هدف امان ارائه خدمات و محصولات بسیار باکیفیت در حوزه امنیت سایبری فناوریهای عملیات (OT)، ارتباطات و اطلاعات (ICT) با تمرکز ویژه بر روی امنیت سیستم های کنترل و اتوماسیون صنعتی، سیستم های اسکادا و نظارت،DCS ، تلهمتری، دیسپاچینگ و سیستم های حفاظت صنعتی میداند.
📢 سند توصیه های امنیتی جهت پیشگیری از گسترش حملات سایبری به سیستم های صنعتی بر اساس حمله به صنعت فولاد آماده شد .
🔖هدف این سند، ارائه توصیه های امنیتی ضربالاجلی جهت پیشگیری از گسترش حملات سایبری به سیستم های صنعتی کشور است. لازم به ذکر است که این توصیه ها بر اساس تجارب گذشته و حملات مشابه اخیر به صنایع کشور ارائهشده است.
⛑️در این سند به جزئیات فنی حملهی اخیر و نحوه آلودگی در صنایع فولاد پرداخته نمیشود و صرفاً توصیههای امنیتی جهت پیشگیری بیان خواهد شد. دلیل این امر این است که ارائه جزئیات فنی حمله مذکور در واحدهای صنعتی فولاد کشور به شکل رسمی از سوی مراجع ذی صلاح اطلاع رسانی خواهد شد و شرکت امان به این رویه احترام میگذارد.
🟣 صنایعی که تمایل دارند این سند را دریافت نمایند از طریق ایمیل یا تلفن با امان تماس بگیرند . Info@AmanSec.ir 88581798 (021)
سیستم های کنترل و اتوماسیون صنعتی (DCS، PLC، اسکادا، تلهمتری، دیسپاچینگ، ESD و غیره) ازجمله اهداف آسیبپذیر در مقابل حملات سایبریاند. دلایل متعددی برای این آسیبپذیریهای قابلتوجه میتوان ذکر کرد. افزایش انگیزه مهاجمان و سوق پیدا کردن جنگهای سایبری به سمت زیرساختهای حیاتی صنعتی یکی از این دلایل است.
بهرهگیری روزافزون صنایع از فناوریهای جدید بهویژه در بخش سیستم های حفاظت و کنترل، دلیل دیگر گسترده بودن اهداف قابل تهدید در صنایع است. گستردگی و پیچیدگیهای فنی، جغرافیایی و سازمانی صنایع که معمولاً با عدم یکپارچگی مدیریت امنیت سایبری نیز همراه است موجب میشود بخشهای مختلفی از سیستم ها و تجهیزات این مجموعه ها در معرض تهدید باشد.
بهتازگی سازمانهای NSA، DOE، CISA،FBI [1]در خصوص هک و نفوذ به سیستم های کنترل صنعتی (ICS)، سیستم های اسکادا(SCADA) و PLCهای مرتبط با برندها و پروتکل ذیل هشدار دادهاند:
Schneider Electric programmable logic controllers (PLCs)
OMRON Sysmac NEX PLCs
Open Platform Communications Unified Architecture (OPC UA) servers
در این هشدار تأکید شده است که مهاجمین در این نفوذها توانستهاند دسترسی کاملی به شبکههای صنعتی قربانی پیدا نمایند. یکی از نکات قابلتوجه که در این حملات گزارش دادهشده این است که مهاجمین از ابزارهای توسعه دادهشده خاصمنظورهای استفاده کردهاند تا بتوانند سطح دسترسی و ابعاد حمله را تا عمق سیستم های کنترل صنعتی (که PLCها و DCSها هستند) گسترش دهند. در این حملات مهاجمین از مرحله شناسایی، نفوذ اولیه، گسترش نفوذ و وارد آمدن حملات از این ابزارهای خاصمنظوره استفاده مینمایند که در تجارب بالغبر هشتساله رصد حملات توسط شرکت امان نیز کمتر شاهد آن بودیم.
در این حملات شاهد این بودیم که سیستم های کنترل صنعتی از نوع ایستگاههای مهندسی دارای سیستمهای عامل ویندوز، از اکسپلویتهای آسیبپذیریهای شناختهشده درایورهای مادربردهای ASRock مورد نفوذ قرار گرفتند.
همانطور که در ابتدای این گزارش بیان شد، اخیراً در خصوص هک و نفوذ به شبکهها و تجهیزات کنترل صنعتی Schneider Electric، OMRON و پروتکل OPC UA هشدار جدی دادهشده است. در لیست ذیل جزئیات بیشتری از این داراییهای آسیبپذیر را مشاهده میکنیم:
Schneider Electric MODICON and MODICON Nano PLCs, including (but may not be limited to) TM251, TM241, M258, M238, LMC058, and LMC078;
OMRON Sysmac NJ and NX PLCs, including (but may not be limited to) NEX NX1P2, NX-SL3300, NX-ECC203, NJ501-1300, S8VK, and R88D-1SN10F-ECT
OPC Unified Architecture (OPC UA) servers.
ابزارهای مذکور ماژولار بوده و میتوانند به شکل کاملاً خودکار توسط مهاجمین اجرا شوند. این ابزارها دارای یک کنسول مجازی با یک رابط فرمان شبیه به رابط دستگاههای کنترل و اتوماسیون صنعتی هستند. متأسفانه این ماژولهای خطرناک این امکان را ایجاد مینمایند که حتی مهاجمین با سطح مهارتی پایین، بتوانند قابلیتهای پیشرفته مهاجمان حرفهای را شبیهسازی نمایند و این برای صنایع کشور میتواند بسیار خطرناک باشد.
علاوه بر این، این گروه از مهاجمین از ابزاری استفاده کنند که یک درایور مادربرد آسیبپذیر شناختهشده به نام AsrDrv103.sys را نصب میکنند و از آسیبپذیری با شناسه CVE-2020-15368 موجود در آن برای اجرای بدافزار در سطح هسته ویندوز استفاده میکنند. در ادامه مهاجمین با استفاده از تکنیکهای حرکات جانبی سعی میکنند از راههای آشکار و پنهان میان شبکههای اداری، فاوا و نظایر آن به شبکههای صنعتی نفوذ کنند که لازم است صنایع کشور نسبت به آن آگاه باشند. در ادامه به تفکیک سازنده و پروتکل به این موضوع خواهیم پرداخت.
ابزار موردنظر برای تجهیزات شرکت اشنایدر دارای ماژولیهایی است که امکان ارتباط از طریق پروتکل معمول مدیریتی و مدباس TCP بر روی پورت 502 را فراهم میکند. این ماژولها میتواند این امکان را بدهند که:
مهاجمین یک اسکن سریع جهت شناسایی PLCهای شرکت اشنایدر بر روی شبکه محلی صنعت انجام دهند. این اسکن با ارسال پیامهای مالتی کست[1] UDP با پورت مقصد 27127 انجام میگیرد. لازم به ذکر است اسکن از طریق پروتکل UDP با پورت مقصد 27127 یک اسکن استاندارد است که توسط ایستگاههای کاری مهندسی برای شناسایی عادی PLC ها در شبکههای صنعتی استفاده میشود و ممکن است لزوماً نشاندهنده فعالیتهای مخرب نباشد. این نکته بسیار مهم است که در تنظیم قواعد سیستم های تشخیص نفوذ صنعتی و SIEM به نحوی عمل نماییم که هشدارهای منفی کاذب (به دلیل رفتار طبیعی شبکه) گزارش ندهیم. ما در امان، در حوزه خدمات شناسایی حملات به این نکات کلیدی نهایت توجه را داریم تا در بالاترین سطح کیفی بتوانیم به شرکتها و صنایع کشور ارائه خدمات داشته باشیم.
این ماژولها امکان اجرای حملات جستوجوی رمزهای عبور دستگاههای PLC را با استفاده از پروتکلCODESYS یا سایر پروتکلهای رایج و از طریق پورت 1740 UDP را میسر میکند. همانطور که در دورههای آموزشی تخصصی امنیت صنعتی امان همیشه تذکر میدهیم، چنانچه برای دسترسی به PLCها، DCS و حتی ESD از رمزهای عبور پیشفرض یا ساده استفاده نماییم مهاجمین با استفاده از این ابزارها میتوانند حتی به تجهیزات لایه کنترل محلی مانند PLCها نیز دسترسی پیدا نمایند. در این هشدار تذکر دادهشده است که امکان دارد این ماژولها، سایر تجهیزاتی که از طریق CODESYS ارتباط برقرار میکنند را نیز موردحمله قرار دهند که زنگ خطری است برای برخی صنایع که از این تجهیزات و پروتکل مربوطه استفاده میکنند.
همانطور که در تصور نمادین ذیل مشاهده میکنیم، این ماژولها امکان اجرای حملات ممانعت از خدمات (DoS) بر روی تجهیزات PLC را به نحوی فراهم میکنند که از طریق شبکه امکان دسترسی به کنترلکنندهها و مدیریت فرایند وجود نخواهد داشت.
تصویر نمادین نفوذ به یک DCS
این ماژولها امکان اجرای حملات ممانعت از خدمات(DoS) با ارسال بستههای مرگ[1] علیه تجهیزات PLC را به نحوی فراهم میکند که امکان پیکربندی مجدد و راهاندازی مجدد PLC سلب خواهد شد.
این ماژولها باعث قطع ارتباط کاربران مربوطه و سیستم مهندسی با PLC میشود و مهندسین بهرهبردار یا تعمیر و نگهداری، مجبور خواهند شد مجدد به PLC درخواست تصدیق اصالت دهند. احتمال میرود مهاجمین از این طریق بتوانند نام کاربری و رمزهای عبور PLCها را به دست آورند.
این ماژولها امکان ارسال فرمانهای مختلف از طریق پروتکل مدباس را نیز فراهم میکند و این ویژگی میتواند برای PLCهای غیر از برند اشنایدر نیز کارا باشد که واحدهای متولی امنیت صنایع کشور لازم است در این مورد تدابیری را اتخاذ نمایند.
در جدول ذیل مشخصات فنی تاکتیکها و تکنیکهای این ابزار در مورد برند اشنایدر را بر اساس چارچوب ATT&CK for ICS مشاهده میکنیم.
ابزار موردنظر برای تجهیزات شرکت OMRON دارای ماژولیهایی است با امکانات ذیل:
این ماژولها به مهاجمین این قابلیت را میدهد که از طریق پروتکل FINS اقدام به شناسایی تجهیزات OMRON نمایند.
در شناسایی به کمک این ابزارها امکان دریافت و شناسایی آدرس MAC تجهیزات صنعتی وجود دارد.
این ماژولها به مهاجمین این قابلیت را میدهد که اطلاعات پروتکل HTTP را که سوی تجهیزات صنعتی دریافت میشود را تجزیهوتحلیل نمایند.
این ماژولها به مهاجمین این قابلیت را میدهد که به کمک روش سرشماری[2] به تجهیزات متصل به PLC دسترسی پیدا کنند و همچنین بتوانند از تجهیزات متصل به PLC ، نمونه/داده برداری انجام دهند.
این ماژولها به مهاجمین این قابلیت را میدهد که هر نوع فایل دلخواهی را بر روی PLCها بازیابی یا از PLCها پشتیبانگیری نمایند.
درنهایت، این ماژولها به مهاجمین این قابلیت را میدهد که بر روی این PLCها یک کد مخرب سفارشی را برای اهداف حملات دیگر و برای روز مبادا بارگذاری نمایند که امان در مورد این ویژگیهای به جد هشدار میدهد. این ماژولها امکان غالب تعاملاتی که در بردار حملات، توسط مهاجمین در چارچوب ATT&CK for ICS ارائهشده است را فراهم میکند. تمامی این تکتیکها و تاکتیکها در دورههای آموزشی پیشگامان امنرم آرمان تبیین میشود. در جدول ذیل این تکنیکها و تاکتیکها مشخصشدهاند.
ابزار موردنظر برای تجهیزاتی که پروتکل OPC UAرا پشتیبانی میکنند یا از آن استفاده میکنند دارای ماژولیهایی است با امکانات ذیل:
این ماژولها به مهاجمین این قابلیت را میدهد که سرورهای OPC UA را شناسایی نمایند.
این ماژولها به مهاجمین این قابلیت را میدهد که سرورهای OPC UA را به کمک نامهای کاربری و رمز عبور پیشفرض یا سرقت شده مورد دسترسی قرار دهند.
علاوه بر موارد فوق این ماژولها امکان نوشتن تگها توسط OPC UA را فراهم میکند که به جد قابلیتی با سطح ریسک بالا است و شرکت امان در مورد سوءاستفادههای آتی احتمالی در صنایع کشور (در صورت عدم ارتقاء) هشدار میدهد. لازم به ذکر است که در چند سال اخیر، در مورد قابلیتهای OPC UA و ویژگیهای امنیتی آن در دورههای آموزشی مطالب متعددی را خدمت مخاطبین گرامی امان ارائه کردهایم. باوجوداین قابلیتها، مشابه هر پروتکل دیگری لازم است مقوله بهروزرسانی تجهیزات مرتبط را در دستور کار قرار دهیم.
در جدول ذیل این تکنیکها و تاکتیکها مشخصشدهاند.
بر اساس اطلاعات در دسترسی فعلی امان تاکنون در کشور آلودگی مرتبط با این ابزارهای APT گزارش نشده است. در ادامه برخی راهکارهای کاهش ریسک و مقابله با ابزارهای فوق همراه با تجربیات امان در این حوزه ارائه میشود. لازم به ذکر است که این راهکارها برای تمامی محیطهای صنعتی آزموده نشده است و حتماً توصیه میشود که قبل از پیادهسازی در شبکه صنعتی در شرایط آزمایشگاهی یا محدود مورد آزمایش قرار گیرند.
توصیه معمول در این موارد این است که شبکههای صنعتی (OT) چنانچه ارتباطی با شبکه اداری، فاوا، اینترنت و نظایر آن دارند در سریعترین زمان این ارتباطات قطع یا محدود شود. لازم به ذکر است در بسیاری از صنایع مشاهده میکنیم که تصور به ایزوله بودن کامل شبکه صنعتی وجود دارد اما ارزیابیهای متعدد شاهد آن بودیم که اتصالاتی میان شبکه OT با شبکه IT وجود دارد.
چنانچه در صنعت خود از ضدبدافزار[3]یا سیستم تشخیص نفوذ (IDS) استفاده میکنید (در صورت بهروزرسانی شرکت ارائهدهنده) هرچه سریعتر محصول امنیتی خود را بهروزرسانی نمایید.
· استفاده از تجهیزات جمعآوری لاگهای امنیتی نظیر IDSها و SIEM توصیه میشود. به مدیران شبکههای کنترل صنعتی توصیه میشود که به کمک محصولاتی مانند SIEM کنترل صنعتی و سیستم تشخیص نفوذ صنعتی (IDS) به شکل مستمر کلیه تجهیزات سیستم و ترافیک عبوری را پایش نمایید.
چنانچه در شبکه صنعتی یا تجهیزات مربوطه امکان تصدیق هویت چند عامله یا چندمرحلهای دارید حتماً آن را فعال نمایید.
جهت مطالعه سایر راهکارهای امنیتی و دسترسی به گزارش کامل این ویژه نامه روی این لینک کلیک نمایید.
چنانچه تمایل دارید گزارش حملات، آسیبپذیریها و ویژهنامههایی مشابه این گزارش را دریافت نمایید، اطلاعات تماس بهویژه آدرس ایمیل به همراه معرفی سازمان/صنعت خود را به نشانی info@AmanSec.ir ارسال نمایید تا به شکل رایگان این گزارشها را دریافت نمایید.
به گزارش واحد تخصصی آگاهیبخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) وصله یا پچ کردن موضوعی پر بحث و بسیار حساس به خصوص در امنیت سیستم های کنترل و اتوماسیون صنعتی است. زمان بهره برداری و دسترسی در سیستم ها و شبکه های صنعتی و اسکادا بسیار مهم است. وصله کردن غیر اصولی و ناامن می تواند منجر به راه اندازی مجدد سیستم ها، تریپ واحدها، خاموشی کامل و در نتیجه زیان های بزرگ مالی به صنایع و زیرساختهای حیاتی شود. به همین دلیل در عمل وصله کردن آسیب پذیری های امنیتی در بسیاری از صنایع انجام نمی شود یا حتی ممنوع شده است. ما در امان، در ارزیابی های امنیتی متعددی که از صنایع داشته ایم بارها با این مشکلات رو به رو شده ایم و راه حل هایی در سطوح مختلف برای آن داریم. این مشکل به طور کلی در سیستم عامل های ویندوز مایکروسافت به خوبی خود را نشان می دهد. خانواده لینوکس با پیاده سازی ویژگی هایی در هسته سیستم عامل، امکان وصله نمودن بدون راه اندازی مجدد را فعال می کند که این ویژگی ها عبارتند از:
پروب های هسته (Kprobes)
ردیابی عملکرد (Ftrace)
وصله زنده (livepatch)
براساس بررسیهای واحد امن سازی امان، برخی از توزیع های لینوکس که در ادامه فهرست شده اند این ویژگی ها را فعال کرده اند:
Arch Linux (livepatch, kpatch-git tool)
Debian
Gentoo (kpatch or ksplice)
Oracle Linux (ksplice)
Red Hat Enterprise Linux 7 (kpatch or ksplice)
SUSE (kGraft)
Ubuntu 16.04 and higher (livepatch)
ما در امان همراه مطمئن سازمان ها، صنایع، شرکت های مادر تخصصی و حتی سازندگان محصولات و سیستم های صنعتی هستیم تا با ارائه خدمات مشاوره امنیتی، از زمان طراحی تا پیاده سازی و بهره برداری سیستم های کنترل صنعتی، اسکادا، تله متری، دیسپاچینگ و نظایر آنها کمک نماییم تا صنایع و سازمان هایی امن تر داشته باشیم. بنابراین پشتیبانی از توزیع های مختلف لینوکس توسط سازندگان داخلی و خارجی سیستم های کنترل و اتوماسیون صنعتی و تعبیه لینوکس در سخت افزار های آنها و توسعه این محصولات می توان از این نظر یک مزیت به حساب آید. البته بررسی امنیت توزیع های مختلف لینوکس در مقایسه با خانواده ویندوز یک مسئله گسترده است که باید زوایای مختلف آن به شکل مفصل بررسی شود؛ ما در دوره های آموزشی تخصصی امان یا در قالب خدمات مشاوره این موارد را برای شما همراهان همیشگی امان تبیین می کنیم.
با امان همراه باشید تا از اخبار تخصصی و دستاوردهای جدید حوزه امنیت سیستمهای کنترل و اتوماسیون صنعتی آگاه شوید.
این خبر، بخش پنجم و نهایی مقاله مربوط به امنیت پروتکل IEC 60870-5-104 است که توسط واحد تخصصی آگاهیبخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شده است.جهت دسترسی به بخشهای قبلی این مقاله به انتهای همین صفحه مراجعه نمایید. مراجع این مقاله فنی در انتهای این خبر درج شده اند و در صورت استفاده از مطالب این مقاله لازم است به مراجع مذکور ارجاع داده شود.
جهت بررسی آسیبپذیریهای پروتکل IEC 60870-5-104، مبتنی بر سناریو حمله محور، ابتدا رویکرد موردنظر را موردبررسی قرار میدهیم. در ادامه سهگام تحقق حمله برای بهرهجویی از آسیبپذیریهای پروتکل IEC 60870-5-104 موردبررسی قرار میگیرند.
1- شناسایی: دو روش فعال و غیرفعال برای شناسایی یا تشخیص تجهیزات بهرهبردار از پروتکل IEC 60870-5-104 متصل به شبکه TCP/IP وجود دارد. درروش غیرفعال که به شکل منفعلانه انجام میگیرد هیچ عملی بر روی شبکه هدف انجام نمیشود؛ یک واسط بر روی مد بیقاعده[1] تنظیم میشود تا تمامی بستههای روی خط را بپذیرد. بستهها میتوانند از طریق نرمافزارهایی مانند TCP dump یا وایرشارک موردبررسی قرار گیرند. زمانی که ترافیک پروتکل IEC 60870-5-104 شناسایی شد میتواند برای مصارف آینده از قبیل حمله ارسال مجدد یا شناسایی اهداف حمله با تحلیل ترافیک ذخیره شود.
روش شناسایی فعال روندی است که بستههایی برای برقراری ارتباط و دریافت پاسخ توسط یک دستگاه ارسال میشود. برای مثال در منبع [14] اسکریپت پایتونی نوشته است که فهرستی از آدرسهای IP تجهیزات بستههای پروتکل IEC 60870-5-104 را در صورت وجود کشف میکند و آدرس مشترک آنها را برمیگرداند. به این طریق که دستگاه موردنظر یک بسته APDU ارسال میکند و هدف با یک بسته تصدیق پاسخ میدهد. سپس یک بسته شروع انتقال داده ([2]STARTDT) ارسال میکند. بسته پاسخ برای تشخیص آدرس مشترک بررسیشده و اگر آدرس مشترک پیدا نشد از روش دیگری که در ادامه توضیح داده میشود استفاده میشود. روش دیگر برای به دست آوردن آدرس تجهیزات IEC 60870-5-104 این است که اسکریپت یک بسته C_IC_NA_1 در شبکه پخش کند. این بسته حاوی یک دستور جستوجوی تشخیص IEC 60870-5-104 است. روش غیرفعال ممکن است توسط یک هکر مبتدی کسی که مطمئن نیست درون سیستم چه میگذرد یا برای جلوگیری از شناسایی توسط یک مهاجم ماهرتر استفاده شود. در صورت امکان حالت فعال بهاحتمالزیاد برای اطمینان از وجود دستگاه IEC 60870-5-104 و به دست آوردن اطلاعات دقیق بیشتر از حالت غیرفعال استفاده میشود [16].
2- گردآوری: در این مرحله پس از شناسایی اهداف، اطلاعاتی که میتواند برای حمله استفاده شود، جمعآوری میگردد. این امکان وجود دارد که در زمان انجام حمله، اطلاعات از طریق نظارت بر دادهها جمعآوری شود. در یک سوییچ شبکه عموماً یک کپی از تمام بستهها به یک درگاه خاص با نام درگاه span که درگاه آینه نیز نامیده میشود، ارسالشده و جمعآوری میگردد. اگر یک مهاجم قادر شود به ماشینی دسترسی پیدا کند که متصل به یک درگاه span است یا بتواند با به دست آوردن کنترل مدیریت یک سوییچ، یک درگاه span روی آن فعال کند، قادر خواهد بود کلیه ترافیک عبوری شامل دادههایی که توسط اهداف منتقل میشود را جمعآوری کند [16].
راه دیگر جمعآوری اطلاعات ترافیکی شبکه، قرار گرفتن در بین اهداف و جمعآوری دادهها است. یکی از راههای انجام این کار حمله از جعل بستههای ARP است؛ بهعنوانمثال در منبع [10] و [12] در این زمینه کارکرده شده است. شکل (8) یک حمله جعل ARP موفق را نشان میدهد. حمله جعل ARP از این نکته بهره میبرد که پروتکل IEC 60870-5-104 بهطور ذاتی از تائید و احراز اصالت پشتیبانی نمیکند. یک مهاجم میتواند پیامهای ARP جعلی را با MAC آدرس خود و IP آدرس هدف موردنظر ارسال کند؛ بنابراین هر بستهای که حاوی IP آدرس هدف باشد به ماشین مهاجم ارسال خواهد شد. درنتیجه مهاجم میتواند تمامی بستههایی که بین اهداف در حال ارسال است را ببیند و ویرایش کند.
راههای جایگزین حمله جعل ARP، مسموم کردن DNS[3] و حمله سرریز جدول CAM[4] است که مهاجم بهوسیله اقداماتی حافظه سوئیچ را سرریز و آن را به یک تکرارکننده[5] یا یک هاب تبدیل میکند (در بعضی موارد این حمله میتواند باعث ازکارافتادن سوئیچ و بهنوعی حمله ممانعت از خدمات شود)، البته این حملات نیاز به آسیبپذیریهای دیگری دارد که خارج از ماهیت اصلی خود پروتکل IEC 60870-5-104 است [16].
(شكل-8): حمله جعل ARP موفق
3- حمله نهایی: مرحله نهایی که تمامی مراحل دیگر به آن ختم میشود، در این دستهبندی «حمله نهایی» نام دارد. در حمله ارسال مجدد دادههای معتبر در زمان ارسال جمعآوریشده و توسط مهاجم مجدداً ارسال میگردند. بستهها را میتوان از محل منبع یا استراق سمع بهوسیله روش حمله مردی در میان در قلب سناریوهای حملات چندمرحلهای[6] جمعآوری کرد. دادهها ممکن است بدون هیچ تغییری یا با تغییر، مجدداً ارسال شوند. اگر دادهها بدون تغییر ارسال شوند، به معنی خواندن و ارسال به ایستگاه نظارت بهمنظور خواندن دستورات کنترلی است. این کار میتواند موجب اختلال در شبکه یا حتی خسارت شود؛ چنین حملاتی میتواند توسط یک مهاجم بیتجربه یا فردی که سیستم را بهدرستی نمیشناسد (سطوح حمله 1 و 2)، انجام شود.
با توجه به شناسایی آسیبپذیریها و حملات مطرحشده در قسمت سوم، در این قسمت یکی از حملات پیادهسازی شده در بستر آزمایش تحت عنوان حمله ارسال مجدد بر روی پروتکل IEC 60870-5-104 شرح داده میشود. بستر آزمایش هدف «پلنت کنترل صنعتی شبیهسازیشده مخازن انتقال مایع» نام دارد و از تجهيزات ابزار دقيق و کنترلی مختلفی که در فرآيندهای صنعتی، ازجمله مخازن انتقال مایع صنایع پتروشیمی، استفاده میشوند طراحی و ساختهشده است. بر اساس شمارههای شکل (9) این بستر دارای تجهیزات ذیل است:
در این آزمایش حمله ارسال مجدد با بستههای جمعآوریشده از سیستم مانیتورینگ انجامشده است. اینیک فرم نسبتاً ساده از حمله است؛ هدف از حمله، گردآوری بستههای IEC 60870-5-104 و ارسال مجدد آنها در زمان مناسب به مقصد موردنظر است؛ بنابراین هدف شبیهسازی رفتار یک مهاجم بیتجربه در اتصال به شبکه است.
شکل (10) جزئیات شبکه آزمون را نشان میدهد که متشکل از یک دستگاه فرمانده و فرمانبر IEC 60870-5-104 و بستر حمله لینوکس کالی[10] است؛ از نرمافزار ClearSCADA شرکت اشنایدر جهت مانیتورینگ و کنترل مقادیر و بهعنوان دستگاه فرمانده IEC 60870-5-104 استفاده میشود.
(شكل-10): معماری شبکه بستر آزمایش
همچنین از RTU شرکت اشنایدر مدل ScadaPack 334E بهعنوان دستگاه فرمانبر استفادهشده است. از این دستگاه جهت اندازهگیری، کنترل مقادیر دما و سطح مخزن، دبی و فشار لولهها، پاسخ به دستورات و درنهایت ارسال آنها تحت شبکه با پروتکل IEC 60870-5-104 به سیستم فرمانده استفادهشده است.
این ویژگیها برای تائید و توسعۀ یک حمله جزو نیازهای اولیه است. شکل (11) یک نما از نرمافزار در حال اجرای ClearScada را نشان میدهد. نوار منو در بالای صفحه طراحیشده سه حالت کنترل سطح، دبی، فشار و دما را به ما میدهد. در ستون سمت چپ امکان شروع و توقف فرآیند به همراه وضعیت و مقادیر متغیرها را نشان داده میشود. در قسمت وسط، نمودار لحظهای متغیر در حال کنترل به همراه مقدار حد مطلوب و مقدار خروجی نمایش دادهشده است.
(شكل-11): نمای اجرایی نرمافزار ClearScada
در این آزمایش از RTU اشنایدر استفادهشده است تا بتوان یک بستر واقعی جهت انجام حمله ارسال مجدد پیادهسازی کرد. مقادیر فرکانس ارسالی بستهها و فیلد شناسه نوع در RTU تنظیم میشود. در این نمونه این فیلد دارای شماره 30 از نوع اطلاعات single-point با برچسب زمانی است. برچسب زمانی میتواند کمتر از نصف دیالوگ تنظیم شود. فیلد علت انتقال (COT) میتواند همانند فرمانده تنظیم شود. در این نمونه آدرسهای مشترک صفر است. درنهایت وضعیت اطلاعات و توصیفکنندهها میتواند تنظیم شود.
شکل (12) ترافیک IEC 60870-5-104 بین فرمانبر و فرمانده را نشان میدهد؛ بستههای استفادهنشده برای حمله ارسال مجدد، از درگاه span سوئیچ جمعآوریشدهاند. بعد از جمعآوری مجموعهای از بستهها در بازه زمانی مشخص، از نرمافزار وایرشارک جهت فیلتر بستههای غیر IEC 60870-5-104 از مجموعه موردنظر استفاده میشود. این امر باعث میشود که فقط بستههای موردنظر از ماشین هدف جمعآوری شود که شامل TCP/IP، بستههای اولیه IEC 60870-5-104، بستههای STARTDT، شکل خواندنی بسته M_SP_TB_1 از فرمانبر، تعدادی بستههای TESTFR از فرمانده که برای بررسی کردن فعالیت پیوند و ارتباط به کار گرفته میشود، است.
بستر حمله کالی محلی است که بستهها مجدداً از آن ارسال میگردند. نرمافزار TCP Replay برای ارسال مجدد بستههای جمعآوریشده مناسب است. بستههای مجدد ارسالشده اگر به شکل هوشمندانهای تغییر داده نشوند در لایۀ کاربرد قابلقبول نیستند، زیرا بستهها توسط پشته کرنل TCP/IP دور ریخته میشوند؛ این بستهها به دلیل اینکه در TCP Replay مقادیر فیلدهای ACK، SYN و دنباله اعداد (Seq#) را قبل از ارسال مجدد تغییر نمیدهد، دور ریخته میشوند.
(شكل-12): ترافیک مابین فرمانده و فرمانبر در وایرشارک
این امکان وجود دارد که بررسی رفتار مخرب حمله ارسال مجدد با استفاده از قوانین یک سیستم تشخیص نفوذ صنعتی مانند Snort و تحلیل آماری ترافیک شبکه و گزارشها تشخیص داده شود. علاوه بر این ازآنجاییکه بستههای مجدد ارسالشده در لایه کاربرد بیشتر سیستم ها پذیرفته نخواهند شد، این سطح از حمله نباید بهطور مستقیم عملیات فرآیند سیستم کنترل را تحت تأثیر قرار دهد. این حمله به دلیل اینکه بهعنوان ترافیک مجاز به نظر میرسد توسط دیواره آتش شبکه تشخیص داده نمیشود؛ مگر اینکه یک دیوار آتش/سیستم تشخیص نفوذ حالتمند برای ردیابی جریانهای TCP استفاده شود. در یک شبکه با پهنای باند کم یا یک شبکه با حساسیت پایین، این دسته از حملات میتواند موجب اختلال در عملکرد شبکه و افزایش احتمالی زمان Time out تجهیزات شود.
با تلاش بیشتر میتوان این امکان را به وجود آورد که بستههای جمعآوریشده مجدداً ارسال شوند؛ بنابراین آنها توسط کرنل دور ریخته نمیشوند و در لایه کاربرد پذیرفته میشوند. این عمل میتواند با یک اسکریپت پایتون انجام شود که شرایط اولیه TCP Hand shake را انجام داده و seq# را بهدرستی مدیریت میکند؛ برنامههایی نظیر WirePlay و tcplivereplay که بخشی از پروژه TCP Replay است برای این منظور طراحیشدهاند. قابلتوجه است که در نوع حمله با سطح باتجربه یا پیشرفته، مهاجم با سطح اطلاعات بالا و بر اساس شناختی که از فرایند کنترل صنعتی هدف و پروتکل ارتباطی دارد، میتواند بستههای ضبطشده را به شکل حرفهای و هدفمند تغییر دهد؛ این تغییر میتواند بر روی مقادیر حد مطلوب به شکل حمله تخریب غیر فیزیکی صورت گیرد که منجر به سرریز مایع مخزن شود و در فرایند کنترلی ایجاد خلل نماید.
در ادامه این پروژه قصد داریم در شرکت پیشگامان امن آرمان(امان)، ضمن پیادهسازی عملی راهکارهای مقاله کنونی، بروی امن سازی پروتکلهای پرکاربرد کنترل صنعتی نظیر DNP3 و IEC 61850 فعالیتهایی را انجام دهیم و تلاش نماییم بر روی تجهیزات موجود صنعتی، مخاطرات امنیتی این پروتکلهای را کاهش دهیم. با امان همراه باشید تا خروجی این پروژههای را با شما به اشتراک بگذاریم.
نتيجهگیری
در این مجموعه مقاله در قالب پنج بخش تلاش شد تا ضمن معرفی مختصری از IEC 60870-5-104 فرآیند شناخت جوانب امنیتی مختلف در رابطه با این پروتکل حاصل شود. بر اساس ساختار استاندارد IEC 60870-5-104 مرجع و برخی محصولات پیادهسازی شده، آسیبپذیریها (مراحل طراحی، پیکربندی و پیادهسازی) و تهدیدات این پروتکل استخراج و معرفی گردید؛ اهم حملات شناساییشده تخریب غیر فیزیکی، استراق سمع منفعل، ممانعت از کیفیت خدمات، دستکاری غیرمجاز، حملات دادهای، تزریق بسته، ربایش جریان کنترلی، مردی در میان غیرفعال، مردی در میان فعال و جعل هویت است. فرایند شناسایی آسیبپذیریها و تهدیدات با بهرهگیری از محیط آزمایشی مناسبی انجامگرفته است.
در این مقاله برخی راهکارهای امن سازی مرحله طراحی IEC 60870-5-104 و چالشهای درگیر در آن بررسی شد تا حداقل بتوان با شناخت این مسائل امنیتی در اتخاذ راهکارهای امنیتی در سیستم های کنترل صنعتی که از این پروتکل استفاده میکنند دقت بیشتری نمود و از سویی در طراحی پروتکلهای مشابه بومی چالشهای امنیتی بیانشده را موردتوجه قرارداد.
شایانذکر است پروتکلهای دیگری نظیر IEC 61850 در صنایع، در محدودههای مشابه با IEC 60870-5-104، به کار میروند که مقالات متعددی به تحلیل چالشهای امنیتی آن پرداختهاند.
جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:
جهت مشاهده منابع معرفی شده در این بخش، به مقاله اصلی این خبر که توسط یکی از متخصصین شرکت پیشگامان امن آرمان(امان) در مجله معتبر منادی امنیت فضای تولید و تبادل اطلاعات(افتا) به چاپ رسیده است مراجعه نمایید. همچنین میتوان به کتاب مرجع این مقاله نیز مراجعه نمود.
این خبر، بخش چهارم مقاله مربوط به امنیت پروتکل IEC 60870-5-104 است که توسط واحد تخصصی آگاهیبخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شده است.جهت دسترسی به بخشهای قبلی این مقاله به انتهای همین صفحه مراجعه نمایید. مراجع این مقاله فنی در انتهای این خبر درج شده اند و در صورت استفاده از مطالب این مقاله لازم است به مراجع مذکور ارجاع داده شود.
در این بخش قصد داریم تا بر اساس اسناد مرجع برخی راهکارهای امن سازی مرحله طراحی IEC 60870-5-104 را بررسی کنیم؛ قاعدتاً شناخت مسائل درگیر در این بخش به ما کمک میکند تا برخی راهحلهای امن سازی IEC 60870-5-104 و پروتکلهای مشابه را در مرحله طراحی بهتر بیاموزیم و چنانچه قصد داشته باشیم در آینده درزمینهی امن سازی پروتکلهای کنترل صنعتی، بومیسازی امن آنها و ارائه پروتکل کنترل صنعتی جدید امن فعالیت کنیم بتوانیم الگوهای مناسبی برای این حوزه پژوهشی و صنعتی داشته باشیم.
با توجه به اسناد انتشاریافته کنونی در این حوزه راهحلهایی برای پیشگیری از حملات فنی جعل هویت، دستکاری غیرمجاز، ارسال مجدد پیام، شنود (صرفاً در مورد مبادله کلیدهای رمزنگاری) و ممانعت از خدمات ارائهشده است که در ادامه بهاختصار به آنها میپردازیم. در حوزه استانداردها و الزامات امنیتی مرتبط با پروتکلهای مبتنی بر استانداردهای IEC 60870 یکی از مراکز فعال، کمیسیون IEC است. کارگروه 15 IEC مجموعهای از استانداردهای امنیتی را بهمنظور ارتقاء اطمینانپذیری و امنیت زیرساختهای اطلاعاتی منتشر کرده است [19]. عمده الزامات و ملاحظات امن سازی این بخش که با در نظر گرفتن پارامترهای عملکردی و پایداری گردآوری و تهیهشده است مبتنی بر استاندارد IEC/TS 62351 است که یک سند مشخصات فنی میباشد و از سوی کمیته فنی 57 تهیهشده است.
از میان مجموعه استانداردهای منتشرشده در قالب IEC/TS 62351 دو استاندارد خاص از این مجموعه با شمارههای 62351-5 [20] و 62351-3 [21] در ارتباط با پروتکل IEC 60870-5-104 میباشند؛ البته این بدین معنا نیست که این دو استاندارد خاص صرفاً برای IEC 60870-5-104 ارائهشده باشند. استاندارد IEC/ST 62351 تنها بر احراز اصالت لایه کاربرد و مسائل امنیتی ناشی از این استناد تمرکز دارد. سایر دغدغههای امنیتی، خصوصاً حفاظت در برابر حملات صورت گرفته بهواسطه انسان با بهکارگیری تکنیکهای رمزنگاری، خارج از قلمرو این استاندارد میباشند.
در IEC 60870-5-104 یک ایستگاه کنترلکننده و یک ایستگاه تحت کنترل وجود دارد که هر یک نقشها، مسئولیتها، دستورالعملها و قالبهای مختلفی برای پیام دارند. بهویژه، ایستگاه کنترلکننده در بسیاری از موارد مسئولیت کنترل جریان و دسترسی رسانهای را بر عهده دارد. وجود ایستگاههای تحت کنترل و کنترل شونده دو تأثیر بر طراحی مکانیزم احراز اصالت دارد:
قالب پیام در هر مسیر متفاوت بوده، حتی درصورتیکه کارکردها مشابه باشند.
توزیع کلید از این بابت ساده میشود که آنها همیشه از سوی ایستگاههای کنترلکننده صادر میشوند.
IEC 60870-5-104 یک پروتکل مبتنی بر پیام میباشد؛ این بدان معناست که احراز اصالت باید بر اساس پیامها صورت گیرد، نه بر اساس زمان شروع جریان دادهها یا زمان بعدازآن.
یکی از تکنیکهای رایج امنیتی برای رسیدگی به تهدید ارسال مجدد پیام درج یک عدد دنبالهای در پیام است. این عدد شرایط حملهکننده را برای جا زدن خود بهصورت کاربر قانونی بهواسطه کپیبرداری از یک پیام موجود را سخت مینماید. IEC 60870-5-104 اگرچه دارای فیلد SQ است اما کاربرد این فیلد با آنچه در این بخش مدنظر است متفاوت بوده و محدودیت دارد؛ بنابراین در طراحی امن پروتکلهایی نظیر IEC 60870-5-104 باید مکانیزم دنباله عددی مناسب و دیگر داده مکانیزمهای وابسته به زمان را برای حافظت در برابر حملات ارسال مجدد پیام در نظر گرفته شود.
فقدان توان پردازش بالا در بسیاری از سیستم های کنترل صنعتی یکی از نگرانیهای اصلی طراحی برای پروتکلهای نظیر IEC 60870-5-104 میباشد. این نیاز طراحی الزاماً بر مکانیزم احراز اصالت تأثیرگذار است؛ نگرانی به این دلیل افزایش پیدا مینماید که بسیاری از این دستگاهها ماشینهای تک پردازنده میباشند؛ بنابراین حمله ممانعت از خدمات نهتنها بر قابلیت ارتباطی این دستگاهها تأثیر دارد، بلکه بر کارکردهای آنها بهعنوان کنترل الکتریکی، حفاظتی و نظارت نیز تأثیر دارد؛ بنابراین استفاده از مکانیزمهای امنیتی مانند رمزنگاری کلید عمومی و استفاده از کلیدهایی با اندازه بزرگ که به توان پردازش بالایی نیاز دارند تا جای ممکن اجتناب شده است.
میزان محدود پهنای باند موجود در شبکههای کنترل صنعتی یکی دیگر از نگرانیهای اصلی طراحی پروتکلهایی نظیر IEC 60870-5-104 میباشد؛ بنابراین، مکانیزم احراز اصالت نباید سربار زیادی را به پروتکلهای تحت تأثیر اضافه نماید. اندازه چالش[3] و دادههای احراز اصالت ازاینرو محدودشده و تا جای ممکن در حالی انتقال داده میشود که سطحی مناسب از امنیت را در برمیگیرد.
ماهیت شبکههای کنترل صنعتی که پروتکل IEC 60870-5-104 و سایر پروتکلهای مشابه در آنها منتشر میشوند به اینگونه است که ایستگاههای کنترلکننده اغلب تنها دستگاهی میباشند که بهوسیله آن با ایستگاههای تحت کنترل قابلیت برقراری ارتباط دارند. درصورتیکه دسترسی به دیگر شبکهها وجود داشته باشد، این دسترسی اغلب از طریق ایستگاه کنترلکننده انجام میگیرد. تأثیر این مسئله بر مکانیزم احراز اصالت این است که هر سیستم ای که بهراستی آزمایی[4] برخط[5] اعتبار امنیتی ایستگاه کنترلکننده بهواسطه سیستم شخص ثالث[6] نیاز داشته باشد، غیرعملی میباشد.
همانطور که در بخش 3-1-4- توضیح داده شد راهکارهای کنترل صحت مورد انتخاب برای IEC 60870-5-104 بهمنظور حفاظت در برابر نویز تصادفی طراحیشده است، نه حملات موردنظر؛ صحت IEC 60870-5-104 به راهکارهای تأمین صحت لایههای پایین در EPA بستگی دارد. ازآنجاییکه IEC 60870-5-104 یک پروتکل لایه کاربرد و لایه فرآیند کاربر میباشد و از سویی استاندارد منبع [20] صرفاً به بحث در مورد مکانیزم لایه کاربردی میپردازد، نمیتواند به اندازههای کافی تضمینکننده صحت حداقل در لایه کاربرد باشد.
دستگاههایی که را پیادهسازی مینمایند اغلب در مناطقی واقع میباشند که فاصله جغرافیایی آنها از یکدیگر دور بوده و دسترسی به آنها هزینه بالایی دارد؛ بنابراین تا جایی که امکان داشته باشد، مکانیزمهای امنیتی ازجمله احراز اصالت توصیه میشود شامل روشهای بهروزرسانی اعتبار به شکل از راه دور باشد.
IEC 60870-5-104 اغلب در رسانههای غیرقابل اطمینان به کار گرفته میشوند. در طراحی مکانیزمهای امنیتی مانند احراز اصالت توصیه میشود، شرایط خطا را نیز زمانی که عدم اطمینان در رسانه وجود دارد مدنظر قرار گیرد. برای مثال، از دست رفتن یک پیام امنیتی واحد الزاماً به معنای یک حمله نیست.
1-2- مکانیزم طراحی امن
مکانیزم احراز اصالت بر اساس دو مفهوم طراحی میشود:
پروتکل چالش و پاسخ.
مفهوم MAC[9] که هر دو ایستگاه کنترلکننده و کنترل شونده بر اساس ASDU یا پیام پروتکل محاسبه میشود، باید احراز اصالت شوند.
مکانیزم احراز اصالتی که در استاندارد [20] شرح دادهشده است بر اساس مفهوم چالش و پاسخ طراحیشده است؛ این مفهوم به دلایل زیر اعمالشده است:
این مفهوم مسئولیت امنیت در دستگاهی را که نیاز به احراز اصالت دارد فراهم میکند و در شبکههای متنوعی مانند شبکههای کنترل صنعتی شرایط کاربردی مناسبی را فراهم میسازد.
این مفهوم امکان داشتن ارتباط غیر امن را در صورت لزوم ممکن مینماید و پهنای باند و نیازهای پردازشی را در این شرایط کاهش میدهد.
دیاگرامهای شکل (5) نشانگر نمونه دنباله پیامهایی است که مکانیزم چالش و پاسخ یک ASDU حیاتی را به تصویر میکشد. چالش ممکن است بهوسیله ایستگاه کنترلکننده یا تحت کنترل شروع شود. ازآنجاییکه پروتکلهای سری استاندارد IEC 60870-5 عموماً نامتقارن میباشند، این بدان معناست که قالب حقیقی چالش و پیامهای پاسخ تا حدودی در مسیرهای نظارت و کنترل متفاوت میباشند.
(شكل-5): نمونه چالش موفق ASDU حیاتی[20]
IEC 60870-5-104 ممکن است عملیات الزامی دیگری را نیز تعریف نماید. بهمنظور حفاظت در برابر حملات ارسال مجدد پیام، پیام چالش حاوی دادههایی میباشد که بهصورت تصادفی هر زمان که چالشی صادر میشود، تغییر مینماید. چالشگر در پیام چالش مشخص مینماید که الگوریتم MAC برای پاسخگو به پاسخ به این چالش چگونه باشد. ایستگاه تحت کنترل یا کنترلکننده که چالش را دریافت مینماید باید قبل از اینکه ارتباطات ادامه داشته باشد، پاسخ دهد. پاسخگو الگوریتم MAC تعیینشده در پیام چالش را برای تولید پاسخ اجرا مینماید. کلید نشست مشترک که برای هر دو ایستگاه شناختهشده است یک بخش لاینفک از محاسبه به شمار میرود.
در زمان دریافت پاسخ، چالشگر محاسبات مشابه را رویدادههای مورداستفاده از سوی پاسخگو اعمال مینماید. درصورتیکه نتیجه مطابقت داشته باشد، چالشگر ادامه ارتباط را اجازه میدهد برای کاهش استفاده از پهنای باند یک مد تهاجمی[10] نیز میتوان طراحی کرد، پاسخگو یک عملیات حیاتی[11]را امتحان مینماید و ممکن است بهصورت اختیاری چالش را پیشبینی کرده و مقدار MAC را در ASDU مشابه که حفاظتشده است ارسال نماید. شکل (6) نشانگر احراز اصالت ASDU کلیدی با بهرهگیری از مد تهاجمی موفق میباشد.
(شكل-6): نمونهای از درخواست مد تهاجمی موفق[20]
استاندارد [20] استفاده از کلیدهای از پیش مشترک را بهعنوان پیشفرض امکانپذیر مینماید. این اصلی مشخص مینماید که بسیاری از تجهیزات کنترل صنعتی برای مدیریت اعتبار امنیتی به شیوهای پیچیدهتر آماده نمیباشد، ولی نیاز به حداقل سطح حفاظتی دارند. این استاندارد همچنین روشهای اختیاری برای تغییر کلیدهای از پیش مشترک به شکل از راه دور را با بهرهگیری از رمزنگاری کلید عمومی متقارن یا نامتقارن فراهم مینماید.
استاندارد [20] از اصول امنیتی محرمانگی پیشرو عالی[12] تبعیت مینماید که در IEC/ST 62351-2 [22] تعریفشده است. استفاده از کلیدهای رمزنگاری و نحوه بهروزرسانی آنها در مکانیزم احراز اصالت اهمیت ویژهای دارد که در استانداردهای مرجع کلیدهای نشست مسیر نظارت، نشست مسیر کنترل، بهروزرسانی، گواهی مرجع[13] (اختیاری)، خصوصی مرجع، عمومی مرجع، خصوصی کاربر، عمومی کاربر، خصوصی ایستگاه تحت کنترل، عمومی ایستگاه تحت کنترل در طراحی در نظر گرفتهشدهاند. در کمترین سطح، کلیدها بهوسیله ایستگاه کنترلشده و کنترلکننده مدیریت میشوند. فرآیند مدیریت کلید بهصورت اختیاری میتواند به کمک شخص ثالث مورد اعتماد صورت گیرد. جهت مطالعه اطلاعات تکمیلی در مورد مدیریت و متعلقات آنها میتوان به [20] و IEC-62351-9 [23] مراجعه کرد. بهعنوانمثال در شکل (7) نمایی سطح بالا از تعامل بین مرجع و ایستگاهها در فرآیند توزیع کلید را مشاهده میکنیم.
(شكل-7): تعامل بین مرجع و ایستگاهها در مدیریت کلید[20]
بهمنظور پیادهسازی مکانیزمهای ارائهشده نیاز بهاضافه کردن مواردی به استاندارد [24] هستیم. در ادامه بر اساس استاندارد [25] اقدام به معرفی برخی از این موارد میکنیم. مقادیری که باید در فیلد علت انتقال (COT) اضافه شود و شرح مختصری از هر یک در جدول (3) آورده شده است. هدف از اضافه کردن سه مقدار جدید 14، 15 و 16، تجهیز پروتکل هدف به مکانیزمهای احراز اصالت است چراکه به دلیل اهمیت این مقوله، استفاده از کلیدهای رمزنگاری و نحوه بهروزرسانی آنها در استاندارد [25] مورد توجه ویژهای قرار گرفته است. مقادیر یادشده در فیلد علت انتقال به گیرنده پیام وضعیت احراز اصالت، نگهداری کلید نشست و نگهداری کلید نقش کاربر را مشخص میکند.
مقادیری که باید در فیلد شناسه نوع اضافه شود و شرح مختصری از هر یک در جدول (4) آورده شده است. مقادیر بیانشده در جدول (4) مشخص میکند که با توجه به نیازمندیهای متفاوت پیامها در ارتباطات امن و بر اساس نوع تعامل بین طرفین ارتباطات، از چه نوع شناسهای باید استفاده شود.
مقدار جدید
علت انتقال
14
احراز اصالت
15
نگهداری کلید نشست احراز اصالت
16
نگهداری نقش کاربر و کلید بهروزرسانی
(جدول-3): مقادیری که باید به فیلد COT اضافه شوند
شایانذکر است که استاندارد IEC62351 اگرچه مکانیزمهای امنیتی مطلوبی برای ارتقاء امنیت فراهم میکند اما این استاندارد جهت ارتقاء امنیت تمرکز ویژهای بر روی لایه کاربرد دارد، ازاینرو باید به این نکته توجه داشت که در صورت پیادهسازی کامل استاندارد IEC62351 نمیتوان امنیت بالایی در همه لایهها توقع داشت [26]. باید به این نکته توجه کرد که بهمنظور تقویت مکانیزمهای امنیتی مرجع [20] میتوان از سایر استانداردهای خانواده IEC62351 مانند استاندارد [21] جهت افزایش مکانیزمهای محرمانگی یا صحت در ASDUهای استفاده کرد.
(جدول-4): مقادیری که باید به فیلد شناسه نوع اضافه شوند
در عمل شاهد این هستیم که برخی شرکتهای تولیدکننده تجهیزات صنعتی برخی مکانیزمهای امنیتی را در سطح تجهیزات خود پیادهسازی نمودهاند که بتوان دادههای پروتکلهایی مانند IEC 60870-5-104 که فاقد مکانیزم امنیتیاند را از درون کانالهایی امن ارسال نمود؛ در صورت استفاده ازاینگونه راهحلهای امنیتی باید توجه داشت که مخاطرات امنیتی پروتکل IEC 60870-5-104 از بین نمیرود بلکه صرفاً از پروتکل IEC 60870-5-104 به مخاطرات امنیتی کانال مورداستفاده و پروتکلهای امنی که آن کانال استفاده میکند منتقل میشوند.
جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:
جهت مشاهده منابع معرفی شده در این بخش، به مقاله اصلی این خبر که توسط یکی از متخصصین شرکت پیشگامان امن آرمان(امان) در مجله معتبر منادی امنیت فضای تولید و تبادل اطلاعات(افتا) به چاپ رسیده است مراجعه نمایید. همچنین میتوان به کتاب مرجع این مقاله نیز مراجعه نمود.
این خبر، بخش سوم مقاله مربوط به امنیت پروتکل IEC 60870-5-104 است که توسط واحد تخصصی آگاهیبخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شده است.جهت دسترسی به بخشهای قبلی این مقاله به انتهای همین صفحه مراجعه نمایید. مراجع این مقاله فنی در انتهای این خبر درج شده اند و در صورت استفاده از مطالب این مقاله لازم است به مراجع مذکور ارجاع داده شود.
بهمنظور شناسایی آسیبپذیریها در IEC 60870-5-104 ما از دو سناریو بهره بردهایم. نخست به بررسی و کالبدشکافی اسناد منتشرشده از استاندارد و پروتکل هدف پرداختهایم تا بتوانیم آسیبپذیریهای مرحله طراحی را استخراج نماییم. در سناریو دوم با پیادهسازی بستر آزمایشی و بررسی اسنادی که این نوع سناریو را انجام دادهاند تلاش کردیم در عمل آسیبپذیریها و حملات به این پروتکل را بررسی کنیم؛ در ادامه در بخش3-1- به شکل تلفیقی از این دو سناریو آسیبپذیریهای مرحله طراحی این پروتکل را تبیین میکنیم. در بخش 3-2- به بررسی آسیبپذیریهای امنیتی مرحلهی پیادهسازی و عملیاتی IEC 60870-5-104 و تجهیزات مرتبط با آن میپردازیم.
حملات میتوانند به سطوح مشخصی با توجه به نیازمندی اطلاعاتی و مهارت یک مهاجم طبقهبندی شوند؛ جدول (1) چهار سطح حملات را نشان میدهد که ما در ادامه مقاله بر اساس آن حملات را معرفی کردهایم.
در این بخش قصد داریم به بررسی آسیبپذیریهای امنیتی مرحله طراحی استاندارد (پروتکل) IEC 60870-5-104 بپردازیم؛ اگرچه مشخص است که برخی از مواردی که در این بخش عنوان خواهد شد از چشم طراحان IEC 60870-5-104 به دور نماندهاند اما به دلیل نبود دغدغه امنیتی در IEC 60870-5-104، این موارد در طراحی و قاعدتاً در پیادهسازی پروتکل لحاظ نشدهاند. این نکته قابلتوجه است که حل این نوع از آسیبپذیریها بدون دست بردن در طراحی و پیادهسازی پروتکل غیرممکن است. به دلیل محدودیت تعداد صفحات مقاله در جدول (2) حملات فنی ناشی از آسیبپذیریهای طراحی IEC 60870-5-104 به شکل تجمیع شده و بر اساس شماره آسیبپذیری (V6-V1) آورده شده است.
1-1-1- فقدان مکانیزم تصدیق هویت (V1)
طبق استاندارد طراحی IEC 60870-5-104 هیچگونه تدبیری برای تصدیق هویت موجودیتهایی که از این پروتکل استفاده میکنند دیده نشده است؛ یعنی هر موجودیتی در شبکه که بستهای را در قالب پروتکل IEC 60870-5-104 ارسال میکند صحت منبع ارسالکننده آن بررسی نشده و بنابراین امکان حملاتی ازجمله ارسال بسته از منبع غیر معتبر یا حتی انکار مبدأ وجود دارد. به دلیل فقدان مکانیزم تصدیق هویت در IEC 60870-5-104 در صورت دسترسی مهاجم به بستر شبکه و امکان وصل نمودن تجهیز خود در شبکه ارتباطی (در محل مناسب، بعد از مرحله جمعآوری اطلاعات از شبکه به شکل منفعل) قادر خواهد بود خود را بهجای هر یک از تجهیزات معتبر شبکه درگیر با پروتکل IEC 60870-5-104 جا بزند.
در سناریو دیگر مهاجم میتواند با غصب نمودن هر یک از تجهیزات معتبر درون شبکه اقدام به ارسال دستورات جعلی که بهظاهر از سوی تجهیزات دیگر فرستادهشدهاند نماید. این تغییرات میتواند منجر به حملات متعددی شود که در جدول (2) آورده شده است.
فیلد
نوع حمله
بایت آغاز (0x68)
تخریب غیر فیزیکی[1] (V4)، ممانعت از کیفیت خدمات[2] (V1,V4)، دستکاری غیرمجاز (V1,V4)
طول APDU
تخریب غیر فیزیکی (V4)، استراق سمع منفعل[3] (V2)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)، دادهای[4] (V1,V4)، میتواند پیشزمینهی حملهی تزریق بسته شود (V1,V4)، میتواند پیشزمینهی حملهی ربایش جریان کنترلی شود (V1,V4)، مردی در میان غیرفعال (V1)، مردی در میان فعال (V1)، جعل هویت (V1)
فیلد کنترلی 1
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)
فیلد کنترلی 2
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)
فیلد کنترلی 3
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1, V4)
فیلد کنترلی 4
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)
شناسه نوع (TypeID)
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)، تزریق بسته (V1,V4)، میتواند پیشزمینهی حملهی ربایش جریان کنترلی (V1,V4)، مردی در میان غیرفعال (V1)، مردی در میان فعال (V1)
تعداد اشیا (NumIX)
تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)، تزریق بسته (V1,V4)، میتواند پیشزمینهی حملهی ربایش جریان کنترلی (V1,V4)
SQ
تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)، میتواند پیشزمینهی حمله تزریق بسته (V1,V4)، میتواند پیشزمینهی حملهی ربایش جریان کنترلی (V1,V4)
علت انتقال (COT)
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)، میتواند پیشزمینهی حمله تزریق بسته (V1,V4)، میتواند پیشزمینهی حملهی ربایش جریان کنترلی (V1,V4)
P/N
تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)
T
تخریب غیر فیزیکی (V4)، دستکاری غیرمجاز (V1,V4)
آدرس منبع (ORG)
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)، مردی در میان غیرفعال (V1,V4)، شنود فعال (V1,V4)، مردی در میان فعال (V1,V4)، جعل هویت (V1,V4)، ارسال مجدد پیام[5] (V1, V3)
فیلدهای آدرس مشترک ASDU (CA)
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)، مردی در میان غیرفعال (V1,V4)، شنود فعال (V1,V4)، مردی در میان فعال (V1,V4)، جعل هویت (V1,V4)، ارسال مجدد پیام (V1,V3)
فیلدهای آدرس اشیا اطلاعاتی (IOA)
استراق سمع منفعل (V2)، تخریب غیر فیزیکی (V4)، ممانعت از کیفیت خدمات (V1,V4)، دستکاری غیرمجاز (V1,V4)، مردی در میان غیرفعال (V1,V4)، شنود فعال (V1,V4)، مردی در میان فعال (V1,V4)، جعل هویت (V1,V4)، ارسال مجدد پیام (V1,V3)
در IEC 60870-5-104 هیچگونه تدبیری برای رمزنگاری پیامها دیده نشده است؛ ازاینرو بستههای نظارتی و کنترلی به شکل واضح ارسالشده و هر موجودیتی که بستههای عبوری را مشاهده کند میتواند از محتوای کنترلی و نظارتی اطلاع کامل پیدا کند. حملات مبتنی بر این آسیبپذیری در جدول (2) آورده شده است.
1-1-3- فقدان برچسب زمانی (V3)
در IEC 60870-5-104 هیچگونه مکانیزمی برای اعمال برچسب زمانی دیده نشده است؛ ازاینرو بستههای ارسالی ازلحاظ زمانی اعتبار زمانی معتبری ندارند. حملات پیرو این آسیبپذیری در جدول (1) آورده شده است. در ادامه با ذکر یک مثال یک نمونه حمله ارسال مجدد پیام حاصل از فقدان برچسب زمانی را خواهیم دید.
در شکل (2) شاهد یک سناریو پیادهسازی از ایستگاههای مختلف هستیم؛ در این سناریو RTU B وظیفه کنترل و متمرکز نمودن دادههای مختلف را دارد. در لایه پایینی این RTU دو RTU بانامهای D و C را مشاهده میکنیم که ایستگاههای کنترل شونده هستند. RTU D قصد تولید و ارسال یک ASDU کنترلی به RTU C را دارد. این ASDU توسط RTU B بر اساس فیلد CA مسیریابی میشود.
(شكل-2): ارسال دستور کنترلی از RTU حالت دوگانه
در شکل (3) مشاهده میکنیم که پیامهای ASDU تائید عمل توسط ایستگاه RTU C در جهت نظارت تولیدشده و فیلد ORG آن به مقدار D تنظیم میگردد. RTU B فیلد ORG در این بسته که برابر D است را تشخیص داده و بر این اساس مسیریابی مینماید. حال مهاجم در این سناریو میتواند در صورت قراردادن خود در شبکه (اگرچه کار دشواری است) ASDU کنترلی ارسالی از سمت RTU D را ضبط نموده و بارها و بارها همین پیام را ارسال کند، این رفتار مخرب ضمن اشغال رسانه ارتباطی منجر میشود که RTU C به شکل مکرر ASDU تائید عمل ارسال کند و پهنای باند شبکه به شکل حجیمی اشغالشده و تجهیزات دو طرف درگیر این ارتباطات بدخواهانه باشند.
سناریو دیگر حمله این است که مهاجم در صورت دسترسی به RTU B که بهعنوان کنترلکننده RTU مای سطح پایینتر از خود در معماری در نظر گرفتهشده است و با دستکاری این تجهیز میتواند بستههای ارسالی در شکل (3) که از RTU B عبور میکنند و وی نقش مسیریابی آنها را دارد را ضبط کرده و برای هر یک از طرفین به شکل پیوسته ارسال کند و منجر به اختلال در فرآیند کنترلی موردنظر شود.
در طراحی IEC 60870-5-104 هیچ فیلدی بهمنظور محاسبه و ذخیرهسازی چکسام[6] در نظر گرفته نشده است؛ این در حالی است که در IEC 60870-5-101 یک بایت فضا برای ذخیرهسازی چکسام در نظر گرفتهشده بود. عدم وجود این چکسام در IEC 60870-5-104 این پروتکل را در برابر حملات تغییر یا دستکاری داده بسیار آسیبپذیرتر میکند در نگاه اول بر اساس آنچه بیان شد و بر اساس منابعی که به آنها استناد شد اینگونه به ذهن متبادر میشود که امکان تغییر بستههای عبوری در پروتکل IEC 60870-5-104 بهراحتی توسط هر مهاجمی با حداقل سطح حمله یک قابل انجام است؛ اما باید اذعان کرد که اینگونه نیست.
یکی از دلایلی که طراحان IEC 60870-5-104 فیلد چکسام را از این پروتکل حذف کردهاند این است که این پروتکل در لایه انتقال و شبکه از پروتکل TCP/IP استفاده میکند و فیلد چکسام داده درون پروتکل TCP در لایه انتقال وجود دارد؛ بنابراین علیرغم وجود نداشتن چکسام در IEC 60870-5-104 مهاجم فاقد دانش کافی قادر به پیادهسازی یک حمله سطح یک برای دستکاری داده ارسالی توسط پروتکل IEC 60870-5-104 نخواهد بود و باید از دانش بالایی برای پیادهسازی یک حمله سطح بالاتر برای محاسبه مجدد چکسام TCP در صورت تغییر داده IEC 60870-5-104 باشد. حملات پیرو این آسیبپذیری در جدول (2) آورده شده است.
1-1-5- فقدان مکانیزمهای امنیتی توکار در لایه کاربرد و پیوند داده (V5)
در IEC 60870-5-104 مکانیزمهای امنیتی توکار در لایه کاربرد و پیوند داده وجود ندارد و این مسئله در لایه کاربرد بهنوعی میتواند درگیر با هر یک از آسیبپذیریهای استخراجشده قبلی باشد (در برخی منابع نظیر [17] بهعنوان آسیبپذیری جداگانهای مطرحشده است).
1-1-6- محدودیت پهنای باند ارتباطی (V6)
پهنای باند محدود در IEC 60870-5-104 منجر به محدودیت طول بسته ارسالی در این استاندارد میشود، بهنحویکه حجم ارسالی قابلانتقال توسط IEC 60870-5-104 و IEC 60870-5-101 تنها 255 اکتت در واحد زمان خواهد بود. این مسئله باعث خواهد شد که حتی علیرغم داشتن ایدههایی برای تقویت IEC 60870-5-104 در مقابل برخی آسیبپذیریهای شناختهشده نتوان از بهکارگیری بیت یا بیتهایی اضافه برای اعمال مکانیزمهای امنیتی در طول انتقال داده بهره برد [18].
در این بخش قصد داریم به بررسی آسیبپذیریهای امنیتی مرحلهی پیادهسازی و عملیات IEC 60870-5-104 و تجهیزات مرتبط با آن بپردازیم. به دلیل محدودیت در منابع منتشرشده در این حوزه و محدودیت در برآورد تجهیزاتی که از پروتکل IEC 60870-5-104 استفاده میکنند با تعدادی معدود از آسیبپذیریهای شناختهشده در این مورد، در زمان تدوین این مقاله، روبهرو بودیم. حل این نوع از آسیبپذیریها با تغییر در پیادهسازی و پیکربندی محصولات مورداستفاده از طریق وصلههای ارائهشده توسط سازندگان محصولات ممکن خواهد شد.
1-2-1- آسیبپذیری CVE-2008-2474
سرریز بافر در واحد پردازنده ارتباطی ABB PCU 400 به مهاجمان امکان اجرای کد دلخواه را از طریق بستههای دستکاری شده میدهد. میزان تأثیر این آسیبپذیری روی سازمانهای مختلف به پارامترهای مختلفی بستگی دارد که برای هر سازمان متفاوت میباشند. مهاجم میتواند با ارسال بستههایی که بهطور خاص دستکاری شدهاند بهواسطه وب x87 و با استفاده از پروتکلهای ارتباطی IEC 60870-5-101 یا IEC 60870-5-104 کدهای دلخواهی را اجرا نماید. نمره پایه CVSS نسخه دو این آسیبپذیری برابر با 10 میباشد.
این آسیبپذیری داری منشأ تهدید غیرطبیعی، محل تهدید خارجی، عامل تهدید غیرانسانی است و ویژگی امنیتی دسترسپذیری را نقض مینماید. این آسیبپذیری لایههای صنعتی سیستم کنترل مرکزی و سیستم کنترل محلی را تهدید میکند و زمینهساز حملات فنی سرریز بافر در پشت، ممانعت از خدمات، اجرای کد دلخواه و تخریب حافظه میشود.
1-2-2- آسیبپذیری CVE-2015-3939
مهاجم میتواند با استفاده از این آسیبپذیری به گواهینامههایی دست یابد که برای ارتقا سطوح دسترسی موردنیاز است. نمره پایه CVSS نسخه دو این آسیبپذیری برابر با 5/8 میباشد. با استفاده از این آسیبپذیری، مهاجم میتواند به بعضی از فایلها از طریق واسط سرویس داخلی ماژول ارتباطی دسترسی پیدا کند.
این آسیبپذیری داری منشأ تهدید غیرطبیعی، محل تهدید خارجی، عامل تهدید غیرانسانی است و ویژگی امنیتی محرمانگی را نقض مینماید. این آسیبپذیری لایههای صنعتی سیستم کنترل مرکزی و سیستم کنترل محلی را تهدید میکند و زمینهساز حملات فنی نقض کنترل دسترسی، مرور سیستم ، پیمایش مسیر، ارتقا مجوزها میشود.
1-2-3- آسیبپذیریهای ارتباطی در بهکارگیری رسانه غیرقابل اطمینان
درصورتیکه رسانههای ارتباطی بکار گرفتهشده برای انتقال دادههای در IEC 60870-5-104 امواج رادیویی یا کابلهای زوج سیم به هم تابیده باشد و این رسانههای در برابر تداخل امواج و فرکانسها ایمن نشده باشند چالشهای امنیتی در این حوزه به وجود میآید و میبایست امکان تداخل فرکانس توسط عوامل عمدی و غیرعمدی در آنها بررسی شود.
1-2-4- آسیبپذیریهای پیکربندی تجهیزات
راهاندازی و پیکربندی تجهیزات مختلف صنعتی فارغ از نوع پروتکل مورداستفاده نیازمند در نظر گرفتن اصول و ملاحظاتی است که شاید در اصل استانداردهای مربوط به پروتکلها بهصراحت در مورد عدم استفاده و بکار گیری نادرست آنها و پیامدهای ممکن در مورد آنها صحبتی نشده باشد. بهعنوانمثال پروتکل IEC 60870-5-104 دارای فیلدهای متعددی نظیر شناسه، نوع، SQ، NumIX و غیره بوده که چنانچه مانند مثالی که در ادامه ذکر میگردد هرکدام به شکل صحیح مورداستفاده قرار نگیرند میتواند امکان سوءاستفاده برای مهاجم را فراهم سازد.
بهعنوانمثال در شکل (2) و شکل (3) شاهد یک سناریو پیادهسازی از ایستگاههای مختلف بودیم. همانطور که در شکل (4) مشاهده میکنیم تغییرات در حالت برگشت در اثر یک دستور منجر به بازگردانی ASDU اطلاعاتی به ایستگاه فرمانده میشود؛ این بسته ارسالی دارای آدرس ORG برابر صفر و نوع RETREM در جهت نظارت بوده همین باعث میشود که RTU B آن را به ایستگاه فرمانده بفرستد که در صورت عدم دقت در استفاده صحیح از این مقادیر امکان سوءاستفاده برای مهاجم میتواند فراهم شود.
اگرچه آسیبپذیریهای پیکربندی یا عملیاتی یک دسته مجزا از آسیبپذیریهای امنیتی هستند که به علت پیکربندی و گسترش نادرست یک سیستم در محیطی خاص به وجود میآیند اما با توجه به اینکه استخراج این آسیبپذیریهای در هر فرایند کنترل صنعتی و زیرساخت پیادهسازی شده آن (با توجه به تنوع تجهیزات و تولیدکنندگان تجهیزات) متفاوت میباشد و نیازمند استخراج و ارزیابی داراییهای واحد صنعتی هدف است، شناسایی و احصاء آسیبپذیریهای این نوع است، ازاینرو این نوع آسیبپذیریهای باید در محیط عملیاتی و توسط گروه امنیت سیستم های سایبر-فیزیکی انجام پذیرد.
قابلتوجه است که چنانچه شرکتهای تولیدکننده تجهیزات هدف و شرکتهای پیادهسازی این تجهیزات و زیرساختهای لازم الزامات امنیتی نصب و بهرهبرداری را تهیهکرده باشند رعایت این الزامات در این مرحله میتوان آسیبپذیریهای این مرحله را تا حد مناسبی مرتفع سازد؛ چنانچه این امر توسط این شرکتها در نظر گرفته نشده باشد توصیه میکنیم که با در نظر گرفتن مصالحههای اقتصادی و در نظر گرفته نقشه راه امنیت سایبری واحد هدف از شرکتهای متولی درخواست ارائه الزامات نصب و بهرهبرداری تجهیزات درگیر با IEC 60870-5-104 صورت گیرد.
جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:
جهت مشاهده منابع معرفی شده در این بخش، به مقاله اصلی این خبر که توسط یکی از متخصصین شرکت پیشگامان امن آرمان(امان) در مجله معتبر منادی امنیت فضای تولید و تبادل اطلاعات(افتا) به چاپ رسیده است مراجعه نمایید. همچنین میتوان به کتاب مرجع این مقاله نیز مراجعه نمود.
این خبر، بخش دوم مقاله مربوط به امنیت پروتکل IEC 60870-5-104 است که توسط واحد تخصصی آگاهیبخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شده است. .جهت دسترسی به بخشهای قبلی این مقاله به انتهای همین صفحه مراجعه نمایید. مراجع این مقاله فنی در انتهای این خبر درج شده اند و در صورت استفاده از مطالب این مقاله لازم است به مراجع مذکور ارجاع داده شود.
درزمینهی امن سازی پروتکلهای مورد استفاده در حوزه سیستم های کنترل صنعتی کارهای مختلفی صورت گرفته است که در ادامه به برخی از آنها اشاره میکنیم. بیشتر کارهای موجود مبتنی بر پروتکلهای Modbus و DNP3 هستند درحالیکه IEC 60870-5-104 نیز در مقابل تعداد زیادی از همان حملات، آسیبپذیر است. آسیبپذیری برای بیشتر این سیستم ها حاکی از مشکلات موجود مرتبط با احراز اصالت یا اعتبارسنجی[1] برای ارتباط دادهها از طریق IEC 60870-5-104 و پروتکلهای مشابه مانند DNP3 است. اگرچه مکانیسمها و استانداردهایی برای این مشکلات وجود دارند ولی در دنیای واقعی به دلیل نگرانیهای عملیاتی، محدودیتهای قانونی و هزینه بهندرت از آنها استفاده میشود.
منبع [6] تعدادی از حملات ممکن مانند حمله ارسال مجدد، مردی در میان و جعل هویت را که نشاندهنده نبود امنیت در پروتکل Modbus و DNP3 است را شرح میدهد و در ادامه فهرستی از حملات رایج و روشهای جلوگیری آنها را از قبیل قوانین خوب و مناسب جهت پیکربندی شبکه ارائه میدهد. در این منبع نویسنده در مورد سیستم های افزونه[2] جهت به اشتراک گذاشتن بار ترافیکی در زمان تعمیر سیستم اصلی برای جلوگیری از به هدر رفتن زمان و نظارت بر سیستم در حال تعمیر بحث میکند. نظارت مداوم شبکه بهخصوص منابع و محتوای بستههای IEC 60870-5-104 لازمه تشخیص رفتارهای غیرعادی در سیستم های صنعتی است.
در منبع [7] با استفاده از پروتکل Modbus حملاتی از قبیل ارسال مجدد و تزریق مقادیر و تزریق دستور را در یک مجموعه آزمایشگاهی انجامشده و نتایج آن را بررسی و موشکافی شده است [8]. این پروژه سطوح مختلفی از حملات تزریق را برای پیچیده شدن حمله از تزریق ساده تا مقادیر تزریق تصادفی بررسی میکند. همچنین پیامدهای ممکن از قبیل تغییر مقادیر گیرندهها، نقشههای سیستم کنترلی تغییریافته و حالت عملگرهای تغییریافته را ارائه میکند که میتواند موجب اغتشاش مستقیم در ارتباطات بشود تا جایی که تجهیزات بهطور کامل خاموش شوند.
در منبع [9] مسائل مقدماتی از قبیل جداسازی شبکه سیستم های کنترل صنعتی از اینترنت، آسیبپذیر بودن در مقابل حملات شناختهشده، عدم پیکربندی دیوارههای آتش که یک مدیر شبکه سیستم کنترل صنعتی باید مسلط باشد را بررسی میکند. این اشتباهات میتواند به مهاجمان اجازه نفوذ به شبکه را بدهد و زمانی که آنها به شبکه دسترسی پیدا کنند قادر خواهند بود تا حمله مردی در میان را اجرا کنند.
منبع [10] راههای ممکن جهت اجرای مخفیانه یا شبه مخفیانه حمله مردی در میان با استفاده از جعل بستههای پروتکل ARP را بررسی میکند. بهعنوانمثال اهدافی که حملات از طریق پروتکل ARP را درون جدول خود ذخیره نمیکنند. منبع [11]، پروتکل ARP امن را شرح میدهد که از ساختار زوج کلید برای امضای رقمی پیامها استفاده میکند تا از حملات جعل ARP جلوگیری کند. منبع [12] نحوه انجام حمله جعل ARP را بر روی شبکههای هوشمند شرح میدهد. منبع [13] نحوه انجام حمله تزریق دستور را با استفاده از ettercap و روشهای دیگر نشان میدهد.
منبع [14] چگونگی تشخیص تجهیزات پروتکل IEC 60870-5-104 در شبکه را توضیح میدهد، همچنین اسکریپت پایتونی منتشر کرده که توانایی شناسایی و برگرداندن آدرس مشترک تجهیزات این پروتکل را دارد. آدرس مشترک آدرسی است که جهت شناسایی تجهیزات فیزیکی برای تمامی بستههای داده IEC 60870-5-104 استفاده میشود. با استفاده از این اسکریپت امکان پویش شبکه برای گروه خاصی از تجهیزات IEC 60870-5-104 وجود دارد. همچنین از این اسکریپت میتوان جهت شناسایی اهداف ممکن با توجه به اینکه دستگاه در حال استفاده از پروتکل IEC 60870-5-104 است و با به دست آوردن آدرس برای حمله مردی در میان استفاده کرد.
حملاتی که در بالا شرح داده شد از قبیل ارسال مجدد، مردی در میان، جعل و تزریق با وجود اینکه برای پروتکلهای دیگر توسعهیافته بودند ولی میتوانند برای پروتکل IEC 60870-5-104 نیز به کار گرفته شوند؛ زیرا پروتکل IEC 60870-5-104 مشابه Modbus و DNP3 احراز اصالت و ممیزی بستهها را پشتیبانی نمیکند. منبع [15] حملات منع خدمات را بر روی شبکه صنعتی با پروتکل IEC 60870-5-104 و دارای استاندارد امنیتی مانند VPN بررسی میکند. شایانذکر است که سیستم ایجاد تونل سختافزاری برای سیستم های کنترل صنعتی جهت بستهبندی بستههای مجموعه پروتکلهای مرتبط با استانداردهای 60870-5 با استفاده از VPN توسط شرکتهایی نظیر Tofino توسعه یافتهاند [16].
جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:
جهت مشاهده منابع معرفی شده در این بخش، به مقاله اصلی این خبر که توسط یکی از متخصصین شرکت پیشگامان امن آرمان(امان) در مجله معتبر منادی امنیت فضای تولید و تبادل اطلاعات(افتا) به چاپ رسیده است مراجعه نمایید. همچنین میتوان به کتاب مرجع این مقاله نیز مراجعه نمود.
به گزارش واحد تخصصی آگاهیبخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان)، سیستمهای کنترل صنعتی که در صنایع و زیرساختهای حیاتی مورداستفاده قرار میگیرند، از پروتکلهای ارتباطی متعددی استفاده میکنند؛ غالب این پروتکلها به دلایل مختلف دارای چالشهای امنیتی متعددیاند که امکان خرابکاری توسط مهاجمین را فراهم میسازد. یکی از پروتکلهایی که در شبکههای کنترل صنعتی برای انتقال اطلاعات و کنترل تلهمتری مورداستفاده قرار میگیرد IEC 60870-5-104 است که در این مجموعه مقاله(شش بخش خبری جداگانه) از منظر امنیت سایبر-فیزیکی موردبررسی قرارگرفته است؛ باهدف تسهیل فرآیند شناخت جوانب امنیتی مختلف پروتکل نامبرده تلاش شده است تا با تحلیل و بررسی عملیاتی پروتکل هدف در بستر آزمایشگاهی، اهم آسیبپذیریهای مرحله طراحی، پیادهسازی و تهدیدات امنیتی آن شناساییشده و برخی راهکارهای امن سازی مرحله طراحی پروتکل و چالشهای درگیر در آن بررسی شود.
درگذشته سیستم های کنترل صنعتی که در صنعت و زیرساختهای حیاتی کشورها مورداستفاده قرار میگرفتند، بهصورت جدا از سایر سیستم ها ازجمله شبکههای جهانی اینترنت به کار گرفته میشدند و این امر روشی در امن سازی این سیستم ها قلمداد میگردید. اتکا فراوان به این ممیزه، تولیدکنندگان و مصرفکنندگان این سیستم ها را از پرداختن به سایر لایههای امنیتی غافل کرده بود. استفاده از معماری و پروتکلهای غیر امن و واسطهای غیراستاندارد را میتوان از نتایج این رویکرد دانست.
به دلیل نیازمندیهای جدید و توسعه فناوری امروزه این قبیل سیستم های صنعتی، بهتدریج با انواع جدیدتر جایگزین یا بهروزرسانی میگردند. در سیستم های جدید از پروتکلها و نقاط دسترسی ارتباطی مشترک در شبکهها استفاده میگردد که این امر موجب دسترسی مستقیم و غیرمستقیم به این سیستم ها از طریق شبکههای اختصاصی و یا اینترنت گردیده و آنها را همانند سایر محصولات درگیر با فناوریهای اطلاعات در مقابل تهدیدات سایبری آسیبپذیر نموده است. در مواجهه با این تهدیدات که روزبهروز در حال افزایش هستند، اقدامات متعارفی نظیر اطلاعرسانی امنیتی، اتخاذ خطمشیهای امنیتی مؤثر و سایر فعالیتهای مقتضی با تأخیر به این حوزه ورود یافته و پرداختن به این قبیل موارد را اجتنابناپذیر نموده است.
گسترش روزافزون شبکههاي ارتباطي، امنيت آنها به چالش مهمي براي شرکتها و سازمانهای مختلف تبدیلشده است. نصب انواع تجهیزات امنیتی نظیر ضدبدافزارها، دیوارههای آتش، سیستم های تشخیص نفوذ و راهاندازی تونلهاي امن اختصاصی، جداسازي منطقي شبکهها[1] و راهکارهاي ديگر به اين منظور استفاده ميشوند. يکي از بخشهایی که به دلیل درگیری اجزای مختلف سایبری و فیزیکی از شبکه به شکل وسیع براي ارتباط بين تجهيزات مختلف استفاده میکند، محيطهای صنعتي میباشد. امروزه محیطهای صنعتی بهعنوان یکی از مهمترین کاربردهای سیستم های سایبر-فیزیکی مطرح است.
زمانی که سیستم های اسکادا (سیستم کنترل سرپرستی و گردآوری داده) طراحی و پیادهسازی شد، میزان ارتباطات این نوع سیستم با سایر شبکهها در کمترین میزان ممکن بود یا اصلاً هیچ ارتباطی با شبکههای دیگر نداشت. با توسعه سیستم های اسکادا، تجهیزات این سیستم ها به سمت اتصالات متقابل و برقراری ارتباط با سایر تجهیزات نظیر فیبرهای نوری، تجهیزات رادیویی و ماکروویو، خطوط تلفنی، ماهوارهها و اینترانت حرکت کردند. بهمرور این سیستم ها از شبکههای نقطهبهنقطه به معماریهای ترکیبی با ایستگاههای کاری فرمانده[2] منفرد، ایستگاههای فرمانده- فرمانبر[3] و RTU[4]های چندگانه توسعه پیدا کردند.
استانداردهای IEC 60870 مجموعهای از استانداردهای تدوینشده توسط[5]IEC بین سالهای 1988-2000 است که شامل شش بخش به همراه چند استاندارد ضمیمه[6] بهمنظور فراهم آوردن یک استاندارد باز برای ارتباط بین سیستم های صنعتی است. IEC 60870 در ابتدا صرفاً برای برقراری ارتباط بین دستگاههای الکتریکی و اطلاعات فرمانی بود، اما ازآنجاییکه دارای انواع دادههای عمومی[7]بود، در نرمافزارها و شبکههای اسکادا نیز مورداستفاده فراوان قرارگرفته است؛ به تعبیر دیگر محدودیتی برای قابلیت استفاده از این استاندارد در دیگر موارد وجود ندارد. این استاندارد بهعنوان یک گزینه پیشفرض در صنایع الکترونیکی کشورهای اروپایی استفاده میشود.
به سادهترین بیان IEC 60870-5 باهدف ارسال پیامهای کنترل از راه دوربین دو سیستم طراحیشده است. در دهه 1990 میلادی دو پروتکل شبکه استاندارد باز تحت عنوان IEC60870-5-101 و[8]DNP3 برای سیستم های اسکادا توسط سازمان IEC و شرکت DNP توسعه داده شدند. علیرغم تفاوت در لایههای عملکردی بالا و اشیاء دادهای، این دو پروتکل دارای شباهتهایی در رویه ارتباطی در لایه ارتباط داده بودند.
پروتکل IEC 60870-5-104 در استاندارد مرجع با عنوان کلی «دسترسی به شبکه با استفاده از روشهای انتقال استاندارد» مطرح است که مشخصکننده نحوه استفاده از پروتکل TCP/IP در این استاندارد است. این استاندارد ضمیمه در سال 2000 میلادی جهت سیستم های اسکادای برق طراحی شد و بهعنوان یک واسط باز TCP/IP برای ارتباط بین تجهیزات مختلف در شبکههای اینترانت و اینترنت استفاده میشود. IEC 60870-5-104 که به تعبیر دیگر از آن بهعنوان پروتکل ارتباطی صنعتی استاندارد یاد میشود عموماً در شبکههای کنترلی مورداستفاده قرار میگیرد. IEC 60870-5-104 در مراکز کنترل صنعتی کاربرد قابلتوجهی دارد. حملهی پیشرفتهی بدافزاری موسوم به Crashoverride در سال 2016 به زیرساختهای برق اوکراین که منجر به قطع برق سراسر شد، نشان داد که مهاجمان بهسادگی میتوانند به IEC 60870-5-104 و سایر پروتکلهای مشابه ( IEC 60870-5-101،IEC61850 و OPC DA) حمله کنند و از آسیبپذیریهای آنها نهایت سوءاستفاده را بکنند.
IEC 60870-5-104 بر اساس مدل معماری کارایی ارتقاءیافته ([9]EPA) طراحیشده است. مدل EPA، لایه نمایش، نشست و انتقال را از مدل OSI حذف کرده است و لایه فرایند کاربر[10] به آن اضافهشده است. ساختار پیآیند بستههای IEC 60870-5-104 عموماً با نام APDU[11] شناخته میشود و دارای دو بخش[12]ASDU و APCI[13] است؛ این ساختار در شکل (1) قابلمشاهده است. این پروتکل بر اساس انتقال ASDU طراحیشده است. هر ASDU دارای یک شناسه نوع[14] است. هر نوع داده دارای یک شناسه نوع منحصربهفرد است؛ انواع دادهای این پروتکل به شکل عمومی[15] بوده و مناسب انواع کاربردهای شبکههای اسکادا میباشد [5].
یکی از مهمترین ویژگیهای موردتوجه پروتکل IEC 60870-5-104 امکان ارتباط با شبکههای استاندارد (بهویژه شبکههای TCP/IP) است که اجازه انتقال همزمان دادههای چندین دستگاه و خدمت را میدهد. در زیر فهرستی از کاربردهایی که IEC 60870-5-104 فراهم میکند را مشاهده میکنیم:
انتقال دستورهای مستقیم
انتقال فوری دادهها
انتقال داده در صورت نیاز
همزمانسازی ساعت
انتقال فایل
در ادامه این مقاله در بخش دوم کارهای انجامشده درزمینهی امن سازی پروتکلهای ارتباطی سیستم های کنترل صنعتی را معرفی خواهیم کرد. در بخش سوم تهدیدات و آسیبپذیریهای امنیتی شناساییشده در رابطه با IEC 60870-5-104 را معرفی خواهیم کرد. در بخش چهارم راهکارهای امن سازی در مرحله طراحی و پیادهسازی IEC 60870-5-104 بر اساس مراجع استاندارد ارائه میشود. در بخش پنجم بستر آزمایشی و ارزیابی که مجموعه تحلیلها و آزمونهای مختلف خود را بر روی آن بررسی نمودهایم، معرفی میکنیم و به نتیجهگیری در مورد دستاوردهای این سری مقاله میپردازیم.
جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:
جهت مشاهده منابع معرفی شده در این بخش، به مقاله اصلی این خبر که توسط یکی از متخصصین شرکت پیشگامان امن آرمان(امان) در مجله معتبر منادی امنیت فضای تولید و تبادل اطلاعات(افتا) به چاپ رسیده است مراجعه نمایید. همچنین میتوان به کتاب مرجع این مقاله نیز مراجعه نمود.
با توجه به شناسایی بدافزاری جدید، واحد آگاهی بخشی امان به سازمانها و صنایع کشور اکیدا توصیه می کند که هر چه سریعتر تجهیزات روتر و سوییچ شبکه از برندهای Linksys، D-Link، ZyXEL ،ZTE و Tenda را به شکل امن به روز نمایند.