1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Модератор: Глоб.модераторы

Ответить
Аватара пользователя

Автор темы
Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Exactamente »

:ges_slap:

http://www.youtube.com/watch?v=eaa8ETKkbPU
Вообще, в последнее время какие-то нездоровые подвижки в сторону киберсекурности АСУ ТП.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».
Аватара пользователя

Serex
эксперт
эксперт
Сообщения: 2099
Зарегистрирован: 15 авг 2011, 21:36
Имя: Пупков Сергей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 138 раз
Поблагодарили: 174 раза

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Serex »

Exactamente писал(а): Вообще, в последнее время какие-то нездоровые подвижки в сторону киберсекурности АСУ ТП.
Эта вещь должна хорошо продаваться, почему бы нет?
Хотя классическая промышленная безопасность на первом месте ставит безопасность человека.
Потом экологическая безопасность
и только третьим идет инфраструктурная (экономическая), в том числе кибербезопасность.

Romcheg
SCADA+
SCADA+
Сообщения: 597
Зарегистрирован: 05 ноя 2009, 11:18
Имя: Бузинов Роман Анатольевич
Страна: Россия
город/регион: Москва
Благодарил (а): 8 раз
Поблагодарили: 36 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Romcheg »

Про то как их ПО отлавливает (моментально!) команду, ведущую к останову всего техпроцесса - это для какого детского сада демонстрация и презентация? Они совсем нас инженеров за имбицилов держат такими презентациями?
Цель хорошая, но подходы, подобные этому у нормальных специалистов не то что смех, а больше реакцию отторжения вызывают... Смысл пакета - сделайте в скаде все необходимое, а мы по этим параметрам будем красиво вам показывать, что что-то не так. НАХРЕНА мне этот пакет Касперсокго, если разработчик и так уже в скаде все это сделает? Ради присобачивания к моим параметрам скады скрипта на Lua???? ИМХО, по большей части - это навязанный сервис. Остальное - работа обычного антивируса. Более того, большинство моментов решаются чисто административными настройками политик безопасности ОС.
SCADA+
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение VADR »

Ну да, настройка порта для зеркалирования в него всего трафика должно предполагать, что этот порт неожиданно может быть перегружен. Также - я не знаю механизма (а может быть, он и есть...), чтобы определённым портом одного свитча зеркалировать трафик всей сети. Разве что линии связи между свитчами настраивать как зеркальные порты, но это уже более серьёзная перегрузка: перегрузка одиночного порта приведёт к отказу диагностики, перегрузка аплинка - к отказу системы. Получится сторожевой пёс, напавший на хозяина.
Отслеживание и блокирование неопознанных узлов в сети - реально и полезно (наверное, тут есть нюансы: теоретически эту блокировку злоумышленник тоже может использовать для коллапса системы).
В общем, в при любом раскладе что-либо полезное в этой теме можно сделать только в одном случае: участие в процессе разработчика системы. Если тот же контроллер для загрузки новой программы будет требовать аутентификации и авторизации, к примеру, парой ключей (и контроль этого будет возложен не на стороннюю софтину где-нибудь на сервере, а на сам контроллер) - можно уже о чём-то говорить. А пока - нет.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Alex question »

Romcheg писал(а): это для какого детского сада демонстрация и презентация?
Это для главных мениджеров. Там такое прокатывает на ура.

А вообще касперский молодец. Заранее полянку обрабатывает. Началось все с громких заявлений что все асу тп должны работать только на специальной промышленной операционке (никс, пересобранный с логотипами каспера). Но с этим предложением он был [CENSORED] не поддержан общественностью что вполне логично.

И вот потом как из рога изобилия посыпались другие предложения одно фантастичнее другого. Причем пропихиваемая предварительная стоимость решений десятки миллионов (по слухам из источников типа "обс" а так же некоторым бумажкам). Но самое главное тут то, что касперыч хочет одти в связке с поставщиками птк, т.к. без их работы ничего из показанного в дурацком ролике (ну кроме может защиты от втыкания левых флешек, что может сделать любой школьник за 2 минуты) просто не реализуемо.

Но у нас работает не здравый смысл а откаты и попилы. Если он сможет подсосаться к правильным челам, то возможно на рынке останутся всего несколько производителей, а в проекте добавится работы по подготовке всех защит, блокировок и сигнализаций для этого чудо по.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Jackson »

Exactamente писал(а): Вообще, в последнее время какие-то нездоровые подвижки в сторону киберсекурности АСУ ТП.
А просто везде всё что можно уже продали, денег поубавилось из-за плясок с курсом - вот и выдумывают продажники всё более изощрённые продажи. Кушать все хотят. Плюс с мозгами в проектировании всё чем дальше тем хуже, сообразить что надо просто сделать физически разделённые сети и регламентом добиться дисциплины, может уже не каждый, а про русских хакеров весь интернет пестрит - чем не благодатная почва для продаж?

Отправлено спустя 1 минуту 38 секунд:
Как говорил мой шеф: недостаток материальных средств ведёт к дисциплине мышления. А пока бюджеты кое-где ещё резиновые - дисциплины мышления долго ещё не видать будет.
По вопросам работы Форума можно обратиться по этим контактам.

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Alex question »

VADR писал(а): В общем, в при любом раскладе что-либо полезное в этой теме можно сделать только в одном случае: участие в процессе разработчика системы. Если тот же контроллер для загрузки новой программы будет требовать аутентификации и авторизации, к примеру, парой ключей (и контроль этого будет возложен не на стороннюю софтину где-нибудь на сервере, а на сам контроллер) - можно уже о чём-то говорить. А пока - нет.
Вот об этом я и говорю. Без разработчика птк и без разработчика проекта на конкретную асу тп вся показанная лабуда абсолютно бесполезна. При этом большую часть работы по защиты системы будут выполнять именно эти люди. Ну так процентов 90 работы.

Кроме того если с изменением уставок, шкал и коэффициентов все более или менее понятно (хотя это гораздо проще реализовать либо в ПО птк либо в самом проекте) то с командами вообще мрак. Вот взял оператор и отправил команду закрыть главную паровую задвижку или хлопнуть клапана на паре в турбину или пэн остановить. Как эта система разберет - злоумышленник это хочет блок отвалить или оператор сам приняо решение останогвиться видя что что то идет не так.

Кстати в нормальных системах авторизация на контроллере давно сделана. например в нашей контроллер проверяет компьютер с которого пошел любой запрос и права юзера под которым этот запрос идет.
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Jackson »

VADR писал(а): Если тот же контроллер для загрузки новой программы будет требовать аутентификации и авторизации, к примеру, парой ключей (и контроль этого будет возложен не на стороннюю софтину где-нибудь на сервере, а на сам контроллер) - можно уже о чём-то говорить.
Поправьте если я неправ, но ведь закрытие этой операции паролем (или запрет даже доступа к чтению содержимого ПЛК) разве не решает эту проблему?

Смотрю на наш буржуйский опыт, и вижу что там рациональные люди вообще не заморачиваются с безопасностью на управляющем уровне. Мы задавали этот вопрос - они очень удивились узнав, что сеть управляющего уровня может быть как-то связана со всем остальным миром. Плюс в сервисном софте обязательно есть пароль доступа. В прецизионных системах пароля не надо, но сама операция загрузки ПО в контроллер там нетривиальна и только при непосредственном подключении через сервисный порт, и если уж человек прошёл все эти процедуры, значит он понимает что делает. Удалённая диверсия невозможна т.к. нужно пешком прийти и подключиться, т.е. безопасность обеспечена на физическом и организационном уровнях.

Опять же, поправьте меня если я не прав, но мне кажется что при грамотном построении всей АСУ диверсии и пакости в ней просто исключены, а если кто-то что-то и сделает локально - значит это был специально нацеленный на это человек, а против лома нет приёма, кроме амбарного замка.

Полное закрытие контроллеров для внешнего мира сделает также и абсолютно бесполезным это ПО Касперского, т.к. оно не никак не сможет отследить изменения ибо доступ-то в ПЛК запрещён. Кроме того, можно ведь применять не Ethernet а собственные интерфейсы, для того это и делается чтобы физически разделить сети. Ну а если человек, как в примере, пришёл на объект пешком имея ноутбук со степ7 и паролеподбиралки - зачем ему лезь в сеть когда можно работать напрямую с контроллером? А при прямом доступе хотя бы и к сети, для диверсии даже ноутбук не понадобится - достаточно просто бокорезов, и то как максимум.

Интерес к таким вещам обоснован, т.к. ежу понятно что устроить теракт серьёзного масштаба в крупном городе запросто можно через, например, водоснабжение - тихо и эффективно. С охраной там полный швах, заходи кто хочет, делай что хочешь.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение VADR »

TEB писал(а): Поправьте если я неправ, но ведь закрытие этой операции паролем (или запрет даже доступа к чтению содержимого ПЛК) разве не решает эту проблему?
Частично - решают. Но длительная работа без напрягов по этой теме успокаивает и расслабляет. Пароли подолгу не меняются (иногда - вообще не меняются), сохраняются в автологонах и прочих уязвимых местах. Уволенные сотрудники помнят пароли. Аутентификация по паре ключей подразумевает работу только с той инженерной станции (тех инженерных станций), куда импортирован ключ. Ключ аппаратно-зависим, индивидуален для каждой станции (или каждого инженера - сохранён на смарт-карте), всё, что нужно для восстановления в случае утраты/повреждения хранится в сейфе под замком.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Автор темы
Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Exactamente »

Romcheg писал(а): Про то как их ПО отлавливает (моментально!) команду, ведущую к останову всего техпроцесса - это для какого детского сада демонстрация и презентация?
Да там вообще хохмы сплошные. Например, убить насос ПИД-регулятором, мнэ?..
Alex question писал(а): а в проекте добавится работы по подготовке всех защит, блокировок и сигнализаций для этого чудо по.
Вот это и напрягает. Не то что бестолковое, а вредное прумножение сущностей. Помимо самого проекта ещё и в этой приблуде настрой уставки.
Alex question писал(а): Без разработчика птк и без разработчика проекта на конкретную асу тп вся показанная лабуда абсолютно бесполезна.
Собственно, пока вендоры у себя это не реализуют, все такие примочки будут называться красивым английском словом workaround, по-русски - костыли.
TEB писал(а): Смотрю на наш буржуйский опыт, и вижу что там рациональные люди вообще не заморачиваются с безопасностью на управляющем уровне.
Мне очень понравился комментарий тут от Joel Langill. В духе "нормально делай, нормально будет!" :)
TEB писал(а): Поправьте если я неправ, но ведь закрытие этой операции паролем (или запрет даже доступа к чтению содержимого ПЛК) разве не решает эту проблему?
А вот не совсем правы, на самом деле. Всё так или иначе ломается. И софт тоже. И прошивка ПЛК, проверяющая пароли - тот же софт. Достаточно посмотреть на обнаруженные уязвимости (правда, они пока что все касаются scada-систем, плк white hat'ы пока не освоили, или там действительно всё хорошо, непонятно).
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

andrmur
освоился
освоился
Сообщения: 227
Зарегистрирован: 24 июл 2008, 09:22
Имя: Мурашко Андрей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение andrmur »

У меня складывается впечатление, что "антивирусные компании" сами себе создают рынок сбыта, распространяя страшилки, а может быть (скажу крамолу), и создавая инциденты, чтобы напугать пользователей...

Американцы, например, боятся использоваться продукты Касперского, полагая, что через них "русские хакеры" пролезут на их промышленные объекты: http://freebeacon.com/national-security ... ate=031116. Может быть, они зря волнуются? 8-)

И кстати. почему Касперский полюбил взламывать Сименс? Он самый легкий для хакинга, особенно, если подключиться к локальной сети с инженерным пакетом и зная пароль?
http://digitalsubstation.ru/blog/2015/1 ... stantsiyu/
Аватара пользователя

esoptro
здесь недавно
здесь недавно
Сообщения: 18
Зарегистрирован: 14 янв 2016, 11:40
Имя: Станислав Сергеевич Даткунас
Забанен: Бессрочно

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение esoptro »

Майкрософт в промышленности - зло.
Ein Teil von jener Kraft, Die stets das Böse will und stets das Gute schafft.

andrmur
освоился
освоился
Сообщения: 227
Зарегистрирован: 24 июл 2008, 09:22
Имя: Мурашко Андрей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение andrmur »

esoptro писал(а): Майкрософт в промышленности - зло.
Да-да, слышу это уже 20 лет :-P
Несмотря на всю критику, все остальные операционки так и не пошли в рост в АСУТП - увы...

Windows + TCP/IP дает возможность вламываться хакерам, которые ничего не понимают в АСУТП - максимум, что омжет сделать такой хакер, это погасить процессы на винде и заблокировать коммуникацию.

Поэтому, как показано в рекламном ролике Касперского, "правильный хакер" должен еще иметь и инженерную утилиту, знать пароль и подключиться к порту на свитче.
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение VADR »

andrmur писал(а): Несмотря на всю критику, все остальные операционки так и не пошли в рост в АСУТП - увы...
Пошли, только не в операторском интерфейсе и не инженерный софт. Контроллеры (в том числе PC-based) под линухом - обычное дело. А с операторским интерфейсом и инженерными станциями - замкнутый круг:
1. Разработчики ПО не делают софт под линухи, т.к. те, кто в этом процессе оперирует деньгами, считает, что никто такой софт не купит (потому что там всё непонятно, о чём сказал известный мегаэксперт из MS)
2. Даже в том случае, если софт таки появился, заказчик такой софт не купит, потому что те, кто в этом процессе оперирует деньгами, считает, что там всё непонятно и вообще надо ориентироваться на "лидера де-факто".
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

esoptro
здесь недавно
здесь недавно
Сообщения: 18
Зарегистрирован: 14 янв 2016, 11:40
Имя: Станислав Сергеевич Даткунас
Забанен: Бессрочно

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение esoptro »

Да-да, слышу это уже 20 лет :-P
От этого оно злом быть не перестает
Несмотря на всю критику, все остальные операционки так и не пошли в рост в АСУТП - увы...
Да вы что? Что и АЭС венде доверяют? А я думал что там QNX-ы и прочие большие Unix-ы
Windows + TCP/IP дает возможность вламываться хакерам, которые ничего не понимают в АСУТП - максимум, что омжет сделать такой хакер, это погасить процессы на винде и заблокировать коммуникацию.
Почему вы так решили? Хакер может быть лишь инструментом в чьих то руках.
Поэтому, как показано в рекламном ролике Касперского, "правильный хакер" должен еще иметь и инженерную утилиту, знать пароль и подключиться к порту на свитче.
Дожили, что касперыч уже и рекламные ролики стал снимать?
Ein Teil von jener Kraft, Die stets das Böse will und stets das Gute schafft.
Аватара пользователя

CHANt
эксперт
эксперт
Сообщения: 1467
Зарегистрирован: 25 июл 2008, 10:25
Имя: Эдуард Владимирович
Страна: СССР
город/регион: Оренбург
Благодарил (а): 46 раз
Поблагодарили: 105 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение CHANt »

andrmur писал(а): И кстати. почему Касперский полюбил взламывать Сименс? Он самый легкий для хакинга, особенно, если подключиться к локальной сети с инженерным пакетом и зная пароль?
Сименс не придерживался активного преследования, за свои ключи авторизации прикладного ПО. Это, на мой взгляд, удачный маркетинговый ход на рынке СНГ, так как позволил учиться и развиваться достаточно большому количеству специалистов, практически бесплатно (откуда у нас деньги?))). Оттуда и популярность, условно конечно. Тоже прикладное ПО, помнятся времена, когда мы, абсолютно не знакомые люди, друг-другу двд-дисками пересылали почтой, так как через инет скачать столько было очень затруднительно, торрентов не было. А двд-диски добивали своим имевшимся ПО и т.п. Одно время, даже помощь была от самого Сименса - продавал ДВД-9 диск со всем своим ПО, с кучей библиотек, всего за 90 евро))) Из-за распространенности и куча методов снятия паролей и т.п.
Кстати, они в новом тиа портале переработали защиту, теперь все не просто и у касперского на видео именно старый вариант контроллера и степ7, сходящего со сцены)))
Лукавство, в тематике ИБ, всегда присутствует)))
--------------------------------------------------------------------------------------------
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Jackson »

Exactamente писал(а): А вот не совсем правы, на самом деле. Всё так или иначе ломается. И софт тоже. И прошивка ПЛК, проверяющая пароли - тот же софт.
Согласен. А как насчёт решения: полностью запретить чтение ПО из контроллера вообще, а обмен данными (параметры рецептов там или ещё что) обработать программно? На нескольких ПЛК видел возможность исключить доступ к ПО после его загрузки в ПЛК, т.е. изменить ПО можно только одним способом - перезаписав его заново. А на старых контроллерах в модулях памяти была механическая "защёлка" - микропереключатель который запрещает перезапись содержимого, как флажок на дискете. Давно не работал с ПЛК, поэтому и спрашиваю чтобы быть в курсе. Спасибо!
andrmur писал(а): У меня складывается впечатление, что "антивирусные компании" сами себе создают рынок сбыта,
Это нормально для любого бизнеса. Зависит от компании. Если вспомнить историю, откуда вообще взялся Касперский как человек - он же раньше то ли с Лозинским (Диалог-Наука) либо с Даниловым (Др.Вэб) работал, ещё в СССР и под ДОСом, а когда попёрла кооперация и прочее, то Касперский первым начал очень активно продавать и продвигать свой продукт, его антивирус даже в книжных магазинах продавался, в то время как за Др.ВЭБом надо было ехать в офис (рядом с ст.м.Электросила раньше), а за аидстестом и АдИнфом в Москву. Интернета тогда не было ещё нормального.
И, между прочим, если кто помнит, был такой продукт у Диалог-Наука - AdInf, он делал ровно то же самое что делает сейчас сабж: сигнализирует об изменениях. Так что идея-то вовсе не нова, просто её применили к АСУТП. И я не считаю что это какой-то лохорон, просто надо понимать что это за продукт и как он работает. Никакой защиты он не даёт совершенно, зато позволяет отследить изменения и это может быть вполне полезно. Правда я не представляю как он может быть "коробочным" т.к. структуры систем бывают очень разные, да и контроллеры тоже, серьёзное допиливание на месте неизбежно.
andrmur писал(а): Американцы, например, боятся использоваться продукты Касперского, полагая, что через них "русские хакеры" пролезут на их промышленные объекты: http://freebeacon.com/national-security ... ate=031116. Может быть, они зря волнуются?
Конечно зря. Если хакеру нужно куда-то пролезть - он это сделает, с этим продуктом или без него. Волноваться бессмысленно.
andrmur писал(а): И кстати. почему Касперский полюбил взламывать Сименс?
А Вы погуглите ПЛК - сименс в топе поисковиков и у всех на слуху. Вот и нагуглили эффективные манагеры. :) Эта мысль ещё вчера ко мне пришла: контроллеров существует великое множество, так что Касперский, реализуя этот продукт, автоматически должен нарабатывать базу данных драйверов связи с контроллерами, и, таким образом, в итоге получится идеальый продукт для хакера, который сможет достучаться до любого контроллера и отследить его :)
Иными словами, сев на пароход ты автоматически окружил себя водой и рано или поздно промокнешь. Чтобы остаться сухим, надо держаться подальше от воды.
andrmur писал(а): Windows + TCP/IP дает возможность вламываться хакерам, которые ничего не понимают в АСУТП - максимум, что омжет сделать такой хакер, это погасить процессы на винде и заблокировать коммуникацию
Это смотря как сделана АСУ. Под этой виндой может крутиться что-то такое, без чего весь объект встанет (если криво отработана структура системы): тупо остановил винду - убил весь техпроцесс.
andrmur писал(а): Поэтому, как показано в рекламном ролике Касперского, "правильный хакер" должен еще иметь и инженерную утилиту, знать пароль и подключиться к порту на свитче
А об этом я уже говорил: если есть доступ к свичу, а значит и к остальному, то не нужна ни инженерная утилита ни пароль - отвёртка и бокорезы решат все задачи.
esoptro писал(а): От этого оно злом быть не перестает
Зло это для тех кто не понимает что это за продукт и как заставить его работать нормально. В умелых руках всё идёт на пользу, или не используется вовсе.
esoptro писал(а): Да вы что? Что и АЭС венде доверяют?
Да.
esoptro писал(а): А я думал что там QNX-ы и прочие большие Unix-ы
Не везде.
CHANt писал(а): Сименс не придерживался активного преследования, за свои ключи авторизации прикладного ПО. Это, на мой взгляд, удачный маркетинговый ход на рынке СНГ
Да.
CHANt писал(а): Лукавство, в тематике ИБ, всегда присутствует
Да.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Автор темы
Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Exactamente »

TEB писал(а): Согласен. А как насчёт решения: полностью запретить чтение ПО из контроллера вообще, а обмен данными (параметры рецептов там или ещё что) обработать программно?
Вот это и будет место, где погоня за безопасностью вставляет палки в колёса нормальной работе. Станет невозможной безостановочное изменение логики. Навскидку, Йоко, АВ, всё что под Кодесисом и производными, насчёт Сименса не знаю, - позволяют менять логику "онлайн". А это часто бывает нужно.
Слить конфиг с ПЛК - очень крутая функция. С нашим повсеместным раздолбайством исходники имеют свойство теряться :) Это, конечно, плохо, но факт.
TEB писал(а): А на старых контроллерах в модулях памяти была механическая "защёлка" - микропереключатель который запрещает перезапись содержимого, как флажок на дискете.
Старые не застал :) На новых, где память суть внешняя съёмная флешка, - это не проблема и зависит от самой флешки. Только проблема та же самая. Нужно погасить контроллер и вынуть память, чтобы переключатель щёлкнуть.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».
Аватара пользователя

Barsik
не первый раз у нас
не первый раз у нас
Сообщения: 353
Зарегистрирован: 02 фев 2010, 22:28
Имя: Корнеев Дмитрий
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 1 раз
Поблагодарили: 7 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Barsik »

esoptro писал(а):Да вы что? Что и АЭС венде доверяют? А я думал что там QNX-ы и прочие большие Unix-ы
Усиленно навязываемая в российской большой энергетике SCADA "Квинт" работает под виндами https://ru.wikipedia.org/wiki/%D0%9F%D0 ... 0%BD%D1%82
Запуск и модернизация оборудования без проекта и документации. Дорого.
Аватара пользователя

esoptro
здесь недавно
здесь недавно
Сообщения: 18
Зарегистрирован: 14 янв 2016, 11:40
Имя: Станислав Сергеевич Даткунас
Забанен: Бессрочно

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение esoptro »

Зло это для тех кто не понимает что это за продукт и как заставить его работать нормально. В умелых руках всё идёт на пользу, или не используется вовсе.
Очки никогда не станут телескопом, в чьих бы руках они не были и как не заставляй их работать :) Вся история десктопной Windows сплошное недоразумение, до ее первого появления в 1995 году (версии Windows до этого не являлись ОС) серьезными промышленными объектами уже десятилетия управляли большие UNIX-ы, более того в UNIXах чертили и разрабатывали.
Более того десктопная Windows даже сейчас не является ОСРВ (Операционной Системой Реального Времени), таковой является лишь Windows CE, которую по функционалу и фичам смешно сравнивать с той же QNX. Все костыли что приделывают к Windows позволяют ей быть лишь системой "мягкого" реального времени, и для того что бы не "обидеть" настоящие системы реального времени, маркетологи придумали для них термин - система "жесткого" реального времени. :)
более подробно http://www.qnx-russia.ru/presentations/ ... utrino.pdf
и
http://www.rtsoft.ru/press/articles/detail.php?ID=1486
esoptro писал(а): Да вы что? Что и АЭС венде доверяют?
Да.
То что Windows все таки используют там где ее использовать нельзя, вызывает те же чувства когда видишь что кабельные наконечники обжимают плоскогубцами и молотком.

esoptro писал(а): А я думал что там QNX-ы и прочие большие Unix-ы
Не везде.
Кабельные наконечники в РФ обжимают пресс-клещами тоже не везде. Это в целом удручает.
Ein Teil von jener Kraft, Die stets das Böse will und stets das Gute schafft.
Аватара пользователя

esoptro
здесь недавно
здесь недавно
Сообщения: 18
Зарегистрирован: 14 янв 2016, 11:40
Имя: Станислав Сергеевич Даткунас
Забанен: Бессрочно

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение esoptro »

Barsik писал(а):
esoptro писал(а):Да вы что? Что и АЭС венде доверяют? А я думал что там QNX-ы и прочие большие Unix-ы
Усиленно навязываемая в российской большой энергетике SCADA "Квинт" работает под виндами https://ru.wikipedia.org/wiki/%D0%9F%D0 ... 0%BD%D1%82
В этом предложении меня печалит словосочетание "усиленно навязываемая", с другой стороны это не может не радовать. Ведь раз приходится прикладывать усилия к навязыванию, значит в большой энергетике еще остались настоящие профессионалы, которые понимают что работать под вендами, в большое энергетике нельзя. Ну т.е можно, но ровно так же как пренебрегать и другими требованиями в энергетике, что естественно ни к чему хорошему это не приведет.
Ein Teil von jener Kraft, Die stets das Böse will und stets das Gute schafft.

andrmur
освоился
освоился
Сообщения: 227
Зарегистрирован: 24 июл 2008, 09:22
Имя: Мурашко Андрей Викторович
Страна: Россия
город/регион: Москва
Благодарил (а): 6 раз
Поблагодарили: 2 раза

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение andrmur »

вот демонстрация взлома СКАДЫ Realflex и некоего ПЛК (тип не разглядел), подключенного к серверу через Modbus/TCP.

https://scadahacker.com/videos/icsattackdemofw.php

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Alex question »

Barsik писал(а): Усиленно навязываемая в российской большой энергетике SCADA "Квинт" работает под виндами https://ru.wikipedia.org/wiki/%D0%9F%D0 ... 0%BD%D1%82
Хороший троллинг, но не прокатил.
Не умно говорить о том, о чем имеются довольно смутные понятия. Как говорится: "пруф или опозорился?"
esoptro писал(а): Ведь раз приходится прикладывать усилия к навязыванию, значит в большой энергетике еще остались настоящие профессионалы, которые понимают что работать под вендами, в большое энергетике нельзя.
Еще один.
Слышал звон да не знает где он.

В энергетике 99% всех армов работает под виндой. В том числе и сименс, на который сейчас все фа...молятся.
Аватара пользователя

Barsik
не первый раз у нас
не первый раз у нас
Сообщения: 353
Зарегистрирован: 02 фев 2010, 22:28
Имя: Корнеев Дмитрий
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 1 раз
Поблагодарили: 7 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Barsik »

Alex question писал(а):
Barsik писал(а): Усиленно навязываемая в российской большой энергетике SCADA "Квинт" работает под виндами https://ru.wikipedia.org/wiki/%D0%9F%D0 ... 0%BD%D1%82
Хороший троллинг, но не прокатил.
Не умно говорить о том, о чем имеются довольно смутные понятия. Как говорится: "пруф или опозорился?"
Поясните свою мысль пожалуйста. Я в энергетике не работаю довольно давно, но сомневаюсь что там что то радикально изменилось. И судя по всему разработчики Квинта чувствуют себя неплохо http://www.cnews.ru/news/top/2016-01-06 ... t_elementy
Запуск и модернизация оборудования без проекта и документации. Дорого.

Alex question
осмотрелся
осмотрелся
Сообщения: 144
Зарегистрирован: 20 янв 2015, 10:13
Имя: Алексей
Страна: Россия
Поблагодарили: 10 раз

Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

Сообщение Alex question »

Barsik писал(а): Поясните свою мысль пожалуйста.
Легко.
Barsik писал(а): Усиленно навязываемая в российской большой энергетике SCADA "Квинт"...
Alex question писал(а): Как говорится: "пруф или опозорился?"
Просто ответьте на вопрос.

esoptro писал(а): То что Windows все таки используют там где ее использовать нельзя, вызывает те же чувства когда видишь что кабельные наконечники обжимают плоскогубцами и молотком.
Весьма интересно читать, как один человек решает, что можно делать, а что нельзя в целой отрасли.
Ответить

Вернуться в «Информационная безопасность»