Киберзащита АСУ ТП Kaspersky Industrial Cybersecurity

[Exactamente]

http://www.youtube.com/watch?v=eaa8ETKkbPU
Вообще, в последнее время какие-то нездоровые подвижки в сторону киберсекурности АСУ ТП.

[Serex]

Вообще, в последнее время какие-то нездоровые подвижки в сторону киберсекурности АСУ ТП.

Эта вещь должна хорошо продаваться, почему бы нет?
Хотя классическая промышленная безопасность на первом месте ставит безопасность человека.
Потом экологическая безопасность
и только третьим идет инфраструктурная (экономическая), в том числе кибербезопасность.

[Romcheg]

Про то как их ПО отлавливает (моментально!) команду, ведущую к останову всего техпроцесса - это для какого детского сада демонстрация и презентация? Они совсем нас инженеров за имбицилов держат такими презентациями?
Цель хорошая, но подходы, подобные этому у нормальных специалистов не то что смех, а больше реакцию отторжения вызывают... Смысл пакета - сделайте в скаде все необходимое, а мы по этим параметрам будем красиво вам показывать, что что-то не так. НАХРЕНА мне этот пакет Касперсокго, если разработчик и так уже в скаде все это сделает? Ради присобачивания к моим параметрам скады скрипта на Lua???? ИМХО, по большей части - это навязанный сервис. Остальное - работа обычного антивируса. Более того, большинство моментов решаются чисто административными настройками политик безопасности ОС.

[VADR]

Ну да, настройка порта для зеркалирования в него всего трафика должно предполагать, что этот порт неожиданно может быть перегружен. Также - я не знаю механизма (а может быть, он и есть...), чтобы определённым портом одного свитча зеркалировать трафик всей сети. Разве что линии связи между свитчами настраивать как зеркальные порты, но это уже более серьёзная перегрузка: перегрузка одиночного порта приведёт к отказу диагностики, перегрузка аплинка - к отказу системы. Получится сторожевой пёс, напавший на хозяина.
Отслеживание и блокирование неопознанных узлов в сети - реально и полезно (наверное, тут есть нюансы: теоретически эту блокировку злоумышленник тоже может использовать для коллапса системы).
В общем, в при любом раскладе что-либо полезное в этой теме можно сделать только в одном случае: участие в процессе разработчика системы. Если тот же контроллер для загрузки новой программы будет требовать аутентификации и авторизации, к примеру, парой ключей (и контроль этого будет возложен не на стороннюю софтину где-нибудь на сервере, а на сам контроллер) - можно уже о чём-то говорить. А пока - нет.

[Alex question]

это для какого детского сада демонстрация и презентация?

Это для главных мениджеров. Там такое прокатывает на ура.

А вообще касперский молодец. Заранее полянку обрабатывает. Началось все с громких заявлений что все асу тп должны работать только на специальной промышленной операционке (никс, пересобранный с логотипами каспера). Но с этим предложением он был [CENSORED] не поддержан общественностью что вполне логично.

И вот потом как из рога изобилия посыпались другие предложения одно фантастичнее другого. Причем пропихиваемая предварительная стоимость решений десятки миллионов (по слухам из источников типа "обс" а так же некоторым бумажкам). Но самое главное тут то, что касперыч хочет одти в связке с поставщиками птк, т.к. без их работы ничего из показанного в дурацком ролике (ну кроме может защиты от втыкания левых флешек, что может сделать любой школьник за 2 минуты) просто не реализуемо.

Но у нас работает не здравый смысл а откаты и попилы. Если он сможет подсосаться к правильным челам, то возможно на рынке останутся всего несколько производителей, а в проекте добавится работы по подготовке всех защит, блокировок и сигнализаций для этого чудо по.

[Jackson]

Вообще, в последнее время какие-то нездоровые подвижки в сторону киберсекурности АСУ ТП.

А просто везде всё что можно уже продали, денег поубавилось из-за плясок с курсом - вот и выдумывают продажники всё более изощрённые продажи. Кушать все хотят. Плюс с мозгами в проектировании всё чем дальше тем хуже, сообразить что надо просто сделать физически разделённые сети и регламентом добиться дисциплины, может уже не каждый, а про русских хакеров весь интернет пестрит - чем не благодатная почва для продаж?

Отправлено спустя 1 минуту 38 секунд:
Как говорил мой шеф: недостаток материальных средств ведёт к дисциплине мышления. А пока бюджеты кое-где ещё резиновые - дисциплины мышления долго ещё не видать будет.

[Alex question]

В общем, в при любом раскладе что-либо полезное в этой теме можно сделать только в одном случае: участие в процессе разработчика системы. Если тот же контроллер для загрузки новой программы будет требовать аутентификации и авторизации, к примеру, парой ключей (и контроль этого будет возложен не на стороннюю софтину где-нибудь на сервере, а на сам контроллер) - можно уже о чём-то говорить. А пока - нет.

Вот об этом я и говорю. Без разработчика птк и без разработчика проекта на конкретную асу тп вся показанная лабуда абсолютно бесполезна. При этом большую часть работы по защиты системы будут выполнять именно эти люди. Ну так процентов 90 работы.

Кроме того если с изменением уставок, шкал и коэффициентов все более или менее понятно (хотя это гораздо проще реализовать либо в ПО птк либо в самом проекте) то с командами вообще мрак. Вот взял оператор и отправил команду закрыть главную паровую задвижку или хлопнуть клапана на паре в турбину или пэн остановить. Как эта система разберет - злоумышленник это хочет блок отвалить или оператор сам приняо решение останогвиться видя что что то идет не так.

Кстати в нормальных системах авторизация на контроллере давно сделана. например в нашей контроллер проверяет компьютер с которого пошел любой запрос и права юзера под которым этот запрос идет.

[Jackson]

Если тот же контроллер для загрузки новой программы будет требовать аутентификации и авторизации, к примеру, парой ключей (и контроль этого будет возложен не на стороннюю софтину где-нибудь на сервере, а на сам контроллер) - можно уже о чём-то говорить.

Поправьте если я неправ, но ведь закрытие этой операции паролем (или запрет даже доступа к чтению содержимого ПЛК) разве не решает эту проблему?

Смотрю на наш буржуйский опыт, и вижу что там рациональные люди вообще не заморачиваются с безопасностью на управляющем уровне. Мы задавали этот вопрос - они очень удивились узнав, что сеть управляющего уровня может быть как-то связана со всем остальным миром. Плюс в сервисном софте обязательно есть пароль доступа. В прецизионных системах пароля не надо, но сама операция загрузки ПО в контроллер там нетривиальна и только при непосредственном подключении через сервисный порт, и если уж человек прошёл все эти процедуры, значит он понимает что делает. Удалённая диверсия невозможна т.к. нужно пешком прийти и подключиться, т.е. безопасность обеспечена на физическом и организационном уровнях.

Опять же, поправьте меня если я не прав, но мне кажется что при грамотном построении всей АСУ диверсии и пакости в ней просто исключены, а если кто-то что-то и сделает локально - значит это был специально нацеленный на это человек, а против лома нет приёма, кроме амбарного замка.

Полное закрытие контроллеров для внешнего мира сделает также и абсолютно бесполезным это ПО Касперского, т.к. оно не никак не сможет отследить изменения ибо доступ-то в ПЛК запрещён. Кроме того, можно ведь применять не Ethernet а собственные интерфейсы, для того это и делается чтобы физически разделить сети. Ну а если человек, как в примере, пришёл на объект пешком имея ноутбук со степ7 и паролеподбиралки - зачем ему лезь в сеть когда можно работать напрямую с контроллером? А при прямом доступе хотя бы и к сети, для диверсии даже ноутбук не понадобится - достаточно просто бокорезов, и то как максимум.

Интерес к таким вещам обоснован, т.к. ежу понятно что устроить теракт серьёзного масштаба в крупном городе запросто можно через, например, водоснабжение - тихо и эффективно. С охраной там полный швах, заходи кто хочет, делай что хочешь.

[VADR]

Поправьте если я неправ, но ведь закрытие этой операции паролем (или запрет даже доступа к чтению содержимого ПЛК) разве не решает эту проблему?

Частично - решают. Но длительная работа без напрягов по этой теме успокаивает и расслабляет. Пароли подолгу не меняются (иногда - вообще не меняются), сохраняются в автологонах и прочих уязвимых местах. Уволенные сотрудники помнят пароли. Аутентификация по паре ключей подразумевает работу только с той инженерной станции (тех инженерных станций), куда импортирован ключ. Ключ аппаратно-зависим, индивидуален для каждой станции (или каждого инженера - сохранён на смарт-карте), всё, что нужно для восстановления в случае утраты/повреждения хранится в сейфе под замком.

[Exactamente]

Про то как их ПО отлавливает (моментально!) команду, ведущую к останову всего техпроцесса - это для какого детского сада демонстрация и презентация?

Да там вообще хохмы сплошные. Например, убить насос ПИД-регулятором, мнэ?..

а в проекте добавится работы по подготовке всех защит, блокировок и сигнализаций для этого чудо по.

Вот это и напрягает. Не то что бестолковое, а вредное прумножение сущностей. Помимо самого проекта ещё и в этой приблуде настрой уставки.

Без разработчика птк и без разработчика проекта на конкретную асу тп вся показанная лабуда абсолютно бесполезна.

Собственно, пока вендоры у себя это не реализуют, все такие примочки будут называться красивым английском словом workaround, по-русски - костыли.

Смотрю на наш буржуйский опыт, и вижу что там рациональные люди вообще не заморачиваются с безопасностью на управляющем уровне.

Мне очень понравился комментарий тут от Joel Langill. В духе "нормально делай, нормально будет!" :)

Поправьте если я неправ, но ведь закрытие этой операции паролем (или запрет даже доступа к чтению содержимого ПЛК) разве не решает эту проблему?

А вот не совсем правы, на самом деле. Всё так или иначе ломается. И софт тоже. И прошивка ПЛК, проверяющая пароли - тот же софт. Достаточно посмотреть на обнаруженные уязвимости (правда, они пока что все касаются scada-систем, плк white hat'ы пока не освоили, или там действительно всё хорошо, непонятно).

[andrmur]

У меня складывается впечатление, что "антивирусные компании" сами себе создают рынок сбыта, распространяя страшилки, а может быть (скажу крамолу), и создавая инциденты, чтобы напугать пользователей...

Американцы, например, боятся использоваться продукты Касперского, полагая, что через них "русские хакеры" пролезут на их промышленные объекты: http://freebeacon.com/national-security ... ate=031116. Может быть, они зря волнуются?

И кстати. почему Касперский полюбил взламывать Сименс? Он самый легкий для хакинга, особенно, если подключиться к локальной сети с инженерным пакетом и зная пароль?
http://digitalsubstation.ru/blog/2015/1 ... stantsiyu/

[esoptro]

Майкрософт в промышленности - зло.

[andrmur]

Майкрософт в промышленности - зло.

Да-да, слышу это уже 20 лет
Несмотря на всю критику, все остальные операционки так и не пошли в рост в АСУТП - увы...

Windows + TCP/IP дает возможность вламываться хакерам, которые ничего не понимают в АСУТП - максимум, что омжет сделать такой хакер, это погасить процессы на винде и заблокировать коммуникацию.

Поэтому, как показано в рекламном ролике Касперского, "правильный хакер" должен еще иметь и инженерную утилиту, знать пароль и подключиться к порту на свитче.

[VADR]

Несмотря на всю критику, все остальные операционки так и не пошли в рост в АСУТП - увы...

Пошли, только не в операторском интерфейсе и не инженерный софт. Контроллеры (в том числе PC-based) под линухом - обычное дело. А с операторским интерфейсом и инженерными станциями - замкнутый круг:
1. Разработчики ПО не делают софт под линухи, т.к. те, кто в этом процессе оперирует деньгами, считает, что никто такой софт не купит (потому что там всё непонятно, о чём сказал известный мегаэксперт из MS)
2. Даже в том случае, если софт таки появился, заказчик такой софт не купит, потому что те, кто в этом процессе оперирует деньгами, считает, что там всё непонятно и вообще надо ориентироваться на "лидера де-факто".

[esoptro]

Да-да, слышу это уже 20 лет

От этого оно злом быть не перестает

Несмотря на всю критику, все остальные операционки так и не пошли в рост в АСУТП - увы...

Да вы что? Что и АЭС венде доверяют? А я думал что там QNX-ы и прочие большие Unix-ы

Windows + TCP/IP дает возможность вламываться хакерам, которые ничего не понимают в АСУТП - максимум, что омжет сделать такой хакер, это погасить процессы на винде и заблокировать коммуникацию.

Почему вы так решили? Хакер может быть лишь инструментом в чьих то руках.

Поэтому, как показано в рекламном ролике Касперского, "правильный хакер" должен еще иметь и инженерную утилиту, знать пароль и подключиться к порту на свитче.

Дожили, что касперыч уже и рекламные ролики стал снимать?

[CHANt]

И кстати. почему Касперский полюбил взламывать Сименс? Он самый легкий для хакинга, особенно, если подключиться к локальной сети с инженерным пакетом и зная пароль?

Сименс не придерживался активного преследования, за свои ключи авторизации прикладного ПО. Это, на мой взгляд, удачный маркетинговый ход на рынке СНГ, так как позволил учиться и развиваться достаточно большому количеству специалистов, практически бесплатно (откуда у нас деньги?))). Оттуда и популярность, условно конечно. Тоже прикладное ПО, помнятся времена, когда мы, абсолютно не знакомые люди, друг-другу двд-дисками пересылали почтой, так как через инет скачать столько было очень затруднительно, торрентов не было. А двд-диски добивали своим имевшимся ПО и т.п. Одно время, даже помощь была от самого Сименса - продавал ДВД-9 диск со всем своим ПО, с кучей библиотек, всего за 90 евро))) Из-за распространенности и куча методов снятия паролей и т.п.
Кстати, они в новом тиа портале переработали защиту, теперь все не просто и у касперского на видео именно старый вариант контроллера и степ7, сходящего со сцены)))
Лукавство, в тематике ИБ, всегда присутствует)))

[Jackson]

А вот не совсем правы, на самом деле. Всё так или иначе ломается. И софт тоже. И прошивка ПЛК, проверяющая пароли - тот же софт.

Согласен. А как насчёт решения: полностью запретить чтение ПО из контроллера вообще, а обмен данными (параметры рецептов там или ещё что) обработать программно? На нескольких ПЛК видел возможность исключить доступ к ПО после его загрузки в ПЛК, т.е. изменить ПО можно только одним способом - перезаписав его заново. А на старых контроллерах в модулях памяти была механическая "защёлка" - микропереключатель который запрещает перезапись содержимого, как флажок на дискете. Давно не работал с ПЛК, поэтому и спрашиваю чтобы быть в курсе. Спасибо!

У меня складывается впечатление, что "антивирусные компании" сами себе создают рынок сбыта,

Это нормально для любого бизнеса. Зависит от компании. Если вспомнить историю, откуда вообще взялся Касперский как человек - он же раньше то ли с Лозинским (Диалог-Наука) либо с Даниловым (Др.Вэб) работал, ещё в СССР и под ДОСом, а когда попёрла кооперация и прочее, то Касперский первым начал очень активно продавать и продвигать свой продукт, его антивирус даже в книжных магазинах продавался, в то время как за Др.ВЭБом надо было ехать в офис (рядом с ст.м.Электросила раньше), а за аидстестом и АдИнфом в Москву. Интернета тогда не было ещё нормального.
И, между прочим, если кто помнит, был такой продукт у Диалог-Наука - AdInf, он делал ровно то же самое что делает сейчас сабж: сигнализирует об изменениях. Так что идея-то вовсе не нова, просто её применили к АСУТП. И я не считаю что это какой-то лохорон, просто надо понимать что это за продукт и как он работает. Никакой защиты он не даёт совершенно, зато позволяет отследить изменения и это может быть вполне полезно. Правда я не представляю как он может быть "коробочным" т.к. структуры систем бывают очень разные, да и контроллеры тоже, серьёзное допиливание на месте неизбежно.

Американцы, например, боятся использоваться продукты Касперского, полагая, что через них "русские хакеры" пролезут на их промышленные объекты: http://freebeacon.com/national-security ... ate=031116. Может быть, они зря волнуются?

Конечно зря. Если хакеру нужно куда-то пролезть - он это сделает, с этим продуктом или без него. Волноваться бессмысленно.

И кстати. почему Касперский полюбил взламывать Сименс?

А Вы погуглите ПЛК - сименс в топе поисковиков и у всех на слуху. Вот и нагуглили эффективные манагеры. :) Эта мысль ещё вчера ко мне пришла: контроллеров существует великое множество, так что Касперский, реализуя этот продукт, автоматически должен нарабатывать базу данных драйверов связи с контроллерами, и, таким образом, в итоге получится идеальый продукт для хакера, который сможет достучаться до любого контроллера и отследить его :)
Иными словами, сев на пароход ты автоматически окружил себя водой и рано или поздно промокнешь. Чтобы остаться сухим, надо держаться подальше от воды.

Windows + TCP/IP дает возможность вламываться хакерам, которые ничего не понимают в АСУТП - максимум, что омжет сделать такой хакер, это погасить процессы на винде и заблокировать коммуникацию

Это смотря как сделана АСУ. Под этой виндой может крутиться что-то такое, без чего весь объект встанет (если криво отработана структура системы): тупо остановил винду - убил весь техпроцесс.

Поэтому, как показано в рекламном ролике Касперского, "правильный хакер" должен еще иметь и инженерную утилиту, знать пароль и подключиться к порту на свитче

А об этом я уже говорил: если есть доступ к свичу, а значит и к остальному, то не нужна ни инженерная утилита ни пароль - отвёртка и бокорезы решат все задачи.

От этого оно злом быть не перестает

Зло это для тех кто не понимает что это за продукт и как заставить его работать нормально. В умелых руках всё идёт на пользу, или не используется вовсе.

Да вы что? Что и АЭС венде доверяют?

Да.

А я думал что там QNX-ы и прочие большие Unix-ы

Не везде.

Сименс не придерживался активного преследования, за свои ключи авторизации прикладного ПО. Это, на мой взгляд, удачный маркетинговый ход на рынке СНГ

Да.

Лукавство, в тематике ИБ, всегда присутствует

Да.

[Exactamente]

Согласен. А как насчёт решения: полностью запретить чтение ПО из контроллера вообще, а обмен данными (параметры рецептов там или ещё что) обработать программно?

Вот это и будет место, где погоня за безопасностью вставляет палки в колёса нормальной работе. Станет невозможной безостановочное изменение логики. Навскидку, Йоко, АВ, всё что под Кодесисом и производными, насчёт Сименса не знаю, - позволяют менять логику "онлайн". А это часто бывает нужно.
Слить конфиг с ПЛК - очень крутая функция. С нашим повсеместным раздолбайством исходники имеют свойство теряться :) Это, конечно, плохо, но факт.

А на старых контроллерах в модулях памяти была механическая "защёлка" - микропереключатель который запрещает перезапись содержимого, как флажок на дискете.

Старые не застал :) На новых, где память суть внешняя съёмная флешка, - это не проблема и зависит от самой флешки. Только проблема та же самая. Нужно погасить контроллер и вынуть память, чтобы переключатель щёлкнуть.

[Barsik]

Да вы что? Что и АЭС венде доверяют? А я думал что там QNX-ы и прочие большие Unix-ы

Усиленно навязываемая в российской большой энергетике SCADA "Квинт" работает под виндами https://ru.wikipedia.org/wiki/%D0%9F%D0 ... 0%BD%D1%82

[esoptro]

Зло это для тех кто не понимает что это за продукт и как заставить его работать нормально. В умелых руках всё идёт на пользу, или не используется вовсе.

Очки никогда не станут телескопом, в чьих бы руках они не были и как не заставляй их работать :) Вся история десктопной Windows сплошное недоразумение, до ее первого появления в 1995 году (версии Windows до этого не являлись ОС) серьезными промышленными объектами уже десятилетия управляли большие UNIX-ы, более того в UNIXах чертили и разрабатывали.
Более того десктопная Windows даже сейчас не является ОСРВ (Операционной Системой Реального Времени), таковой является лишь Windows CE, которую по функционалу и фичам смешно сравнивать с той же QNX. Все костыли что приделывают к Windows позволяют ей быть лишь системой "мягкого" реального времени, и для того что бы не "обидеть" настоящие системы реального времени, маркетологи придумали для них термин - система "жесткого" реального времени. :)
более подробно http://www.qnx-russia.ru/presentations/ ... utrino.pdf
и
http://www.rtsoft.ru/press/articles/detail.php?ID=1486

Да вы что? Что и АЭС венде доверяют?

Да.

То что Windows все таки используют там где ее использовать нельзя, вызывает те же чувства когда видишь что кабельные наконечники обжимают плоскогубцами и молотком.

А я думал что там QNX-ы и прочие большие Unix-ы

Не везде.

Кабельные наконечники в РФ обжимают пресс-клещами тоже не везде. Это в целом удручает.

[esoptro]

Да вы что? Что и АЭС венде доверяют? А я думал что там QNX-ы и прочие большие Unix-ы

Усиленно навязываемая в российской большой энергетике SCADA "Квинт" работает под виндами https://ru.wikipedia.org/wiki/%D0%9F%D0 ... 0%BD%D1%82

В этом предложении меня печалит словосочетание "усиленно навязываемая", с другой стороны это не может не радовать. Ведь раз приходится прикладывать усилия к навязыванию, значит в большой энергетике еще остались настоящие профессионалы, которые понимают что работать под вендами, в большое энергетике нельзя. Ну т.е можно, но ровно так же как пренебрегать и другими требованиями в энергетике, что естественно ни к чему хорошему это не приведет.

[andrmur]

вот демонстрация взлома СКАДЫ Realflex и некоего ПЛК (тип не разглядел), подключенного к серверу через Modbus/TCP.

https://scadahacker.com/videos/icsattackdemofw.php

[Alex question]

Усиленно навязываемая в российской большой энергетике SCADA "Квинт" работает под виндами https://ru.wikipedia.org/wiki/%D0%9F%D0 ... 0%BD%D1%82

Хороший троллинг, но не прокатил.
Не умно говорить о том, о чем имеются довольно смутные понятия. Как говорится: "пруф или опозорился?"

Ведь раз приходится прикладывать усилия к навязыванию, значит в большой энергетике еще остались настоящие профессионалы, которые понимают что работать под вендами, в большое энергетике нельзя.

Еще один.
Слышал звон да не знает где он.

В энергетике 99% всех армов работает под виндой. В том числе и сименс, на который сейчас все фа...молятся.

[Barsik]

Усиленно навязываемая в российской большой энергетике SCADA "Квинт" работает под виндами https://ru.wikipedia.org/wiki/%D0%9F%D0 ... 0%BD%D1%82

Хороший троллинг, но не прокатил.
Не умно говорить о том, о чем имеются довольно смутные понятия. Как говорится: "пруф или опозорился?"

Поясните свою мысль пожалуйста. Я в энергетике не работаю довольно давно, но сомневаюсь что там что то радикально изменилось. И судя по всему разработчики Квинта чувствуют себя неплохо http://www.cnews.ru/news/top/2016-01-06 ... t_elementy

[Alex question]

Поясните свою мысль пожалуйста.

Легко.

Усиленно навязываемая в российской большой энергетике SCADA "Квинт"...

Как говорится: "пруф или опозорился?"

Просто ответьте на вопрос.

То что Windows все таки используют там где ее использовать нельзя, вызывает те же чувства когда видишь что кабельные наконечники обжимают плоскогубцами и молотком.

Весьма интересно читать, как один человек решает, что можно делать, а что нельзя в целой отрасли.