1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

Чем удаленно перепрошивать и мониторить?

RS-485, ProfiBUS, 4-20 mA, Wi-Fi, GSM и так далее

Модератор: Глоб.модераторы

Ответить

Velt
освоился
освоился
Сообщения: 233
Зарегистрирован: 26 мар 2017, 13:05
Имя: Денис
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 38 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Velt »

VADR писал(а): 03 дек 2019, 12:08 со свистом вылетает с предприятия заказчика и попадает в блоклист.
Поясните пожалуйста, какова будет причина вылетания?
apel512 писал(а): 03 дек 2019, 12:12 моб.интернет со статичным айпи
да, через белый IP это делается

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 840 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Ryzhij »

Velt писал(а): 03 дек 2019, 12:47
VADR писал(а): 03 дек 2019, 12:08 со свистом вылетает с предприятия заказчика и попадает в блоклист.
Поясните пожалуйста, какова будет причина вылетания?
За грубейшее нарушение требований информационной безопасности.
В обоснованных случаях подобного рода подключения делаются строго в установленном порядке ИТ-службами Заказчика.
Только вот обосновывать замучаетесь ;)
Дешевле приехать в командировку, поверьте.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Velt
освоился
освоился
Сообщения: 233
Зарегистрирован: 26 мар 2017, 13:05
Имя: Денис
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 38 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Velt »

Velt писал(а): 03 дек 2019, 12:47 моб.интернет со статичным айпи
Уточню. Выход в инет - через любой свисток. Белый АйПи имеет внешний сервер, через который работают соответствующим образом настроенные роутеры, которые и образуют локальную сеть через интернет. При этом через каждый роутер можно сёрфить по инету как обычно.

Отправлено спустя 7 минут 5 секунд:
Ryzhij писал(а): 03 дек 2019, 12:57 За грубейшее нарушение требований информационной безопасности.
Об этом я догадался )) только в чём конкретно нарушение состоит и какой от этого может быть вред?
Объект локальный, не связан с сетью предприятия никак. Опасных техпроцессов там не происходит. Подключение только на время отладки. Объект под присмотром в это время.

Ну чисто формально, конечно, можно ко всему прикопаться. На то предприятие, кстати, нельзя проносить флешки, а ноуты, телефоны, роутеры - можно. Вот такая секьюрити, каждый с ума по своему сходит ))

Автор темы
apel512
здесь недавно
здесь недавно
Сообщения: 39
Зарегистрирован: 10 сен 2019, 10:28
Имя: Дмитро
Страна: Україна
город/регион: Київ
Благодарил (а): 7 раз

Чем удаленно перепрошивать и мониторить?

Сообщение apel512 »

Velt писал(а):
Velt писал(а): 03 дек 2019, 12:47 моб.интернет со статичным айпи
Уточню. Выход в инет - через любой свисток. Белый АйПи имеет внешний сервер, через который работают соответствующим образом настроенные роутеры, которые и образуют локальную сеть через интернет. При этом через каждый роутер можно сёрфить по инету как обычно.

Отправлено спустя 7 минут 5 секунд:
Ryzhij писал(а): 03 дек 2019, 12:57 За грубейшее нарушение требований информационной безопасности.
Об этом я догадался )) только в чём конкретно нарушение состоит и какой от этого может быть вред?
Объект локальный, не связан с сетью предприятия никак. Опасных техпроцессов там не происходит. Подключение только на время отладки. Объект под присмотром в это время.

Ну чисто формально, конечно, можно ко всему прикопаться. На то предприятие, кстати, нельзя проносить флешки, а ноуты, телефоны, роутеры - можно. Вот такая секьюрити, каждый с ума по своему сходит ))
Белый имеется в виду статика?
во сколько обошлось?

Надіслано від мого Redmi 4X, використовуючи Tapatalk


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 840 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Ryzhij »

Velt писал(а): 03 дек 2019, 12:59 При этом через каждый роутер можно сёрфить по инету как обычно.
:lol:
И вот после всего этого следует вопрос "За что?" :o

Отправлено спустя 2 минуты 2 секунды:
apel512 писал(а): 03 дек 2019, 13:08 Вот такая секьюрити, каждый с ума по своему сходит ))
Вам от этого легче станет? Или менее болезненные штрафы воспоследуют? ;)
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Velt
освоился
освоился
Сообщения: 233
Зарегистрирован: 26 мар 2017, 13:05
Имя: Денис
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 38 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Velt »

apel512 писал(а): 03 дек 2019, 13:08 Белый имеется в виду статика?
Белый, статический, который "виден" с любого устройства интернета.
Ryzhij писал(а): 03 дек 2019, 13:10 И вот после всего этого следует вопрос "За что?"
Ну да, повторюсь, за что? Я же ничего запрещенного не проносил, мобильной связью и интернетом на территории предприятия пользоваться можно.

Я перефразирую, свою мысль. У Службы Безопасности Предприятия может быть много своих причуд насчет ИБ (на разных предприятиях свои причуды) и про это можно отдельную статью написать, но мне, как техспецу, не понятно, в чём тут конкретно опасность при упомянутых мной выше условиях.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 840 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Ryzhij »

Velt писал(а): 03 дек 2019, 13:28 У Службы Безопасности Предприятия может быть много своих причуд насчет ИБ (на разных предприятиях свои причуды) и про это можно отдельную статью написать, но мне, как техспецу, не понятно, в чём тут конкретно опасность при упомянутых мной выше условиях.
Я тоже мог бы в голос поржать над техспецом, который одной единственной фразой обнаружил своё полное непонимание понятия ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.
Изучите этот вопрос. Формат форума не предполагает обучения основам компьютерной грамотности.

И, кстати, далеко не все операции с ПЛК можно проводить в условиях нестабильного канала связи.
Интернет "из свистка" стабильностью не отличается. Даже в отсутствие вредоносных атак из общественной сети, при обрыве связи есть огромный риск получить "кирпич". И это тоже один из аспектов информационной безопасности - "своевременная доступность информационных ресурсов".
За чей счёт будет такой "банкет"?
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Автор темы
apel512
здесь недавно
здесь недавно
Сообщения: 39
Зарегистрирован: 10 сен 2019, 10:28
Имя: Дмитро
Страна: Україна
город/регион: Київ
Благодарил (а): 7 раз

Чем удаленно перепрошивать и мониторить?

Сообщение apel512 »


Ryzhij писал(а):
Velt писал(а): 03 дек 2019, 13:28 У Службы Безопасности Предприятия может быть много своих причуд насчет ИБ (на разных предприятиях свои причуды) и про это можно отдельную статью написать, но мне, как техспецу, не понятно, в чём тут конкретно опасность при упомянутых мной выше условиях.
Я тоже мог бы в голос поржать над техспецом, который одной единственной фразой обнаружил своё полное непонимание понятия ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.
Изучите этот вопрос. Формат форума не предполагает обучения основам компьютерной грамотности.
Вы слишком драматизируете. Это ж не комп, на котором лежат горы приватной информации. что туда можно такого загрузить? на ПЛК даже ОСи нет, на СПК с Линуксом.. ну максимум подергает крантик, или зависнет. не атомная станция.
Ryzhij писал(а): И, кстати, далеко не все операции с ПЛК можно проводить в условиях нестабильного канала связи.
Интернет "из свистка" стабильностью не отличается. Даже в отсутствие вредоносных атак из общественной сети, при обрыве связи есть огромный риск получить "кирпич". И это тоже один из аспектов информационной безопасности - "своевременная доступность информационных ресурсов".
За чей счёт будет такой "банкет"?
Как же быть, обеспечить отладку " под ключ", не нвпрягая заказчика пробросом интернета и открытиями портов?

Надіслано від мого Redmi 4X, використовуючи Tapatalk


Аватара пользователя

VADR
администратор
администратор
Сообщения: 4903
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Чем удаленно перепрошивать и мониторить?

Сообщение VADR »

apel512 писал(а): 03 дек 2019, 23:21 ну максимум подергает крантик, или зависнет. не атомная станция.
Подумаешь - пилу полутораметрового диаметра со 100 кВт движком запустит, когда на рабочем столе люди будут. Не атомная станция. Совсем.
apel512 писал(а): 03 дек 2019, 23:21 Как же быть, обеспечить отладку " под ключ", не нвпрягая заказчика пробросом интернета и открытиями портов?
Личным присутствием наладчика на объекте.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Velt
освоился
освоился
Сообщения: 233
Зарегистрирован: 26 мар 2017, 13:05
Имя: Денис
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 38 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Velt »

Ryzhij писал(а): 03 дек 2019, 21:50 Я тоже мог бы в голос поржать над техспецом, который одной единственной фразой обнаружил своё полное непонимание понятия ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ.
Ну конечно, куда мне до понимания таких высот! поэтому я и задал конкретный вопрос, на который Вы не ответили:
Velt писал(а): 03 дек 2019, 13:28 в чём тут конкретно опасность при упомянутых мной выше условиях.
Пока вы упомянули только одну очевидную проблему - надежность канала связи, из-за обрыва которого ПЛК можно окирпичить (далеко не всегда).
Может мне пора начинать "ржать" над Вашими познаниями красивых умных слов?
VADR писал(а): 04 дек 2019, 02:15 Личным присутствием наладчика на объекте.
Да, личное присутствие наладчика, конечно, обязательно. Вообще, этот способ годится, только если нужно что-то по мелочи подкрутить в программе.

Автор темы
apel512
здесь недавно
здесь недавно
Сообщения: 39
Зарегистрирован: 10 сен 2019, 10:28
Имя: Дмитро
Страна: Україна
город/регион: Київ
Благодарил (а): 7 раз

Чем удаленно перепрошивать и мониторить?

Сообщение apel512 »

Да, личное присутствие наладчика, конечно, обязательно. Вообще, этот способ годится, только если нужно что-то по мелочи подкрутить в программе.
Можно конечно и волами на телеге ездить,
пускай наладчик сидит в другом городе, гостинница, суточные, проезд и т.п. можно лениво шевелить мышкой, не выходя из дома, с тем же результатом.

Также ясно что есть опасные автоматизации и какая нибудь ерунда, один вентилятор включать.

Надіслано від мого Redmi 4X, використовуючи Tapatalk


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 840 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Ryzhij »

Velt писал(а): 04 дек 2019, 13:53 Ну конечно, куда мне до понимания таких высот! поэтому я и задал конкретный вопрос, на который Вы не ответили:
Уважаемый, Вы с Луны свалились, что ли?!
Даже на этом форуме не раз обсуждались проблемы ИБ и выдвигался тезис "за лучшее" иметь air gap между сетью общего пользования и аппаратурой АСУТП.
Воспользуйтесь, наконец, поиском!
apel512 писал(а): 04 дек 2019, 14:35 ожно конечно и волами на телеге ездить, пускай наладчик сидит в другом городе, гостинница, суточные, проезд и т.п. можно лениво шевелить мышкой, не выходя из дома, с тем же результатом.
Можно шевелить мышкой...
Но результат Вас огорчит.
По известной американской поговорке Between an asshole and a sofa dollar never fly /"между жопой и диваном доллар никогда не пролетит"/ (Билл Гейтс).
Так что, лучше шевелить мозгами и "булками".
Ну, чтобы было чем шелестеть в кармане. :ext_secret:

Отправлено спустя 2 минуты 47 секунд:
apel512 писал(а): 04 дек 2019, 14:35 Также ясно что есть опасные автоматизации и какая нибудь ерунда, один вентилятор включать.
Да, но никто никогда не ставит автоматику с возможностями удалённого доступа на вентиляторы безопасного размера ;)
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Velt
освоился
освоился
Сообщения: 233
Зарегистрирован: 26 мар 2017, 13:05
Имя: Денис
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 38 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Velt »

Ryzhij писал(а): 04 дек 2019, 14:50 Уважаемый, Вы с Луны свалились, что ли?!
Про эти темы я читал. Но я ведь недаром задавал Вам вопрос о том, какая конкретно опасность при упомянутых мной условиях. Я надеялся, что Вы умеете анализировать вопрос, а не ответчать абстракциями про какие-то поиски. Это аргумент в стиле "слышал звон, но не знаю где он".

Ну что ж, давайте тогда я попробую проанализировать этот вопрос. Вы, наверное, знаете, что модель нарушителя и оценка риска нарушения ИБ проводится для конкретного объекта в конкретных условиях эксплуатации.
Итак, какие факторы приведут к успеху сетевой атаки:
1. Нарушитель должен иметь чёткий мотив поломать этот объект или хоть что-то поломать. С этим большой проблемы не возникнет, агрессивных нынче много, но дальше сложнее.
2. Нарушитель должен как-то определить момент, когда я удаленно подключаюсь к объекту. Это рандомный момент времени и длится подключение недолго - в пределах часа (мне ведь нужно только немного подкрутить программу). Ещё раз повторю - подключение ТОЛЬКО на время наладки. В остальное время ПЛК физически отключен от удаленного доступа.
3. Нарушитель должен подделать свой MAC-адрес и взять себе такой, который находится в списке разрешенных в политиках файрволла.
4. Нарушитель должен подобрать логин и пароль к маршрудизатору, причем попытки подбора пишутся в логах маршрутизатора. Ну еще перед этим нужно выяснить вообще на каком АйПи сидит маршрутизатор.
4.1. Или воспользоваться 0-day уязвимостью файрволла, чтобы обойти защиту.
5. После проникновения в локальную сеть нарушитель должен найти подсеть и адрес ПЛК, который он хочет поломать
6. Нарушитель должен иметь нужный софт для подключения к ПЛК. Для этого ему нужна подробная инфа об объекте. Ну и
7. Нарушитель должен как-то быстро и незаметно что-то поломать. Например, если он захочет включить мощный вентилятор, то ему нужна хотя бы электрическая схема объекта. Самое простое - это попытаться остановить ПЛК, попортить firmware или стереть пользовательскую программу. И это всё при том условии, что я нахожусь на связи с ПЛК, а на объекте дежурит мой пуско-наладчик.

Теперь нужно оценить риск успешной атаки. Для этого нужно прикинуть вероятности каждого события и умножить их (будем, для простоты, считать, что это независимые события), т.к. при отсутствии какого-то одного из них атака не будет успешной. Полученную вероятность умножить на коэффициент важности (значимости) ущерба для этого объекта. Это и будет оценка риска нарушения ИБ.

Вот только после этого можно принимать решение: опасно ли пользоваться данным методом отладки или нет.

Если риск сравним с моим риском попасть в авиа- или автокатастрофу по пути на объект, то я лучше сделаю эту работу из дома. А Вы можете расходовать свою жизнь и деньги на переезды, перелёты, пересадки...

Вообще, я изначально просто поделился тем, что есть такой способ отладки, который может сэкономить время и деньги. А пользоваться им или нет - каждый решает для себя сам.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 840 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Ryzhij »

Т.е. теперь кроме "свистка" у нас уже есть файервол, маршрутизатор, локальная сеть и т.п., и т.д.? )))
"Всё страньше, и страньше" (с) Алиса в Стране Чудес, Л.Кэррол
Вы хотите за службу ИТ-безопасности Заказчика поработать и научить их определять риски?
Потренируйтесь сначала на инспекторах ГИБДД )))
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

keysansa
эксперт
эксперт
Сообщения: 2469
Зарегистрирован: 20 дек 2018, 04:45
Имя: Сергей
Страна: РБ/РФ
город/регион: РФ Сергиев Посад
Благодарил (а): 2119 раз
Поблагодарили: 206 раз

Чем удаленно перепрошивать и мониторить?

Сообщение keysansa »

Velt, долго писать вам все особонности, вот вам первая ссылка из гугла https://xakep.ru/2015/04/07/195-routers/
Зы. А как вы по мак адресу закрываетесь по WAN?
В трансформаторной будке живет трансформаторная собака (с) Прозрачный гонщик.

Автор темы
apel512
здесь недавно
здесь недавно
Сообщения: 39
Зарегистрирован: 10 сен 2019, 10:28
Имя: Дмитро
Страна: Україна
город/регион: Київ
Благодарил (а): 7 раз

Чем удаленно перепрошивать и мониторить?

Сообщение apel512 »


Ryzhij писал(а): "Всё страньше, и страньше" (с)
Может Вы и свой комп тоже обезопасили? уверены в своем Андроиде? в линуксе своего роутера копались? абсолютной безопасности нет. А если хакер зашлет троян сначала в комп, а оттуда в контроллер? Согласен с Velt, есть оценка рисков.



Надіслано від мого Redmi 4X, використовуючи Tapatalk

Аватара пользователя

keysansa
эксперт
эксперт
Сообщения: 2469
Зарегистрирован: 20 дек 2018, 04:45
Имя: Сергей
Страна: РБ/РФ
город/регион: РФ Сергиев Посад
Благодарил (а): 2119 раз
Поблагодарили: 206 раз

Чем удаленно перепрошивать и мониторить?

Сообщение keysansa »

apel512,
Оценкой рисков должны заниматься сетевики, а не асутпшники.
Поэтому и было написано, что когда асутпшник вносит устройство в сеть - это больно. Возможно не сразу, но, вот лично вы, готовы разгребать последствия, допустим, шифровальщика, вошедшего в сеть по вашей вине?
В трансформаторной будке живет трансформаторная собака (с) Прозрачный гонщик.

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 840 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Ryzhij »

apel512 писал(а): 07 дек 2019, 21:49 абсолютной безопасности нет. А если хакер зашлет троян сначала в комп, а оттуда в контроллер?
Да и Аминь! Причём троекратно.
Из того факта, что на свете всё равно существуют извращенцы, ещё не следует допустимость нарушения норм приличия.
Цеплять контроллер ко "свистку" и открывать ему доступ в Интернет - это не просто неприлично, это на грани БЕЗУМИЯ.
Ев. от Луки 17:1,2 писал(а):...невозможно не прийти соблазнам, но горе тому, через кого они приходят; лучше было бы ему, если бы мельничный жернов повесили ему на шею и бросили его в море...
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

keysansa
эксперт
эксперт
Сообщения: 2469
Зарегистрирован: 20 дек 2018, 04:45
Имя: Сергей
Страна: РБ/РФ
город/регион: РФ Сергиев Посад
Благодарил (а): 2119 раз
Поблагодарили: 206 раз

Чем удаленно перепрошивать и мониторить?

Сообщение keysansa »

Velt писал(а): 06 дек 2019, 10:38 Ну что ж, давайте.
Появилось время, давайте. Сертификат получил вроде, в 2004 году, дальше занимался самостоятельно, так что не претендую на то, что сейчас не будут более изощренные методы.
Velt писал(а): 06 дек 2019, 10:38 1. Нарушитель должен иметь чёткий мотив поломать этот объект или хоть что-то поломать. С этим большой проблемы не возникнет, агрессивных нынче много, но дальше сложнее.
1.а - возможность получить дензнаки
1.б - стремление стать альфа в своем кругу.
Velt писал(а): 06 дек 2019, 10:38
2. Нарушитель должен как-то определить момент, когда я удаленно подключаюсь к объекту. Это рандомный момент времени и длится подключение недолго - в пределах часа (мне ведь нужно только немного подкрутить программу). Ещё раз повторю - подключение ТОЛЬКО на время наладки. В остальное время ПЛК физически отключен от удаленного доступа.
Ботнеты постоянно опрашивают сеть по циклу. IP4 имеет очень небольшое количество адресов. Просто на вашем "роутере со свистком" настройте логирование всех входящих. Удивитесь скорости реакции.
Velt писал(а): 06 дек 2019, 10:38 3. Нарушитель должен подделать свой MAC-адрес и взять себе такой, который находится в списке разрешенных в политиках файрволла.
Я задавал вопрос, про MAC на WAN, тишина.
Velt писал(а): 06 дек 2019, 10:38 4. Нарушитель должен подобрать логин и пароль к маршрудизатору, причем попытки подбора пишутся в логах маршрутизатора. Ну еще перед этим нужно выяснить вообще на каком АйПи сидит маршрутизатор.
4.a - то, что попытки пишутся в лог, это хорошо. Вы бы про реакцию написали...
4.b - Подбирать будут по списку паролей, это быстрее, чем все перебирать. Гораздо быстрее. А у людей есть привычка пользоваться одним и тем же паролем везде. Удобно же. Но стоит взломать пароль от почты на компе с помощью ссылки на порно - у нас есть пароль для доступа к Siemens на ядерной станции через "свисток с GSM", даже если комп уже отформатирован и утилизирован.
Velt писал(а): 06 дек 2019, 10:38 5. После проникновения в локальную сеть нарушитель должен найти подсеть и адрес ПЛК, который он хочет поломать
Он не будет искать подсеть. Он откроет всю и посмотрит, что там есть, да и запишет на будущее. Вывод route (route print) вы похоже ни разу не видели.
Velt писал(а): 06 дек 2019, 10:38 6. Нарушитель должен иметь нужный софт для подключения к ПЛК. Для этого ему нужна подробная инфа об объекте. Ну и
Вот тут я согласен, зачем день ставить TIA, когда можно за 5 сек применить Stux.
Velt писал(а): 06 дек 2019, 10:38 7. Нарушитель должен как-то быстро и незаметно что-то поломать.
А почему незаметно? Да и "быстро" - может на неделю растянутся...
В трансформаторной будке живет трансформаторная собака (с) Прозрачный гонщик.

Velt
освоился
освоился
Сообщения: 233
Зарегистрирован: 26 мар 2017, 13:05
Имя: Денис
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 38 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Velt »

Ryzhij писал(а): 06 дек 2019, 12:20 Т.е. теперь кроме "свистка" у нас уже есть файервол, маршрутизатор, локальная сеть и т.п., и т.д.? )))
Ну а как Вы иначе представляете себе удаленный доступ? Я думал, Вы это знаете, поэтому и не упоминал очевидные вещи.

Уважаемые коллеги, Ryzhij и keysansa!
Вы, кажется, находитесь под стойким влияние кейса: "Удаленное подключение к сети предприятия, в которой работают контроллеры, желательно Сименс".
Так я же и не спорю, что с это плохо, особенно если речь идет о предприятии с Сименсами. Вот только я совсем о другом. О другом кейсе.
Существуют совсем другие объекты, которые могут располагаться весьма далеко и вообще не на территории какого-то предприятия, без сети, контроллер там совсем не Сименс, да и вовсе это может быть не контроллер. Добираться до таких объектов долго и накладно, особенно ради часа работы. Для такой ситуации и может пригодиться удаленный доступ.

keysansa подошел к вопросу конструктивно, за это благодарю. Действительно, на все перечисленные мной "замки" есть известные методы взлома. Поэтому и проводится совокупная оценка риска, на основе которой и принимается решение, использовать удаленный доступ или нет.
Теперь, позвольте прокомментировать по пунктам.
1. Если злоумышленник ЗНАЕТ, что это за объект и каким образом можно с него отжать деньги, то да, тезис верный. В противном случае остается только мотивация альфа-самца.

2. С этим согласен. Оговорка - будущий Альфа должен иметь свою ботнет.

3. К сожалению, не я лично занимался настройкой файрволла, но я знаю, в его политиках прописано правило, что только устройства с определенными MAC могут пытаться авторизоваться. То есть, маршрутизатор, который организует туннель, запрашивает MAC удаленного устройства и разрешает авторизацию только с разрешенных MAC-адресов. Насколько я знаю, у домашних провайдеров бывает такая услуга - аутентификацию по MAC и поменяв домашний роутер в инет уже не зайдешь просто так. Поэтому не вижу тут проблемы.

4. Ну очевидно же, что пароль там большой и сильный, хотя бы потому, что его и запоминать-то не надо. Один раз вбил и всё. Статьи про дырявые роутеры я читал, спасибо, что привели ссылку. Но дыркой можно воспользоваться, только если конкретно моя модель роутера имеет известный злоумышленнику баг и/или неправильно настроена.

5. А как понять, на каком адресе висит ПЛК? И какой фирмы/модели? В мире есть и другие ПЛК, кроме Сименса ))

6. Если ПЛК вдруг не Сименс, то Стукс уже не подойдет и злоумышленнику придется запастись другими вредоносами, которые ломают другие ПЛК, например ОВЕН, A-B Micro850 и т.п. Ну и вопрос с узнаванием марки/модели ПЛК пока открыт.

7. Я же писал в этом пункте, что на объекте дежурит наладчик, подключение к ПЛК производится только на время наладки. То есть на взлом и нанесение вреда злоумышленнику нужно проделать в течение часа-полтора. А то и меньше. После этого свисток отключается от ПЛК. Замечу также, что во время ПНР вред объекту может нанести и сам наладчик/программист, это гораздо более вероятный случай ))

Так вот, какова вероятность того, что злоумышленник пройдёт ВСЕ перечисленные пункты?
Теперь повторюсь:
Velt писал(а): 06 дек 2019, 10:38 Если риск сравним с моим риском попасть в авиа- или автокатастрофу по пути на объект, то я лучше сделаю эту работу из дома.
Отправлено спустя 7 минут 45 секунд:
keysansa писал(а): 09 дек 2019, 20:34 Вот тут я согласен, зачем день ставить TIA, когда можно за 5 сек применить Stux.
Кстати, Stux появился благодаря тому, что Иран сильно разозлил американцев своей ядерной программой.
Кто и кого должен так же разозлить, чтобы появились вредоносы, атакующие какой-нибудь ОВЕН, Аллен-Бредли и многие другие ПЛК? Интересно просто....

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 840 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Ryzhij »

Velt писал(а): 10 дек 2019, 17:38 Кстати, Stux появился благодаря тому, что Иран сильно разозлил американцев своей ядерной программой.
Кто и кого должен так же разозлить, чтобы появились вредоносы, атакующие какой-нибудь ОВЕН, Аллен-Бредли и многие другие ПЛК? Интересно просто....
А кто "злит" студентов во время каникул, курсовых и сессий? Отчего именно в эти периоды в Сети всплеск вирусной активности?
Для того, чтобы "окирпичить" такую хрень, как овен, достаточно DOS-атаки (необязательно даже DdoS) от бота. Да и продукция от Rockwell тут не лучше )))
Все Ваши рассуждения в стиле даже не кибер-анархизма, а кибер-раздолбайства.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)

Автор темы
apel512
здесь недавно
здесь недавно
Сообщения: 39
Зарегистрирован: 10 сен 2019, 10:28
Имя: Дмитро
Страна: Україна
город/регион: Київ
Благодарил (а): 7 раз

Чем удаленно перепрошивать и мониторить?

Сообщение apel512 »

Velt писал(а): 10 дек 2019, 17:38 Уважаемые коллеги
Ну есть у людей возможность брать по 100, 200, 500$, ... за день отладки - на здоровье. Дают же.
Малой автоматизации это слишком жирно, поэтому "свистки" - наше все :ges_up:
Аватара пользователя

keysansa
эксперт
эксперт
Сообщения: 2469
Зарегистрирован: 20 дек 2018, 04:45
Имя: Сергей
Страна: РБ/РФ
город/регион: РФ Сергиев Посад
Благодарил (а): 2119 раз
Поблагодарили: 206 раз

Чем удаленно перепрошивать и мониторить?

Сообщение keysansa »

Velt писал(а): 10 дек 2019, 17:38 2. С этим согласен. Оговорка - будущий Альфа должен иметь свою ботнет.
Ботнеты уже есть. Много.
Velt писал(а): 10 дек 2019, 17:38 3. К сожалению, не я лично занимался настройкой файрволла, но я знаю, в его политиках прописано правило, что только устройства с определенными MAC могут пытаться авторизоваться. То есть, маршрутизатор, который организует туннель, запрашивает MAC удаленного устройства и разрешает авторизацию только с разрешенных MAC-адресов. Насколько я знаю, у домашних провайдеров бывает такая услуга - аутентификацию по MAC и поменяв домашний роутер в инет уже не зайдешь просто так. Поэтому не вижу тут проблемы.
Т.е. вы даже не в курсе, как работает маршрутизация IP сети?
Блокировка по MAC работает только со стороны LAN. И только на конечном маршрутизаторе/коммутаторе.
Со стороны WAN вы всегда будете получать MAC маршрутизатора провайдера. Кто бы не пытался к вам подключиться. Т.е. если вы ограничите соединения по MAC адресу со стороны WAN, то либо вы заблокируете все соединения, либо разрешите все.
Дальше у вас точно такие же заблуждения из за недостатка знаний. Почитайте, например, про route, trace, nmap - это вполне "легальные" (не хакерские) программы. После их изучения количество вопросов существенно уменьшится. Да просто про MAC адреса почитайте (придет ответ на вопросы №5 и №6).
Velt писал(а): 10 дек 2019, 17:38 Так вот, какова вероятность того, что злоумышленник пройдёт ВСЕ перечисленные пункты?
Вы сами написали, что каждый из ваших пунктов проходится. Какова вероятность наступления события, если вероятность наступления каждого элементарного составного события = 1?

Отправлено спустя 57 минут 37 секунд:
apel512 писал(а): 10 дек 2019, 22:08 Ну есть у людей возможность брать по 100, 200, 500$, ... за день отладки - на здоровье. Дают же.
Малой автоматизации это слишком жирно, поэтому "свистки" - наше все :ges_up:
Вот честно, отладить программу малой автоматизации "дома" так, что бы программисту не пришлось ехать на ПНР - уже сложно? Куда катится мир?
В трансформаторной будке живет трансформаторная собака (с) Прозрачный гонщик.

Velt
освоился
освоился
Сообщения: 233
Зарегистрирован: 26 мар 2017, 13:05
Имя: Денис
Страна: Россия
город/регион: Самара
Благодарил (а): 15 раз
Поблагодарили: 38 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Velt »

Ryzhij писал(а): 10 дек 2019, 21:26 Все Ваши рассуждения в стиле даже не кибер-анархизма, а кибер-раздолбайства.
Вы бы лучше пруфы предоставили об окирпичивании ПЛК студентами "во время каникул, курсовых и сессий". Только не надо опять про Stux
keysansa писал(а): 11 дек 2019, 22:38 Т.е. вы даже не в курсе, как работает маршрутизация IP сети?
Я же написал, что я это знаю со слов коллеги, который и настраивал мне VPN.
keysansa писал(а): 11 дек 2019, 22:38 route, trace, nmap
Кстати, route, trace, nmap позволяют марку и модель ПЛК или HMI?? Я ведь именно этот вопрос задавал. Если возможно с помощью этих программ определить конкретную модель ПЛК или HMI - напишите, буду благодарен.
keysansa писал(а): 11 дек 2019, 22:38 Вы сами написали, что каждый из ваших пунктов проходится. Какова вероятность наступления события, если вероятность наступления каждого элементарного составного события = 1?
Ну наконец-то Вы показали полное непонимание теории вероятностей и методики оценки риска нарушения ИБ. Долго же я Вас к этому подводил.....
Да, каждый из пунктов проходится, но с вероятностью <=1. Например, для утверждения "ботнеты существуют", вероятность=1. Утверждение "Хакер, стремящийся поломать именно мой объект имеет свою ботнет" имеет вероятность <=1. Ну и так далее по остальным пунктам. Вероятности перемножаются и в итоге вероятность <1.
Риск=вероятность * возможный ущерб.
В зависимости от оценки величины риска и принимается то или иное решение.
Я охотно верю, что Вы работаете с объектами, у которых риск нарушения ИБ при использовании удаленного доступа оценивается как существенный. Ну значит, Вам (не)повезло и Вам придется лично приезжать на объект по каждому поводу.

Ну да ладно, давайте оставим в стороне общие рассуждения про ботнеты, студентов, уязвимости и т.д. и перейдем к практике.

Итак. Я утверждаю, что если я в СЛУЧАЙНЫЙ момент времени удаленно подключусь к ПЛК (или HMI) по VPN и в ТЕЧЕНИЕ ЧАСА буду с ним работать (отлаживать программу) то с вероятностью 98% сетевой атаки НЕ СЛУЧИТСЯ или она будет НЕУДАЧНОЙ для хакера.
Другими словами, с вероятностью 2% на меня осуществлена будет сетевая атака, которая окирпичит ПЛК (или HMI).

Вы утверждаете, что вероятность успешной атаки при указанных условиях равна 100% (достоверное событие). Так чтоль?
Если так, то прямо сейчас сбегайте в магазин за ящиком пива, т.к. с вероятностью 98% Вы его мне проспорите.
Другими словами, чтоб Вам было понятно, Вы беретесь утверждать, что при удаленном подключении в любой момент времени любой ПЛК (или HMI) будет окирпичен в течение часа.
keysansa писал(а): 11 дек 2019, 22:38 Вот честно, отладить программу малой автоматизации "дома" так, что бы программисту не пришлось ехать на ПНР - уже сложно? Куда катится мир?
Да масса примеров, когда в процессе опытной эксплуатации понадобилось вывести на панель дополнительную кнопку или поменять надпись. Делов на пять минут, а добираться до объекта - сутки.

А еще мы занимаемся экспериментальными установками, которые измеряют параметры газовых скважин где-то в районе полярного круга. Алгоритмы обработки данных с датчиков, да и сами исследовательские приборы проходят окончательную доводку на месте, т.к. заранее в деталях техпроцесс до конца неизвестен даже самим технологам и разработчикам оборудования.
И что, прикажете по каждому случаю срочно лететь в тундру? )))

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 840 раз

Чем удаленно перепрошивать и мониторить?

Сообщение Ryzhij »

Velt писал(а): 12 дек 2019, 10:15 Другими словами, чтоб Вам было понятно, Вы беретесь утверждать, что при удаленном подключении в любой момент времени любой ПЛК (или HMI) будет окирпичен в течение часа.
А ещё можно завязать себе глаза и переходить 6-полосную автостраду не по переходу.
О практическом применении теории вероятности в области безопасности хорошо было сказано в старом советском фильме "Два бойца" с Марком Бернесом в главной роли.
Velt писал(а): 12 дек 2019, 10:15 А еще мы занимаемся экспериментальными установками, которые измеряют...
Измеряйте. И даже регистрируйте. Только в управление не лезьте с такими подходами к безопасности и теории вероятности
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Ответить

Вернуться в «Интерфейсы, протоколы, связь»