این خبر، بخش دوم مقاله مربوط به امنیت پروتکل IEC 60870-5-104 است که توسط واحد تخصصی آگاهیبخشی سایبر صنعتی شرکت پیشگامان امن آرمان(امان) ارائه شده است. .جهت دسترسی به بخشهای قبلی این مقاله به انتهای همین صفحه مراجعه نمایید. مراجع این مقاله فنی در انتهای این خبر درج شده اند و در صورت استفاده از مطالب این مقاله لازم است به مراجع مذکور ارجاع داده شود.
درزمینهی امن سازی پروتکلهای مورد استفاده در حوزه سیستم های کنترل صنعتی کارهای مختلفی صورت گرفته است که در ادامه به برخی از آنها اشاره میکنیم. بیشتر کارهای موجود مبتنی بر پروتکلهای Modbus و DNP3 هستند درحالیکه IEC 60870-5-104 نیز در مقابل تعداد زیادی از همان حملات، آسیبپذیر است. آسیبپذیری برای بیشتر این سیستم ها حاکی از مشکلات موجود مرتبط با احراز اصالت یا اعتبارسنجی[1] برای ارتباط دادهها از طریق IEC 60870-5-104 و پروتکلهای مشابه مانند DNP3 است. اگرچه مکانیسمها و استانداردهایی برای این مشکلات وجود دارند ولی در دنیای واقعی به دلیل نگرانیهای عملیاتی، محدودیتهای قانونی و هزینه بهندرت از آنها استفاده میشود.
منبع [6] تعدادی از حملات ممکن مانند حمله ارسال مجدد، مردی در میان و جعل هویت را که نشاندهنده نبود امنیت در پروتکل Modbus و DNP3 است را شرح میدهد و در ادامه فهرستی از حملات رایج و روشهای جلوگیری آنها را از قبیل قوانین خوب و مناسب جهت پیکربندی شبکه ارائه میدهد. در این منبع نویسنده در مورد سیستم های افزونه[2] جهت به اشتراک گذاشتن بار ترافیکی در زمان تعمیر سیستم اصلی برای جلوگیری از به هدر رفتن زمان و نظارت بر سیستم در حال تعمیر بحث میکند. نظارت مداوم شبکه بهخصوص منابع و محتوای بستههای IEC 60870-5-104 لازمه تشخیص رفتارهای غیرعادی در سیستم های صنعتی است.
در منبع [7] با استفاده از پروتکل Modbus حملاتی از قبیل ارسال مجدد و تزریق مقادیر و تزریق دستور را در یک مجموعه آزمایشگاهی انجامشده و نتایج آن را بررسی و موشکافی شده است [8]. این پروژه سطوح مختلفی از حملات تزریق را برای پیچیده شدن حمله از تزریق ساده تا مقادیر تزریق تصادفی بررسی میکند. همچنین پیامدهای ممکن از قبیل تغییر مقادیر گیرندهها، نقشههای سیستم کنترلی تغییریافته و حالت عملگرهای تغییریافته را ارائه میکند که میتواند موجب اغتشاش مستقیم در ارتباطات بشود تا جایی که تجهیزات بهطور کامل خاموش شوند.
در منبع [9] مسائل مقدماتی از قبیل جداسازی شبکه سیستم های کنترل صنعتی از اینترنت، آسیبپذیر بودن در مقابل حملات شناختهشده، عدم پیکربندی دیوارههای آتش که یک مدیر شبکه سیستم کنترل صنعتی باید مسلط باشد را بررسی میکند. این اشتباهات میتواند به مهاجمان اجازه نفوذ به شبکه را بدهد و زمانی که آنها به شبکه دسترسی پیدا کنند قادر خواهند بود تا حمله مردی در میان را اجرا کنند.
منبع [10] راههای ممکن جهت اجرای مخفیانه یا شبه مخفیانه حمله مردی در میان با استفاده از جعل بستههای پروتکل ARP را بررسی میکند. بهعنوانمثال اهدافی که حملات از طریق پروتکل ARP را درون جدول خود ذخیره نمیکنند. منبع [11]، پروتکل ARP امن را شرح میدهد که از ساختار زوج کلید برای امضای رقمی پیامها استفاده میکند تا از حملات جعل ARP جلوگیری کند. منبع [12] نحوه انجام حمله جعل ARP را بر روی شبکههای هوشمند شرح میدهد. منبع [13] نحوه انجام حمله تزریق دستور را با استفاده از ettercap و روشهای دیگر نشان میدهد.
منبع [14] چگونگی تشخیص تجهیزات پروتکل IEC 60870-5-104 در شبکه را توضیح میدهد، همچنین اسکریپت پایتونی منتشر کرده که توانایی شناسایی و برگرداندن آدرس مشترک تجهیزات این پروتکل را دارد. آدرس مشترک آدرسی است که جهت شناسایی تجهیزات فیزیکی برای تمامی بستههای داده IEC 60870-5-104 استفاده میشود. با استفاده از این اسکریپت امکان پویش شبکه برای گروه خاصی از تجهیزات IEC 60870-5-104 وجود دارد. همچنین از این اسکریپت میتوان جهت شناسایی اهداف ممکن با توجه به اینکه دستگاه در حال استفاده از پروتکل IEC 60870-5-104 است و با به دست آوردن آدرس برای حمله مردی در میان استفاده کرد.
حملاتی که در بالا شرح داده شد از قبیل ارسال مجدد، مردی در میان، جعل و تزریق با وجود اینکه برای پروتکلهای دیگر توسعهیافته بودند ولی میتوانند برای پروتکل IEC 60870-5-104 نیز به کار گرفته شوند؛ زیرا پروتکل IEC 60870-5-104 مشابه Modbus و DNP3 احراز اصالت و ممیزی بستهها را پشتیبانی نمیکند. منبع [15] حملات منع خدمات را بر روی شبکه صنعتی با پروتکل IEC 60870-5-104 و دارای استاندارد امنیتی مانند VPN بررسی میکند. شایانذکر است که سیستم ایجاد تونل سختافزاری برای سیستم های کنترل صنعتی جهت بستهبندی بستههای مجموعه پروتکلهای مرتبط با استانداردهای 60870-5 با استفاده از VPN توسط شرکتهایی نظیر Tofino توسعه یافتهاند [16].
جهت مشاهده بخش های دیگر این مقاله بر روی بخش مورد نظر کلیک نمایید:
- بخش 1: معرفی اجمالی پروتکل IEC 60870-5-104
- بخش 2: برخی کارهای انجام شده در حوزه امنیت پروتکل IEC 60870-5-104
- بخش 3: شناسایی اجمالی تهدیدات و آسیبپذیریها پروتکل IEC 60870-5-104
- بخش 4: راهکارهای امن سازی در مرحله طراحی پروتکل IEC 60870-5-104
- بخش 5: بستر آزمایش و ارزیابی امنیت پروتکل IEC 60870-5-104 و نتیجه گیری
جهت مشاهده منابع معرفی شده در این بخش، به مقاله اصلی این خبر که توسط یکی از متخصصین شرکت پیشگامان امن آرمان(امان) در مجله معتبر منادی امنیت فضای تولید و تبادل اطلاعات(افتا) به چاپ رسیده است مراجعه نمایید. همچنین میتوان به کتاب مرجع این مقاله نیز مراجعه نمود.
- شناسایی چالشهای امنیتی پروتکل IEC ۶۰۸۷۰-۵-۱۰۴ و بررسی راهکارهای موجود. مجله منادی امنیت فضای تولید و تبادل اطلاعات(افتا). ۱. ۱۳۹۷; ۷ (۲) :۱۵-۳۰
- کتاب پروتکل کنترل صنعتیIEC 60870-5-104 از منظر امنیت سایبری ، ۱۳۹۶
[1] Validation
[2] Redundant