Киберзащита АСУ ТП

[CHANt]

Я не про панацею, я про девайс класса Д для RS-232/485 )))

[Serex]

Вот у них не помогло даже полное разделение сетей:

А при чем тут файрволл и АСУТП? Человек с привилегированным доступом занес вирус в корпоративную сеть, который уничтожил офисные данные. Это написано во втором абзаце.

[Serex]

Я не про панацею, я про девайс класса Д для RS-232/485 )))

У меня ассоциация с DP/DP coupler... Но так-то можно и до гальванической развязки дойти ))

[VADR]

Я не про панацею, я про девайс класса Д для RS-232/485 )))

У меня ассоциация с DP/DP coupler... Но так-то можно и до гальванической развязки дойти ))

А тут можно и без смайлов. Представим контроллер, в который напрямую приходит кабель Profibus, подключенный к оборудованию где-то в другом помещении и идущий по трассе, доступной для постороннего вмешательства. Если кто-то по пути кабеля его вскроет и подаст 220В - какова вероятность грохнуть контроллер полностью, если нет гальванической развязки?

[CHANt]

Я про межсетевой экран спросил, для протоколов Modbus, Profibus, CAN, Hart, к серийному производству которых ФСТЭК предъявляет требования ))) И где такой продается? )))

Представим контроллер, в который напрямую приходит кабель Profibus, подключенный к оборудованию где-то в другом помещении и идущий по трассе, доступной для постороннего вмешательства. Если кто-то по пути кабеля его вскроет и подаст 220В - какова вероятность грохнуть контроллер полностью, если нет гальванической развязки?

VADR, ну это же не ИБ, это вредительство! А вот если подключится, расшифрует и начнет управлять турбиной - это ИБ! Для этого и нужен сетевой экран. А Вы упрощаете все

— Теперь люди думают, что мы на всю голову отмороженные.
— А раньше не думали?
— Раньше думали, что мы не на всю голову отмороженные, а теперь думают, что на всю!
Жмурки ©

[Степа]

Без обоснования.

Вы хочите обоснования? Их есть у меня.
Итак, речь идет вот об этом заявлении:

Кстати, со времен Стукснета Сименс реально пересмотрел свой подход к безопасности и теперь прежние шуточки просто так не выйдут, если использовать новый софт и железо. Конечно, не исключено, что специально для спецслужб Сименс оставил лазейки, хотя для меня это звучит дико. На такой способны только отдельные работники Сименса, но не генеральный директор.

Итак, поехали.
1. Откуда ты можешь знать, как изменился подход к безопасности в Сименс? Тем более уровень изменения? Есть документы в открытом доступе? Есть реальное описание "как было" и "как стало"?
2. Откуда ты знаешь, что прежние шуточки не пройдут? Ты это проверял? Или можешь привести веские доказательства? Просто слова, пусть даже и генерального директора Siemens - ни разу не доказательство: в наше время нельзя верить никому, порой даже самому себе.
3. Не пройдут старые - пройдут новые: работающего ПО без ошибок не бывает.
4. "Звучит дико" только для впервые услышавшего про информационную безопасность. Ибо даже самый начинающий без проблем найдет /или уже встречал/ нечто подобное:
В каждом iPhone и любом другом iOS-гаджете Apple оставила специальные сервисы для сбора информации о владельце.
Почему шифрование в Windows 8.1 не пугает спецслужбы
Bloomberg: Apple уже предоставляла спецслужбам бэкдор для iOS 8
И это я еще не особо упираясь...
5. "На такое способны только отдельные работники" разве что в твоей с понтом проектантской конторе, где с "проектами" полный бардак, все делается "на коленке" и "проекты" часто не выдерживают даже поверхностной проверки. В хотя бы минимально уважающей себя конторе есть перекрестный контроль документации, ПО, отладка идет не на живых объектах... Возможности "отдельных работников" с ростом зрелости процессов разработки стремятся к нулю. А с ростом размеров коллектива, задействованного на разработке - растет и уровень того, кто может приказать воткнуть лазеечку и "не заметить" ее на тестировании.
Так что невеликого опыта заявитель... Если быть кратким: дилетант.

Речь не идет за криптографию и прочую математику: реально в таких вопросах очень немногие разбираются, а накосячить - как два пальца. И убедиться в наличии/отсутствии косяка не так-то просто. Тут вполне может хватить усилий одного человека - найти ошибку в даже относительно простом алгоритме весьма и весьма непросто /для желающих попробовать - Масленников М. "Криптография и свобода", алгоритм "Ангстрем"/.

А дайте плиз ссылку на продаваемый межсетевой экран для

http://www.prosoft.ru/products/brands/h ... 21/503800/
МСЭ именно для RS-232/RS-422/RS-485 - это навряд ли... Разве что что-то типа "диода данных" на базе RS-232: не три провода в кабеле распаяно, а только два: земля и один из информационных. Тогда данные по-любому "пойдут" только в одну сторону. RS-422 аналогичным способом можно развязать. RS-485, CAN - так просто не получится...

[CHANt]

МСЭ именно для RS-232/RS-422/RS-485 - это навряд ли...

Тогда для чего "отмороженные" выпускают такие тех. требования к МСЭ? ))) Хотя, ответ и не нужен...Если маркетинг запущен, то мерчандайзинг сварганят и на профибас, подумаешь по IP - на всю ведь голову отмороженные, а раньше были не на всю... )))

[Ryzhij]

Вы хочите обоснования? Их есть у меня.
Итак, речь идет вот об этом заявлении:

Кстати, со времен Стукснета Сименс реально пересмотрел свой подход к безопасности и теперь прежние шуточки просто так не выйдут, если использовать новый софт и железо. Конечно, не исключено, что специально для спецслужб Сименс оставил лазейки, хотя для меня это звучит дико. На такой способны только отдельные работники Сименса, но не генеральный директор.

Итак, поехали.

Кто-то думает, что на Stuxnet всё закончилось и теперь в Siemens всё тип-топ?
Информация к размышлению:
https://habrahabr.ru/post/302276/
Что-то мне подсказывает, что TIA-portal и S-1200 появились позже Stuxnet.

[Jackson]

Хотя, на мой взгляд, это слабая компетентность того кто готовил материал к этой статье

Так уже ж говорили, что о промышленной автоматике все эти люди имеют весьма отдалённое представление.

Ну, например, обычная такая газовая печурка даже не очень больших размеров /с небольшой садовый домик примерно/, у которой просто остановили ПЛК

Знаете, эта проблема уже частично решена. Например тем, что существуют узкоспециализированные контроллеры под такие задачи. Во-первых их не остановить. Напакостить конечно можно, если есть интерфейс во внешний мир, но для этого надо знать как.
Один случай когда Симатик применяется от частной газовой котельной до ядерных центрифуг и и там и здесь сработает один и тот же метод. Совсем другой случай когда контроллер узкоспециализированный, не программируемый, да ещё и адресное пространство каждый раз разное. А если еще и от внешнего мира систему отрезать, потому как ей ни на чёрта не сдался этот внешний мир, только мешает. Да, такие системы управления создавать некомфортно. по шаблону не получится на 100%, но ведь что угодно требует затрат, в том числе и безопасность. Попробуйте к примеру взломать ОВЕНовский ТРМ. И это еще вопрос, какие вложения в безопасность меньше: вложение на создание нетиповых закрытых систем или вложения в кибербезопасность. Тем более что такую систему нужно создать всего один раз, а всю эту кухню безопасности надо допиливать постоянно под новые возможности злоумышленников и вновь обнаруженные дыры. А ведь число дыр и ошибок в коде никогда не равно нулю, и значит этот процесс допиливания такой же бесконечный, как обновления Windows.

У нас например есть такие системы. Да, они проигрывают в стоимости и трудоемкости создания и ПНР, но зато безопасность, в том числе и технологическая (нет шансов даже специально сделать катастрофические изменения в коде). И у создателей таких систем все эти разговоры про безопасность вызывают просто улыбку.

Всё же просто: пользуешься чем-то массовым - значит кто-то ещё тоже знает как с этим работать, и среди толпы таких же профессионалов может быть и злодей.

Ярчайший пример. Что нужно из внешнего мира знать об электростанции? То что она работает, с какой мощностью и какой резерв. Зачем для этого расшаривать в интернет всю автоматику, когда можно организовать простейшую отдельную систему диспетчерского учёта, никак не связанную ни с чем кроме внешнего мира? Проще говоря, любой замок рано или поздно можно сломать - так зачем тогда вообще делать ворота, которые он запирает?

[Василий Иванович]

Кто-то думает, что на Stuxnet всё закончилось и теперь в Siemens всё тип-топ?
Информация к размышлению:
https://habrahabr.ru/post/302276/
Что-то мне подсказывает, что TIA-portal и S-1200 появились позже Stuxnet.

Ну вот, пришло время и неизбежное случилось. Я у Лангнера за обедом на одном из его семинаров поинтересовался года четыре назад, почему он не говорит, что ПЛК-вирусы - проблема вполне реальная, знаете что он мне ответил? Он сказал, что он не хочет распространять панику.

Излишне говорить, что Симатик надо защищать паролями. Вот тогда жизнь вирусу резко осложняется. Жаль ключики отменили, это они погорячились.

[Василий Иванович]

Ярчайший пример. Что нужно из внешнего мира знать об электростанции? То что она работает, с какой мощностью и какой резерв. Зачем для этого расшаривать в интернет всю автоматику, когда можно организовать простейшую отдельную систему диспетчерского учёта, никак не связанную ни с чем кроме внешнего мира? Проще говоря, любой замок рано или поздно можно сломать - так зачем тогда вообще делать ворота, которые он запирает?

Ну это элементарно. Электростанция сама часто не в силах обеспечить техподдержку промышленного софта, и для проведения плановых и неплановых работ вынуждена обеспечить доступ к контроллерам специалистам разработчика системы. Которые живут хрен знает где и добраться могут только к послезавтрему. А баблос из-за простоя уходит нехилый. Там тысячи, может даже миллионы убытков могут накапать. Вот и делают удалённый доступ и обвязывают его мерами безопасности. Так выгоднее

[Степа]

Тогда для чего "отмороженные" выпускают такие тех. требования к МСЭ?

Modbus, Profibus уже давно могут "гулять" не только по RS-232/RS-485, но и по Ethernet - Modbus TCP и Profinet соответственно. CAN и HART - не слышал, но скорее всего нет. Если CAN и HART - сети, в общем-то, как правило защищенные*, то асушный сегмент Ethernet с тем же Profinet`ом вполне могут подключить /и скорее всего подключат/ к офисному сегменту, в котором есть все... В том числе и пакеты, посланные с недобрыми намерениями. Обычным МСЭ можно несколько осложнить жизнь таким недобрым пакетам. МСЭ с поддержкой промышленных протоколов сделают эту жизнь еще более сложной.
Элемент защиты, не более.

--------------------
* Термин по ГОСТ Р 8.654 - тут смысл несколько другой: сеть, где все абоненты наперед известны.

Кто-то думает, что на Stuxnet всё закончилось и теперь в Siemens всё тип-топ?

Есть такие... Даже прямо здесь. И ссылочка на автора есть прямо перед цитатой.

Напакостить конечно можно, если есть интерфейс во внешний мир, но для этого надо знать как.

Ну я в общем-то так и говорил: останов ПЛК - самый простой способ напакостить. И самый тупой. Нагадить можно куда более интересно...
И это... Практика показывает, что секретность - не самый лучший способ обезопасить себя от атаки. Тот же стукснет - принципиальные схемы и прочие детали проекта этих самых центрифуг не публиковались в интернете...

А если еще и от внешнего мира систему отрезать, потому как ей ни на чёрта не сдался этот внешний мир, только мешает.

А вот тут начинаются проблемы: чаще всего нужен внешний мир. Там, во внешнем мире, очень желают знать, как работает система, ее текущие параметры, ее состояние и т.п.

И у создателей таких систем все эти разговоры про безопасность вызывают просто улыбку.

А вот это зря. Очень зря.
Сегодня пока никто не будет заморачиваться с теми же ТРМ - есть цели и повкуснее. Но когда там все будет плохо /в смысле для атакующего/, то... Уже прошел слушок, что через кофеварку можно получить доступ к информации на смартфоне.

[Василий Иванович]

1. Откуда ты можешь знать, как изменился подход к безопасности в Сименс? Тем более уровень изменения? Есть документы в открытом доступе? Есть реальное описание "как было" и "как стало"?
2. Откуда ты знаешь, что прежние шуточки не пройдут? Ты это проверял? Или можешь привести веские доказательства? Просто слова, пусть даже и генерального директора Siemens - ни разу не доказательство: в наше время нельзя верить никому, порой даже самому себе.

Не надо быть таким недоверчивым к Сименс. Они всё-таки становятся лучше, пусть и не столь быстро, зато врядли медленнее других. Об изменении подхода к безопасности можно судить хотя бы по тому, что они образовали отдельное подразделение занимающееся этими вопросами. Свежие версии софта стали поставляться с подробным руководством по обеспечению безопасности при построении систем. Да попробуйте хотя бы получить доступ к базе данных WinCC, как это делал Stuxnet, через стандартный пароль разработчика - ничего не выйдет!
Здесь же, на форуме, лет пять назад писал человек из Positive Technologies, с просьбой покритиковать вот этот свой отчёт.
http://www.ptsecurity.ru/download/SCADA ... ussian.pdf
Тут его в основном осмеивали за малосведущесть в АСУТП, но тем не менее это неплохая программистская контора, и своё дело они знают хорошо. Они получили заказ от Сименс по поиску дыр в своих продуктах, результаты были опубликованы, Сименс накатал несколько апдейтов (они блин ставятся дольше, чем сам продукт!).

[Василий Иванович]

Modbus, Profibus уже давно могут "гулять" не только по RS-232/RS-485, но и по Ethernet - Modbus TCP и Profinet соответственно. CAN и HART - не слышал, но скорее всего нет. Если CAN и HART - сети, в общем-то, как правило защищенные*, то асушный сегмент Ethernet с тем же Profinet`ом вполне могут подключить /и скорее всего подключат/ к офисному сегменту, в котором есть все... В том числе и пакеты, посланные с недобрыми намерениями.

Если бы они хотели бы написать Profinet вместо Profibus - они написали бы. И не указывали отдельным протоколом Industrial Ethernet (хотя по правде говоря это и не протокол вовсе). Здесь явно взяли список протоколов не Ethernet и раздвинули на них требования контроля и фильтрации.
Я вообще не понимаю, как должны функционировать контроль-фильтрация в протоколе с одним мастером. Не говоря уже о цели такой фильтрации. Запретить передачу запретных команд или данных?

[CHANt]

Я вообще не понимаю, как должны функционировать контроль-фильтрация в протоколе с одним мастером. Не говоря уже о цели такой фильтрации. Запретить передачу запретных команд или данных?

Так вот суть этой полемики была - мужики, специалисты по ИБ, Вы говорите что есть у Вас люди обученные, в теме понимающие, так дайте им готовить статьи, обзоры или с нами "пообщаться". А то сплошные ляпы в статьях, непонятные взломы специализированных устройств, загадочные намеки на шифраторы пром. протоколов, теперь вот еще и МСЭ не понять на что ))) да еще и в нормативных документах ФСТЭК ))) Так вот, Василий Иванович, проще Вас и коллег по форуму спросить, чем получить ответ от "профессионалов ИБ". Ведь масса технических требований отраслевых, которые мы обязаны выполнять и в процессе проектирования, и в ходе эксплуатации, а тут нарисовались друзья со своим уставом (не предложениями), и давай загадочные нормы, аппараты, суперпродукты всякие нам "рекламировать/нормировать". ))) Вся тема в чушь свалилась. Ни один специалист в теме не оспаривает необходимость ИБ! Наоборот! Но все что нам предлагают это прочитать, взять на вооружение то что является сырым материалом, не выдерживающим никакой критики, а то и вообще является фантастикой. ))) Хочу конструктива! ))) Вот тебе мероприятия, вот тебе рынок устройств/систем, вот тебе порядок контроля, периодичность обслуживания, вот тебе виды проектной/эксплуатационной документации и все! Выполнишь - все защищено, иди честно за зарплатой. )))

[Степа]

Не надо быть таким недоверчивым к Сименс.

В наше время нельзя верить никому. Порой даже самому себе. (с)

Они всё-таки становятся лучше, пусть и не столь быстро, зато врядли медленнее других.

У них просто нет другого выбора.

Я вообще не понимаю, как должны функционировать контроль-фильтрация в протоколе с одним мастером. Не говоря уже о цели такой фильтрации. Запретить передачу запретных команд или данных?

1. В сети с одним мастером однажды может оказаться и два мастера... Ethernet это позволяет легко и непринужденно. Даже в RS-485 - преобразователи Ethernet/RS-485 не редкость, а они могут настраиваться на использование одного порта несколькими желающими. Т.е. порт-то физически один, но мастеров через тот порт может быть больше одного.
2. Цель: запретить прохождение определенных команд. От греха... Правда, как отличать запрос от одного мастера от такого же, но от другого мастера - я даже не догадываюсь.

В среднем же, при нормальном проектировании системы управления зачем на МСЭ разбирать промышленные протоколы - не знаю. Ибо проблема 1 устраняется нормальной настройкой преобразователя и обычным МСЭ на границе сети /если эта же сеть и наверх смотрит; лучше, конечно, наверх другую сеть заводить/. Проблема 2 устраняется нормальной работой программистов, отвечающих за обмен данными: если они неправильных команд не запрограммируют, то их и не будет. А кто этого не понимает - пинком под ж..пу: это в любом случае дешевле будет. А больше... А больше некому свинячить во внутренней сети АСУ.

Кстати, за шифраторы. Походу, взлом WEP /насколько помнится, и WPA тоже по той же схеме разобрали/ никого ничему не научил: пока еще не довелось увидеть устройства с беспроводной связью и с нормальной системой обмена ключами. Надо к каждому подойти и ручками... Что будет делаться не каждое десятилетие: при настройке задали /скорее всего будет что-то типа "0000" - кому охота набивать длинные последовательности, при этом не всегда находясь в удобной позе?/ и забыли навсегда. Вроде и не страшный секрет это...

[Jackson]

Ну это элементарно. Электростанция сама часто не в силах обеспечить техподдержку промышленного софта, и для проведения плановых и неплановых работ вынуждена обеспечить доступ к контроллерам специалистам разработчика системы. Которые живут хрен знает где и добраться могут только к послезавтрему. А баблос из-за простоя уходит нехилый. Там тысячи, может даже миллионы убытков могут накапать. Вот и делают удалённый доступ и обвязывают его мерами безопасности. Так выгоднее

Сомнительная перспектива.
Во-1-х, если это ТЭЦ мощностью в сотню-другую мегаватт - никто этим не занимается. Как вы себе представляете: вы нажимаете кнопку сидя в Петербурге например, и где-то за тысячи километров запускается агрегат в десятки мегаватт? ДА там столько регламентных операций при пуске что делает это всегда персонал. А значит там есть КИПовцы и связь. Есть такие станции в нашем списке. Там люди подключаются к контроллеру, сливают параметры с логами и присылают. Для перепрошивки мы им туда прошивку - они льют.

Но во-2-х, вообще-то говоря, на работающей станции нечего обслуживать, никакой софт там менять не надо. Уйма станций работает по неизменному алгоритму и 10 и 20 и более лет. Надо было нормально делать с первого раза чтобы потом не мучиться с перепрошивкой. Для этого и существуют узкоспециализированные закрытые средства автоматики с чёткой спецификацией алгоритма. сделанной ещё при проектировании и может чуть подправленной при ПНР. Зачем делать работу, которую потом надо будет переделывать?

Ну и в-3-х, если там что-то катастрофически встало и убытки льются тысячами зелёных в час, то на фоне этих убытков экономить на дороге на станцию - все равно что экономить на спичках. Хотя на таких важных объектах местный персонал достаточно квалифицирован для того чтобы устранять аварии на месте или по крайней мере знать у кого спросить.

Отправлено спустя 4 минуты 19 секунд:

А вот тут начинаются проблемы: чаще всего нужен внешний мир.

Да ничего подобного. Давайте быть честным. "чаще всего" надо заменить на "я не могу это доказать, но мне хотелось бы чтобы было так" Так вот не надо лукавить. Чаще всего внешний мир как раз ни на чёрта не сдался для управления.

Отправлено спустя 4 минуты 51 секунду:
В случае с той же средних размеров ТЭЦ: начерта там удалённый доступ из внешнего мира, если абсолютно все операции на ТЭЦ делаются по согласованию диспетчерского персонала со смежными службами по телефону с обязательной записью в оперативный журнал? Зачем? Только ради того чтобы дать возможность обойти эти согласования? Если так то это приличным словом не называется. Это называется "создать проблему, а потом героически её преодолевать". Чем пока и занимаются в АСУТП специалисты по ИБ.

Отправлено спустя 2 минуты 56 секунд:

А вот это зря. Очень зря.
Сегодня пока никто не будет заморачиваться с теми же ТРМ - есть цели и повкуснее.

Ничего не зря.
Если система сделана по-человечески, то есть абсолютно ничего лишнего, никаких рюшечек, только необходимое - здесь всё будет в порядке, потому что лишних средств доступа в ней просто нет.

[Михайло]

Я еще на 5-й странице темы предлагал завершить перетолки, сейчас уже точно холивар раздулся...

[Василий Иванович]

Т.е. порт-то физически один, но мастеров через тот порт может быть больше одного.

Да хоть десять мастеров! Только каждый мастер общается только со своими слэйвами, а не с чужими. Иначе будет распознан конфликт на шине. Совершенно штатными средствами.

преобразователи Ethernet/RS-485 не редкость

Не съезжайте с темы.

[Jackson]

Нееее. Холивар - это когда уже перешли на личности. Тема-то резиновая. :) Интересно, те специалисты по ИБ её не почитывают? Тут столько почвы для фантазий.

Отправлено спустя 2 минуты 16 секунд:

Только каждый мастер общается только со своими слэйвами, а не с чужими.

А как же, например ModBuS+Plus ?

[Василий Иванович]

Во-1-х, если это ТЭЦ мощностью в сотню-другую мегаватт - никто этим не занимается. ...

Но во-2-х, вообще-то говоря, на работающей станции нечего обслуживать, никакой софт там менять не надо.

У вас, Евгений, ограниченный опыт.

Ну и в-3-х, если там что-то катастрофически встало и убытки льются тысячами зелёных в час, то на фоне этих убытков экономить на дороге на станцию

Экономится не билет на паровоз, а время на путешествие, т.е. продолжительность простоя. А это большие деньги.

[Василий Иванович]

А как же, например ModBuS+Plus ?

А он не на RS-485 ходит, у него вообще проприетарная шина!

[Jackson]

А почему вы так упёрлись в 485-й? А как же ModBUS-TCP?

[Василий Иванович]

Это не я упёрся, это создатели предписаний упёрлись. А под TCP можно много чего навертеть, кто б сомневался. Тот же Modbus-TCP - это уже не мастер-слейв, а клиент-сервер протокол со всеми вытекающими.

[Jackson]

У вас, Евгений, ограниченный опыт.

Вообще-то звучит оскорбительно, ввиду отсутствия аргументации. Я привожу конкретные примеры, а вы без всяких доказательств заявляете такие вещи. Нехорошо.

Может не ограниченный, а просто такой, при котором создаются вещи на века, чего другим сделать не под силу?