1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Запрет функций PUT\GET

Модератор: Глоб.модераторы

Ответить

Автор темы
Roman_33
освоился
освоился
Сообщения: 271
Зарегистрирован: 25 ноя 2018, 17:55
Имя: Роман
Благодарил (а): 4 раза
Поблагодарили: 42 раза

Запрет функций PUT\GET

Сообщение Roman_33 »

Здравствуйте,тут пошла такая тема, что на некоторых предприятиях ИБ запрещает использовать в коде данные функции. Может кто нибудь объяснить с чем это связанно. Только,если можно, без софистики, а конкретно,"в следствии использования в коде функции PUT произошло то-то, ущерб составил столько-то,человеческие жертвы такие-то". А то как то странно все это выглядит, столько времени не заморачивались и тут на тебе.
Случается нередко нам
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Запрет функций PUT\GET

Сообщение VADR »

Я так думаю, проблема в том, что функции PUT/GET (если речь идёт о Симатиках) могут использоваться для доступа к данным внутри контроллера без необходимости конфигурирования соединения в проекте. А конкретно PUT - для изменения данных в контроллере. То есть, теоретически - если будет возможность как-то внедрить в систему свой траффик (необязательно это физическое включение лишнего компьютера в сеть - может быть проход через неправильно сконфигурированный или взломанный файрвол) - то появится опасность влияния на работу контроллера и собственно техпроцесс. Ну а функция GET за компанию под раздачу попала, так как запрет в проекте выставляется сразу на обе функции. Вообще говоря, запрет не лишён смысла.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Автор темы
Roman_33
освоился
освоился
Сообщения: 271
Зарегистрирован: 25 ноя 2018, 17:55
Имя: Роман
Благодарил (а): 4 раза
Поблагодарили: 42 раза

Запрет функций PUT\GET

Сообщение Roman_33 »

Так и представляю себе "черного властелина" проникающего в технологическую сеть (Профинет), которая по хорошему должна быть физически изолирована от сети верхнего уровня, дабы учинить диверсию и посеять хаос. :lol:
Случается нередко нам
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Запрет функций PUT\GET

Сообщение VADR »

Тем не менее всё это весьма серьёзно. Она, конечно, по хорошему должна... Однако, чуть чаще, чем всегда, требуется собирать данные из локальной системы, например, в общую АСОДУ предприятия. Или в MES. Да, через файрвол между сетями, но файрволы тоже не идеальны. Кроме того, сквозь файрвол проковыривается таки дырочка для локального OPC-сервера, а на нём уже есть всё необходимое... А АСОДУ/MES стыкуется с ERP (надо ведь производственную информацию с финансовой интегрировать). А там - обычные компьютеры бухгалтеров/экономистов/закупщиков/продаванов. То есть - цепочка налицо. И в какое место флешку заражённую ткнут или письмо с вирусом пришлют - кто его знает?
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Автор темы
Roman_33
освоился
освоился
Сообщения: 271
Зарегистрирован: 25 ноя 2018, 17:55
Имя: Роман
Благодарил (а): 4 раза
Поблагодарили: 42 раза

Запрет функций PUT\GET

Сообщение Roman_33 »

То есть, если я не буду использовать в своем коде эти функции (весьма удобные), то всего вышеперечисленного проделать категорически не получится? Вам не кажется это бредом? Я больше склоняюсь, что кто то нехило деньжат на всем этом поднял и продолжает поднимать.
Случается нередко нам
И труд и мудрость видеть там,
Где стоит только догадаться
За дело просто взяться.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Запрет функций PUT\GET

Сообщение VADR »

Если у вас дома есть сейф с деньгами, он ведь наверняка закрыт, да? Несмотря на то, что закрыта также и дверь в квартиру. И внизу в подъезде - тоже, наверное, домофон. А ещё есть специально обученные люди в форме, в чьи обязанности входит обеспечение в том числе и безопасность вашей собственности (и содержимое сейфа - в ом числе). Это называется эшелонированной защитой. Ни одна из защит не может обеспечить абсолютной безопасности, и даже все вместе. Но максимально затруднить задачу потенциальному злоумышленнику надо. В пределах разумного, конечно. PUT/GET - удобно, конечно, но это не единственный способ обмена данными между контроллерами. Есть более безопасные способы.
Roman_33 писал(а): 13 фев 2022, 12:04 То есть, если я не буду использовать в своем коде эти функции (весьма удобные), то всего вышеперечисленного проделать категорически не получится?
И, кстати, дело тут не в самих функциях, а в разрешении на использование этих функций в настройках контроллеров.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Sergy6661
специалист
специалист
Сообщения: 655
Зарегистрирован: 19 фев 2019, 22:38
Имя: Сергей
Страна: Россия
город/регион: Краснодар
Благодарил (а): 20 раз
Поблагодарили: 89 раз

Запрет функций PUT\GET

Сообщение Sergy6661 »

Всем привет. Тоже внесу 5 копеек...Вот точно не помню(пол года с Леней Брэдли работаю и Симатик в файл подкачки выгрузился :ext_book: ), но для резервированных S7-400H какой-то важный функционал не работал при запрещенных PUT/GET.
VADR писал(а): 13 фев 2022, 13:54 Если у вас дома есть сейф с деньгами, он ведь наверняка закрыт, да? Несмотря на то, что закрыта также и дверь в квартиру.
Запрет PUT/GET мне больше напоминает охраняемые злобным алабаем (Фаерволл) запертые, заколоченные и забаррикадированные ворота в сарайчик, а задней стеночки то нету...вот такое вот эшелонирование.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Запрет функций PUT\GET

Сообщение Jackson »

Roman_33 писал(а): 13 фев 2022, 07:43 Может кто нибудь объяснить с чем это связанно. Только,если можно, без софистики, а конкретно,"в следствии использования в коде функции PUT произошло то-то, ущерб составил столько-то,человеческие жертвы такие-то".
Может. Но вообще-то за такую статистику, которую проводят крупные конторы, денег просят.
Причину объяснил VADR, отраслевые стандарты могут такое запрещать, имеют право.
Например я знаю отрасли, где запрещены безусловные переходы, и инспектора требуют это продемонстрировать в коде.
Sergy6661 писал(а): 14 фев 2022, 08:22 Запрет PUT/GET мне больше напоминает охраняемые злобным алабаем (Фаерволл) запертые, заколоченные и забаррикадированные ворота в сарайчик, а задней стеночки то нету...вот такое вот эшелонирование.
Всё может быть. Но раз есть запрет в нормативе - соблюдать запрет надо, независимо от своих ассоциаций и предположений.
По вопросам работы Форума можно обратиться по этим контактам.
Ответить

Вернуться в «Информационная безопасность»