‌های تولیدکننده تجهیزات هدف و شرکت‌های پیاده‌سازی این تجهیزات و زیرساخت‌های لازم الزامات امنیتی نصب و بهره‌برداری را تهیه‌کرده باشند رعایت این الزامات در این مرحله می‌توان آسیب‌پذیری‌های این مرحله را تا حد مناسبی مرتفع سازد؛ چنانچه این امر توسط این شرکت‌ها در نظر گرفته نشده باشد توصیه می‌کنیم که با در نظر گرفتن مصالحه‌های اقتصادی و در نظر گرفته نقشه راه امنیت سایبری واحد هدف از شرکت‌های متولی درخواست ارائه الزامات نصب و بهره‌برداری تجهیزات درگیر با IEC 60870-5-104 صورت گیرد.

جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:

جهت مشاهده منابع معرفی شده در این بخش، به مقاله اصلی این خبر که توسط یکی از متخصصین شرکت پیشگامان امن آرمان(امان) در مجله معتبر منادی امنیت فضای تولید و تبادل اطلاعات(افتا) به چاپ رسیده است مراجعه نمایید. همچنین ‌می‌توان به کتاب مرجع این مقاله نیز مراجعه نمود.

شناسایی چالش‌های امنیتی پروتکل IEC ۶۰۸۷۰-۵-۱۰۴ و بررسی راه‌کارهای موجود. مجله منادی امنیت فضای تولید و تبادل اطلاعات(افتا). ۱. ۱۳۹۷; ۷ (۲) :۱۵-۳۰
کتاب پروتکل کنترل صنعتیIEC 60870-5-104 از منظر امنیت سایبری ، ۱۳۹۶

[1] نوعی حمله ممانعت از خدمات یا Denial Of Service است.

[2] Denial of Quality of Service

[3] Passive Wiretapping

[4] Data-Only Attack

[5] Replay Attack

[6] checksum

برخی کارهای انجام شده در حوزه امنیت پروتکل IEC 60870-5-104 (بخش دوم)

این خبر، بخش دوم مقاله مربوط به امنیت پروتکل IEC 60870-5-104 است که توسط واحد تخصصی آگاهی‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شده است. .جهت دسترسی به بخش‌های قبلی این مقاله به انتهای همین صفحه مراجعه نمایید. مراجع این مقاله فنی در انتهای این خبر درج شده اند و در صورت استفاده از مطالب این مقاله لازم است به مراجع مذکور ارجاع داده شود.

درزمینه‌‌ی امن سازی پروتکل‌های مورد استفاده در حوزه سیستم ‌های کنترل صنعتی کار‌های مختلفی صورت گرفته است که در ادامه به برخی از آن‌ها اشاره می‌کنیم. بیشتر کارهای موجود مبتنی بر پروتکل‌های Modbus و DNP3 هستند درحالی‌که IEC 60870-5-104 نیز در مقابل تعداد زیادی از همان حملات، آسیب‌پذیر است. آسیب‌پذیری برای بیشتر این سیستم ‌ها حاکی از مشکلات موجود مرتبط با احراز اصالت یا اعتبارسنجی^[1] برای ارتباط داده‌ها از طریق IEC 60870-5-104 و پروتکل‌های مشابه مانند DNP3 است. اگرچه مکانیسم‌ها و استانداردهایی برای این مشکلات وجود دارند ولی در دنیای واقعی به دلیل نگرانی‌های عملیاتی، محدودیت‌های قانونی و هزینه به‌ندرت از آن‌ها استفاده می‌شود.

منبع [6] تعدادی از حملات ممکن مانند حمله ارسال مجدد، مردی در میان و جعل هویت را که نشان‌دهنده نبود امنیت در پروتکل Modbus و DNP3 است را شرح می‌دهد و در ادامه فهرستی از حملات رایج و روش‌های جلوگیری آن‌ها را از قبیل قوانین خوب و مناسب جهت پیکربندی شبکه ارائه می‌دهد. در این منبع نویسنده در مورد سیستم ‌های افزونه^[2] جهت به اشتراک گذاشتن بار ترافیکی در زمان تعمیر سیستم اصلی برای جلوگیری از به هدر رفتن زمان و نظارت بر سیستم در حال تعمیر بحث می‌کند. نظارت مداوم شبکه به‌خصوص منابع و محتوای بسته‌های IEC 60870-5-104 لازمه تشخیص رفتارهای غیرعادی در سیستم ‌های صنعتی است.

در منبع [7] با استفاده از پروتکل Modbus حملاتی از قبیل ارسال مجدد و تزریق مقادیر و تزریق دستور را در یک مجموعه آزمایشگاهی انجام‌شده و نتایج آن را بررسی و موشکافی شده است [8]. این پروژه سطوح مختلفی از حملات تزریق را برای پیچیده شدن حمله از تزریق ساده تا مقادیر تزریق تصادفی بررسی می‌کند. همچنین پیامدهای ممکن از قبیل تغییر مقادیر گیرنده‌ها، نقشه‌های سیستم کنترلی تغییریافته و حالت عملگرهای تغییریافته را ارائه می‌کند که می‌تواند موجب اغتشاش مستقیم در ارتباطات بشود تا جایی که تجهیزات به‌طور کامل خاموش شوند.

در منبع [9] مسائل مقدماتی از قبیل جداسازی شبکه سیستم ‌های کنترل صنعتی از اینترنت، آسیب‌پذیر بودن در مقابل حملات شناخته‌شده، عدم پیکربندی دیواره‌های آتش که یک مدیر شبکه سیستم کنترل صنعتی باید مسلط باشد را بررسی می‌کند. این اشتباهات می‌تواند به مهاجمان اجازه نفوذ به شبکه را بدهد و زمانی که آن‌ها به شبکه دسترسی پیدا کنند قادر خواهند بود تا حمله مردی در میان را اجرا کنند.

منبع [10] راه‌های ممکن جهت اجرای مخفیانه یا شبه مخفیانه حمله مردی در میان با استفاده از جعل بسته‌های پروتکل ARP را بررسی می‌کند. به‌عنوان‌مثال اهدافی که حملات از طریق پروتکل ARP را درون جدول خود ذخیره نمی‌کنند. منبع [11]، پروتکل ARP امن را شرح می‌دهد که از ساختار زوج کلید برای امضای رقمی پیام‌ها استفاده می‌کند تا از حملات جعل ARP جلوگیری کند. منبع [12] نحوه انجام حمله جعل ARP را بر روی شبکه‌های هوشمند شرح می‌دهد. منبع [13] نحوه انجام حمله تزریق دستور را با استفاده از ettercap و روش‌های دیگر نشان می‌دهد.

منبع [14] چگونگی تشخیص تجهیزات پروتکل IEC 60870-5-104 در شبکه را توضیح می‌دهد، همچنین اسکریپت پایتونی منتشر کرده که توانایی شناسایی و برگرداندن آدرس مشترک تجهیزات این پروتکل را دارد. آدرس مشترک آدرسی است که جهت شناسایی تجهیزات فیزیکی برای تمامی بسته‌های داده IEC 60870-5-104 استفاده می‌شود. با استفاده از این اسکریپت امکان پویش شبکه برای گروه خاصی از تجهیزات IEC 60870-5-104 وجود دارد. همچنین از این اسکریپت می‌توان جهت شناسایی اهداف ممکن با توجه به اینکه دستگاه در حال استفاده از پروتکل IEC 60870-5-104 است و با به دست آوردن آدرس برای حمله مردی در میان استفاده کرد.

حملاتی که در بالا شرح داده شد از قبیل ارسال مجدد، مردی در میان، جعل و تزریق با وجود اینکه برای پروتکل‌های دیگر توسعه‌یافته بودند ولی می‌توانند برای پروتکل IEC 60870-5-104 نیز به کار گرفته شوند؛ زیرا پروتکل IEC 60870-5-104 مشابه Modbus و DNP3 احراز اصالت و ممیزی بسته‌ها را پشتیبانی نمی‌کند. منبع [15] حملات منع خدمات را بر روی شبکه صنعتی با پروتکل IEC 60870-5-104 و دارای استاندارد امنیتی مانند VPN بررسی می‌کند. شایان‌ذکر است که سیستم ایجاد تونل سخت‌افزاری برای سیستم ‌های کنترل صنعتی جهت بسته‌بندی بسته‌های مجموعه پروتکل‌های مرتبط با استانداردهای 60870-5 با استفاده از VPN توسط شرکت‌هایی نظیر Tofino توسعه‌ یافته‌اند [16].

جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:

شناسایی چالش‌های امنیتی پروتکل IEC ۶۰۸۷۰-۵-۱۰۴ و بررسی راه‌کارهای موجود. مجله منادی امنیت فضای تولید و تبادل اطلاعات(افتا). ۱. ۱۳۹۷; ۷ (۲) :۱۵-۳۰
کتاب پروتکل کنترل صنعتیIEC 60870-5-104 از منظر امنیت سایبری ، ۱۳۹۶

[1] Validation

[2] Redundant

معرفی اجمالی پروتکل صنعتی IEC 60870-5-104 (بخش اول)

به گزارش واحد تخصصی آگاهی‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان)، سیستمهای کنترل صنعتی که در صنایع و زیرساخت‌های حیاتی مورداستفاده قرار می‌گیرند، از پروتکل‌های ارتباطی متعددی استفاده می‌کنند؛ غالب این پروتکل‌ها به دلایل مختلف دارای چالش‌های امنیتی متعددی‌اند که امکان خرابکاری توسط مهاجمین را فراهم می‌سازد. یکی از پروتکل‌هایی که در شبکه‌های کنترل صنعتی برای انتقال اطلاعات و کنترل تله‌متری مورداستفاده قرار می‌گیرد IEC 60870-5-104 است که در این مجموعه مقاله(شش بخش خبری جداگانه) از منظر امنیت سایبر-فیزیکی موردبررسی قرارگرفته است؛ باهدف تسهیل فرآیند شناخت جوانب امنیتی مختلف پروتکل نامبرده تلاش شده است تا با تحلیل و بررسی عملیاتی پروتکل هدف در بستر آزمایشگاهی، اهم آسیب‌پذیری‌های مرحله طراحی، پیاده‌سازی و تهدیدات امنیتی آن شناسایی‌شده و برخی راهکارهای امن سازی مرحله طراحی پروتکل و چالش‌های درگیر در آن بررسی شود.

درگذشته سیستم ‌های کنترل صنعتی که در صنعت و زیرساخت‌های حیاتی کشورها مورداستفاده قرار می‌گرفتند، به‌صورت جدا از سایر سیستم ‌ها ازجمله شبکه‌های جهانی اینترنت به کار گرفته می‌شدند و این امر روشی در امن سازی این سیستم ‌ها قلمداد می‌گردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرف‌کنندگان این سیستم ‌ها را از پرداختن به سایر لایه‌های امنیتی غافل کرده بود. استفاده از معماری و پروتکل‌های غیر امن و واسط‌های غیراستاندارد را می‌توان از نتایج این رویکرد دانست.

به دلیل نیازمندی‌های جدید و توسعه فناوری امروزه این قبیل سیستم ‌های صنعتی، به‌تدریج با انواع جدیدتر جایگزین یا به‌روزرسانی می‌گردند. در سیستم ‌های جدید از پروتکل‌ها و نقاط دسترسی ارتباطی مشترک در شبکه‌ها استفاده می‌گردد که این امر موجب دسترسی مستقیم و غیرمستقیم به این سیستم ‌ها از طریق شبکه‌های اختصاصی و یا اینترنت گردیده و آن‌ها را همانند سایر محصولات درگیر با فناوری‌های اطلاعات در مقابل تهدیدات سایبری آسیب‌پذیر نموده است. در مواجهه با این تهدیدات که روزبه‌روز در حال افزایش هستند، اقدامات متعارفی نظیر اطلاع‌رسانی امنیتی، اتخاذ خط‌مشی‌های امنیتی مؤثر و سایر فعالیت‌های مقتضی با تأخیر به این حوزه ورود یافته و پرداختن به این قبیل موارد را اجتناب‌ناپذیر نموده است.

گسترش روزافزون شبکه‌هاي ارتباطي، امنيت آن‌ها به چالش مهمي براي شرکت‌ها و سازمان‌های مختلف تبدیل‌شده است. نصب انواع تجهیزات امنیتی نظیر ضدبدافزارها، دیواره‌های آتش، سیستم ‌های تشخیص نفوذ و راه‌اندازی تونل‌هاي امن اختصاصی، جداسازي منطقي شبکه‌ها[1] و راهکارهاي ديگر به اين منظور استفاده مي‌شوند. يکي از بخشهایی که به دلیل درگیری اجزای مختلف سایبری و فیزیکی از شبکه به شکل وسیع براي ارتباط بين تجهيزات مختلف استفاده میکند، محيطهای صنعتي می‌باشد. امروزه محیطهای صنعتی به‌عنوان یکی از مهم‌ترین کاربردهای سیستم های سایبر-فیزیکی مطرح است.

زمانی که سیستم ‌های اسکادا (سیستم کنترل سرپرستی و گردآوری داده) طراحی و پیاده‌سازی شد، میزان ارتباطات این نوع سیستم با سایر شبکه‌ها در کمترین میزان ممکن بود یا اصلاً هیچ ارتباطی با شبکه‌های دیگر نداشت. با توسعه سیستم ‌های اسکادا، تجهیزات این سیستم ‌ها به سمت اتصالات متقابل و برقراری ارتباط با سایر تجهیزات نظیر فیبر‌های نوری، تجهیزات رادیویی و ماکروویو، خطوط تلفنی، ماهواره‌ها و اینترانت حرکت کردند. به‌مرور این سیستم ‌ها از شبکه‌های نقطه‌به‌نقطه به معماری‌های ترکیبی با ایستگاه‌های کاری فرمانده[2] منفرد، ایستگاه‌های فرمانده- فرمانبر[3] و RTU[4]های چندگانه توسعه پیدا کردند.

استانداردهای IEC 60870 مجموعه‏ای از استانداردهای تدوین‌شده توسط^[5]IEC بین سالهای 1988-2000 است که شامل شش بخش به همراه چند استاندارد ضمیمه^[6] به‌منظور فراهم آوردن یک استاندارد باز برای ارتباط بین سیستم ‌های صنعتی است. IEC 60870 در ابتدا صرفاً برای برقراری ارتباط بین دستگاه‌های الکتریکی و اطلاعات فرمانی بود، اما ازآنجایی‌که دارای انواع داده‌های عمومی^[7]بود، در نرمافزارها و شبکه‌های اسکادا نیز مورداستفاده فراوان قرارگرفته است؛ به تعبیر دیگر محدودیتی برای قابلیت استفاده از این استاندارد در دیگر موارد وجود ندارد. این استاندارد به‌عنوان یک گزینه پیش‌فرض در صنایع الکترونیکی کشورهای اروپایی استفاده می‌شود.

به ساده‌ترین بیان IEC 60870-5 باهدف ارسال پیام‌های کنترل از راه دوربین دو سیستم طراحی‌شده است. در دهه 1990 میلادی دو پروتکل شبکه استاندارد باز تحت عنوان IEC60870-5-101 و^[8]DNP3 برای سیستم ‌های اسکادا توسط سازمان IEC و شرکت DNP توسعه داده شدند. علیرغم تفاوت‌ در لایه‌های عملکردی بالا و اشیاء داده‌ای، این دو پروتکل دارای شباهت‌هایی در رویه ارتباطی در لایه ارتباط داده بودند.

پروتکل IEC 60870-5-104 در استاندارد مرجع با عنوان کلی «دسترسی به شبکه با استفاده از روش‌های انتقال استاندارد» مطرح است که مشخص‌کننده نحوه استفاده از پروتکل TCP/IP در این استاندارد است. این استاندارد ضمیمه در سال 2000 میلادی جهت سیستم ‌های اسکادای برق طراحی شد و به‌عنوان یک واسط باز TCP/IP برای ارتباط بین تجهیزات مختلف در شبکه‌های اینترانت و اینترنت استفاده می‌شود. IEC 60870-5-104 که به تعبیر دیگر از آن به‌عنوان پروتکل ارتباطی صنعتی استاندارد یاد می‌شود عموماً در شبکه‌های کنترلی مورداستفاده قرار می‌گیرد. IEC 60870-5-104 در مراکز کنترل صنعتی کاربرد قابل‌توجهی دارد. حمله‌ی پیشرفته‌ی بدافزاری موسوم به Crashoverride در سال 2016 به زیرساخت‌های برق اوکراین که منجر به قطع برق سراسر شد، نشان داد که مهاجمان به‌سادگی می‌توانند به IEC 60870-5-104 و سایر پروتکل‌های مشابه ( IEC 60870-5-101،IEC61850 و OPC DA) حمله کنند و از آسیب‌پذیری‌های آن‌ها نهایت سوءاستفاده را بکنند.

IEC 60870-5-104 بر اساس مدل معماری کارایی ارتقاءیافته ([9]EPA) طراحی‌شده است. مدل EPA، لایه نمایش، نشست و انتقال را از مدل OSI حذف کرده است و لایه فرایند کاربر^[10] به آن اضافه‌شده است. ساختار پی‌آیند بسته‌های IEC 60870-5-104 عموماً با نام APDU^[11] شناخته می‌شود و دارای دو بخش[12]ASDU و APCI^[13] است؛ این ساختار در شکل (1) قابل‌مشاهده است. این پروتکل بر اساس انتقال ASDU طراحی‌شده است. هر ASDU دارای یک شناسه نوع^[14] است. هر نوع داده دارای یک شناسه نوع منحصربه‌فرد است؛ انواع داده‏ای این پروتکل به شکل عمومی^[15] بوده و مناسب انواع کاربردهای شبکه‏های اسکادا می‌باشد [5].

**(شكل-1): ساختار پی‌آیند بسته IEC 60870-5-104 [24 ]**

یکی از مهم‌ترین ویژگی‌های موردتوجه پروتکل IEC 60870-5-104 امکان ارتباط با شبکه‌های استاندارد (به‌ویژه شبکه‌های TCP/IP) است که اجازه انتقال هم‌زمان داده‌های چندین دستگاه و خدمت را می‌دهد. در زیر فهرستی از کاربردهایی که IEC 60870-5-104 فراهم می‌کند را مشاهده می‌کنیم:

انتقال دستورهای مستقیم
انتقال فوری داده‌ها
انتقال داده در صورت نیاز
هم‌زمان‌سازی ساعت
انتقال فایل

در ادامه این مقاله در بخش دوم کارهای انجام‌شده درزمینه‌ی امن سازی پروتکل‌های ارتباطی سیستم ‌های کنترل صنعتی را معرفی خواهیم کرد. در بخش سوم تهدیدات و آسیب‌پذیری‌های امنیتی شناسایی‌شده در رابطه با IEC 60870-5-104 را معرفی خواهیم کرد. در بخش چهارم راهکارهای امن سازی در مرحله طراحی و پیاده‌سازی IEC 60870-5-104 بر اساس مراجع استاندارد ارائه می‌شود. در بخش پنجم بستر آزمایشی و ارزیابی که مجموعه تحلیل‌ها و آزمون‌های مختلف خود را بر روی آن بررسی نموده‌ایم، معرفی می‌کنیم و به نتیجه‌گیری در مورد دستاوردهای این سری مقاله می‌پردازیم.

جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:

شناسایی چالش‌های امنیتی پروتکل IEC ۶۰۸۷۰-۵-۱۰۴ و بررسی راه‌کارهای موجود. مجله منادی امنیت فضای تولید و تبادل اطلاعات(افتا). ۱. ۱۳۹۷; ۷ (۲) :۱۵-۳۰
کتاب پروتکل کنترل صنعتیIEC 60870-5-104 از منظر امنیت سایبری ، ۱۳۹۶

[1] Network Logical Isolation (Air Gaps)

[2] Master

[3] Slave

[4] Remote Terminal Unit

[5] International Electro-technical Commission

[6] Companion Standards

[7] Generic Data Types

[8] Distributed Network Protocol

[9] Enhanced Performance Architecture

[10] User Process

[11] Application Protocol Data Unit

[12] Application Service Data Unit

[13] Application Protocol Control Information

[14] Type Id

[15] Generic

اهمیت شناسایی جامع دارایی‌های مهم سایبر-فیزیکی در زیرساخت‌های حیاتی

به گزارش واحد تخصصی آگاهی‌بخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) جن ایسترلی مدیر آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده اخیراً در مورد شروع اقدامات اساسی برای شناسایی جامع «دارایی‌های سیستمی مهم » در زیرساخت‌های حیاتی صحبت کرده است. هدف از این برنامه مهم محافظت از زیرساخت‌های حیاتی و دارایی‌های آن‌هاست که باید در برابر تهدیدات سایبری محافظت شوند. این موضوع اهمیت توجه به مقوله شناسایی دارایی‌های حیاتی در زیرساخت‌های صنعتی و سازمان‌های کشور را مشخص می‌کند که یکی از راهبردهای اصولی شرکت پیشگامان امن آرمان در پروژه‌های مدیریت مخاطرات سایبر-فیزیکی است و به مشتریان امان ارائه می‌شود. مدیر آژانس امنیت سایبری و امنیت زیرساخت ایالات‌متحده بیان کرده است که چه این برنامه به شکل قانونی لازم‌الاجرا شود و چه قانونی نشود، شناسایی دارایی‌ها بر اساس ارزش‌گذاری‌های اقتصادی، حوزه‌های شبکه‌ای و دامنه‌ها‌ی منطقی به‌عنوان اقدامات حیاتی ملی انجام خواهد گرفت.

درواقع این آژانس قرار است از اختیارات وزارت امنیت داخلی ایالات‌متحده برای جمع‌آوری داده‌های مرتبط با این دارایی‌ها استفاده کند. این آژانس حتی برنامه‌های دقیقی برای شناسایی این دارایی‌ها در بخش‌های خصوصی دارد. وزارت امنیت داخلی ایالات‌متحده آمریکا پایگاه‌ داده‌ای را برای این کار ایجاد نموده است و مجاز به استفاده از این پایگاه داده برای تدوین برنامه‌ها و سیاست‌های مرتبط با این اقدامات است.

بر اساس تجارب ما در امان، یکی از چالش‌های شناسایی دارایی‌های سایبر-فیزیکی در صنایع کشور در بخش‌های خصوصی دیده می‌شود که رویه همکاری‌های مطلوب با نهادهای دولتی را در حال حاضر ندارند. تجارب چنین پروژه‌هایی و تحلیل و آسیب‌شناسی این پروژه‌ها در واحد امن سازی امان به مشتریان ما این اطمینان را می‌دهد که بتوانیم بر اساس به‌روش‌های دنیا و بر اساس استانداردهای مورد تائید داخلی این چالش‌ها را در حوزه ارتقاء امنیت سایبر-فیزیکی سازمان‌ها و صنایع به حداقل برسانیم.

جهت مطالعه کامل خبر اصلی به این سایت مراجعه کنید.

با امان همراه باشید تا از اخبار تخصصی به‌روز حوزه امنیت سیستم‌های کنترل و اتوماسیون صنعتی آگاه شوید.

شرکت پیشگامان امن آرمان (امان)

همه ی نوشته های:سردبیر

شناسایی اجمالی تهدیدات و آسیب‌پذیری‌ها پروتکل IEC 60870-5-104 (بخش سوم)