Киберзащита АСУ ТП

[Anton Shipulin]

Не хочу не с кем спорить, не люблю.
Но сколько же злобы за сегодняшний день было выплеснуто в комментариях в сторону исследований, вместо попыток разобраться и попробовать получить из даннной информации пользу.
Простите за сравнение но это напоминает мне страуса который пытается спрятать голову в песок чтобы не видет окружающую его реальность, а при попытке помочь вытащить его голову из песка и предупредить об опасности, он пытается атаковать пытающегося.

Про семинары/турниры

Да будет вам известно, что эта подобное обучение/турниры/исследования проводятся публично по всему миру, с целью донесения актуальных проблем до владельцев промышленных объектов. Информации уйма, много примеров собирать не хочется, например вот популярная книга как проводить анализ защищенности (в том числе моделирование действий атакующих с целью выявления проблем):
Hacking Exposed Industrial Control Systems: ICS and SCADA Security Secrets & Solutions
И да, существуют подходы как делать подобный анализ без угрозы функционирования объекта. Профессионалы это делать умеют. О всех новинках мы всегда информируюет на наших площадках в facebook и telegram. Атакующие же это умеют делать и без данных исследований, но к сожалению они следят за данными исследованиями с большим интересом чем владельцы объектов :) Поэтому цель: все таки расшевелить владельцев на оперативное изучение проблемы и принятия мер по ее устранению

Про этичность
Законопослушные исследователи (такие ка организаторы подобных конкурсов) обращаются с уявимостями "этично". Т.е. не в коем случае не публикуют сразу информацию об уязвимости, а первым делом несут ее производителю и порой дооооолго и терпеливо жду ее исправления. И только после выходы исправления, с полным правом, вместе с вендором публикую информацию о проблеме и спосбое ее исправления. Так же никогда не публикуются результаты анализа защищенночти отдельных реальных объектов, это информация закрытая и доступна только владельцам объекта. Проблемы с безопасностью типового объекта, например на смоделированых на конкурсах, не являются закрытой информацией, а наоборот, как я писал выше, должны публиковаться максимально широко, чтобы донести данную информацию во все "уши".

[CHANt]

VADR, в принципе - а че им наша аудитория? Время такое. Вот юрист у меня на работе считает, что написать юр. договор технарю это не сложно - примеры ведь они дают. А текст мол и школьник осилит...Пишу, бегаю согласовываю, выслушиваю неудовольствия))) А что такое ТАУ он не знает))) Вчера письмо пришло из мск, дайте предложения по разработке ГОСТ ) включая национальные и межгосударственные) по электроэнергетике с указанием источников финансирования разработки и выпуска стандартов..Бл))) не могу придумывать источники финансирования - тупой я, а про ТАУ они не слышали.Сегодня на работе писал справку по ибасу, ну как я ее выполняю то, по требованиям всяким...Должен был сам придумать форму, содержание, осветить вопрос, проверить все ли у меня в порядке в системах...Хорошо хоть что конкурс CTF не надо организовать))) В понедельник, вторник мне скажут понравилась или не понравилась справка то))) А про ТАУ и не слышали,а горячей водой каждый день моются, а ведь я после работы и по выходным на теплопункты и котельные города программы под симатик разрабатываю. Тупой ведь, как там - электрик! Это я должен чесаться то про ибасу, вскроют же меня, не спеца по иб, ибо он пророк!

Вот поэтому мне интересно что Александр Лифанов предложит в докладе! Хоть что то в прикладной плоскости прозвучит
Поэтому Anton Shipulin не принимайте весь негатив на свой счет! Вы у нас собирательный образ

[Marrenoloth]

Anton Shipulin, а почему, если вы

Цитаты я уношу чтобы поделиться мнениями коллег с данного форума.

, то уносите именно негатив, но не уносите, например,

1) Проектирование. Каков состав проектной документации по разделу ИБ на систему АСУ ТП? Чем руководствоваться при разработке раздела ИБ? Сколько помню АСУПшники (АСУшники), в отличие от АСУТПшников никогда не любили разрабатывать проектную документацию (эксплуатационную тоже)))), даже по ЕСПД ))) Тем не менее в АСУТП проектный подход развит и присутствует не только гос. и отраслевые НТД но и реальные учебные пособия, к примеру Ю.Н. Федорова, А. Л. Нестерова, А. С. Клюева, что есть сейчас из литературы по ИБ АСУ ТП?

В связи с этим предложение ко всем: создать статью "Киберзащита"/"Кибербезопасность" на русскоязычной Википедии.
Уже есть ссылки на первоисточники, на основании которых, это понятие можно описать в статье.

, при этом сдержано радуетесь вместе с активистами чата скудоумию авторов цитат. ИМХО, не лучшее поведение для "лица кибербезопасности в этом чате", не добавляет уважения и уверенности в профессионализме.

[Jackson]

Поэтому Anton Shipulin не принимайте весь негатив на свой счет! Вы у нас собирательный образ

Да. И наш собирательный образ никогда - отметьте - никогда не отвечает на поставленные вопросы, иногда отвечает на ка свои собственные, но на наши - никогда. Но при этом

Цитаты я уношу чтобы поделиться мнениями коллег с данного форума.

Как это выглядит - знаете? Это потребление. Безответное.

[+] Как на это реагировать

- личное дело каждого, а как на это среагирую лично я, когда надоест, я уже предупреждал. Стало скучно. У меня личная неприязнь к халявщикам с павлиньими хвостами. Развлекайтесь пока, но потом не удивляйтесь.

Хотелось бы знать, как насчёт упоминаний первоисточника при цитировании.

[Marrenoloth]

И наш собирательный образ никогда - отметьте - никогда не отвечает на поставленные вопросы, иногда отвечает на ка свои собственные, но на наши - никогда.

Евгений, ну Антон же говорил, что конкретные ответы подразумевают знания, а знания не бесплатны. В своем праве человек.

Хотелось бы знать, как насчёт упоминаний первоисточника при цитировании.

А вот с этим никаких проблем! И источники указываются и форум уже примелькался, так что с рекламой всё в порядке. Аудитория только не самая целевая...

[Jackson]

Евгений, ну Антон же говорил, что конкретные ответы подразумевают знания, а знания не бесплатны

Я надеюсь, Вы не от его имени отвечаете сейчас. Ибо если у него нет тех знаний о которых спрашивали - на пушечный выстрел нельзя подходить к АСУТП с таким подходом, не говоря уже о вмешательстве в её создание и работу.

В своем праве человек

Я тоже, раз так.

[Marrenoloth]

Евгений, я, видимо, не совсем полностью написал мысль. Имелось в виду, что знания стоят денег. Без денег знаний не будет.

[9:35:22 PM] Дмитрий Marrenoloth Тихомиров:
А где там снобизм? Прочитал все страницы этой ветки АСУТП форума. Все согласны, что проблема есть. В той или иной мере. А конструктива в ветке - ноль. Хотя вопросы "А как мне сделать правильно?" там были. Может быть таки решать проблему, а не людей?

[9:38:03 PM] Anton Shipulin:
"А как мне сделать правильно?" - Ответ - это работа за которую платят деньги. Включает: обследование, выявление проблем, разработка модели угроз, разработка рекомендаций и ... дальнейшая их реализация.
Можно попробовать это сделать без "безопасников", но "безопасники" знают как это сделать лучше. Они этому учатся

[CHANt]

Коллеги, да отличная тема просто! У кого есть возможность приаттачить посты с фейсбука сюда? Буду благодарен.
Может потихоньку и обзор рынка компаний, решений получится, без купюр))) Меня лично не коробит звания "дебилы бл**" и электрика))) нормально!

[VADR]

У кого есть возможность приаттачить посты с фейсбука сюда?

Поковыряться и отскриншотить можно, конечно. Страницы наиболее припудренных посмотреть, запомнить места работы и постараться на пушечный выстрел к своим предприятиям не пускать - тоже возможно. (И сие не есть месть, сведение счётов или ещё какой негатив - исключительно защита своего предприятия от вопиющего непрофессионализма потенциального подрядчика, о котором говорит отсутствие минимальных знаний об объекте защиты). Вот только бесполезно это. Такие ребята заходят с другой стороны, как когда-то модные консалтинговые компании.

[VADR]

Запись вебинара на тему взлома АСУТП, ссылка получена из фейсбучной группы. Возможно, стоило закинуть в юмор, но пусть будет здесь. Тем более, что там интересовались "интересно сколько людей ответственных за эксплуатацию АСУТП ознакомились с этой демонстрацией?". Вот пусть будет побольше. http://my.webinar.ru/record/343950/

[Technic4]

Запись вебинара на тему взлома АСУТП, ссылка получена из фейсбучной группы. Возможно, стоило закинуть в юмор, но пусть будет здесь. Тем более, что там интересовались "интересно сколько людей ответственных за эксплуатацию АСУТП ознакомились с этой демонстрацией?". Вот пусть будет побольше. http://my.webinar.ru/record/343950/

Может конечно докапываюсь, но!!!

Слайд 3
Докладчик ставит на один уровень ERP, PAS (видимо FieldCare) и КИС (наверно, это корпоративная информационная сеть).
Докладчик понимает, о чем говорит? Зачем FieldCare в заводскую сеть выводить?

Слайд 10
Системы верхнего уровня ERP, MES не ожидают «плохих» данных и атаки от полевых устройств.
Т.е. теперь КИП подключаются напрямую к ERP и MES?

Слайд 13
Докладчик рассказывает о RS-485. При этом о проводах, передающих сигнал, говорит, как от двух шинах.
Шина одна, ошибся докладчик или для него это не важно.

Слайд 18
Разбирают сценарий атаки.
Датчик работает по беспроводной сети, соединен с другим датчиком по токовой петле.
Возникает вопрос, зачем такая архитектура? Может только локальный контур регулирования (датчик+клапан по HART) или, например, компенсация по температуре (давлению) при расчете расходов.
Далее датчик соединенный по токовой петле ломают и далее передают данные на беспроводной датчик, который отсылает эти по беспроводному соединению дальше.
Сценарий странный. Без комментариев.

Слайд 24
АСУТП – низкоуровневая вещь.
Тогда полевой КИП – это вообще уровень плинтуса или фальшпола.

Слайд 32 и далее
Злоумышленник подключается к датчику.
И не понятно, что в LongTag датчика можно записать, что это пройдя через FieldCare атакует ERP?

[Romcheg]

Автору доклада надо матчасть по протоколам и интерфейсам малость подучить, его ляпы и непонимание привели к тому, что весь доклад построен на одном большом домысле по абсолютно безграмотной архитектуре!
Меня весь доклад радовала до ужаса структура, где весь КИП рулится напрямую из PAS, которая прямо-таки прямой посредник ERP и MES. Автору за такие познания в построении систем - просто пять баллов!

1) Вообще не понял - если весь доклад речь шла про HART, то вообще зачем приводились другие протоколы и шины данных? Например, по модбасу все то, о чем он рассказывает - физически невозможно, даже для построенной таким идиотским образом структуры.

2) Два типа уязвимости по XML вообще притянуты за уши: передача данных в XML-пакете в шине HART и XML-скрипт эксплоита для SAP. Погодите, если и там и там XML - с какого перепугу делается вывод, что вся система может быть взломана? Только потому что название формата пакетов одинаковые - XML? Или у них SAP пакетами для HART'а оперирует??? Или использует где? Делать такие аналогии - это безграмотно. Хотя, учитывая, какую архитектуру он построил для того чтобы все это показать - видимо это такой хитрый ход...

Вообще идея писать что-то в longTag что приведет к сбою, будучи донесенным на самый верх, аж в шлюзы между ERP - это просто анекдот.
Да, теперь я понимаю истинную ценность "Ответа на главный вопрос жизни, вселенной и всего такого" - "42"!
Если его по модбасу или по харту в ответе отправить, то ваша АСУ ТП ляжет и потянет еще за собою ERP!

"Верните мою собаку!!!" (с)

[VADR]

Автору за такие познания в построении систем - просто пять баллов!

Мнение автора по поводу моих замечаний:

"Вырыли стюардессу" 3х летней давности. Все там рабочее и проверенное в бою. Сто раз все это было уже разжевано и пережевано ранее.

Вот так. Мало того, что ошибки признавать не хочется, так и было это, оказывается, 3 года назад. И за три года желание познать объект защиты не появилось :)

[Lifanov]

Вот поэтому мне интересно что Александр Лифанов предложит в докладе! Хоть что то в прикладной плоскости прозвучит

Что характерно, меня-то об этом никто не спросил

Не пужайтесь, серебряной пули нет, особых откровений не будет. Будет просьба не ссориться, дружить и отвечать каждый за свой сегмент работы. :)

[CHANt]

Хорошие практики построения PLC-программ

Хорошие! Эта тема! Это и жду!

[Ryzhij]

"Верните мою собаку!!!" (с)

Грешно смеяться над больными людьми...
Хотя, собачку надо бы вернуть, а спикеру начистить то место, где спина теряет своё благородное название.

Чел абсолютно путается в протоколах, в их применяемости, путается в программном инструментарии, в его назначении.
Представления докладчика о назначении протоколов, о функциях и взаимосвязях PAS, о применяемости и функциях FieldCare и/или PactWare (ничего, что я ещё один тайный софт назвал, и притом бесплатно?) вызывают изумление, граничащее с озадаченностью.
Возникает стойкое ощущение, что человек бредит.
Хорошо, что про семейство CIP-протоколов наш спикер не слышал, а то такой бы жути нагнал!!!
Его рассуждения и гипотезы в чём-то сродни знаменитой идее "выпить бермудский треугольник".
Тут мы бессильны, здесь нужны специалисты из области психиатрии.
А мы - электрики, что мы тут можем?

[VADR]

Возникает стойкое ощущение, что человек бредит.

При этом человек уверен, что он прав. Настолько, что выкинул меня из группы в фейсбуке (он там админит) :)

[Ryzhij]

Будет просьба не ссориться, дружить и отвечать каждый за свой сегмент работы. :)

Знаете, Александр Витальевич, о различиях ответственности и забот у зам.полита и зам.потеха?
Зам.политу проще: рот закрыл - должность сдал!

[Marrenoloth]

Настолько, что выкинул меня из группы в фейсбуке

А можно ссылку на это обсуждение? Надо же почитать ответы вероятного противника! :)

[Marrenoloth]

Хорошие практики построения PLC-программ

Хорошие! Эта тема! Это и жду!

Я боюсь, "Никто, кроме нас!" -_-

[Lifanov]

Знаете, Александр Витальевич, о различиях ответственности и забот у зам.полита и зам.потеха?
Зам.политу проще: рот закрыл - должность сдал!

Месье что-то знает о моем уровне ответственности, чего не знаю я? Особенно в памятное тёплое лето 2010го...

[Ryzhij]

Месье что-то знает о моем уровне ответственности, чего не знаю я? Особенно в памятное тёплое лето 2010го...

О, да!
Ведь в том году все АСУТП-шники с электриками исчезли с планеты Земля, и только ИТ-шники, аки атланты, держали производство на своих плечах...

И ежели Вы, Александр Витальевич, из славного племени ИТ-братии, тогда мир Вашему дому и будьте здоровы!

[VADR]

Настолько, что выкинул меня из группы в фейсбуке

А можно ссылку на это обсуждение? Надо же почитать ответы вероятного противника! :)

Если только другие участники опубликуют. Я там забанен, ссылку скопировать не могу.

[Marrenoloth]

И ежели Вы, Александр Витальевич, из славного племени ИТ-братии,

А подпись "специалист по Advantech" у Александра рядом с аватаркой тихонько потупившись стоит и пытается казаться незаметной.

[Lifanov]

Месье что-то знает о моем уровне ответственности, чего не знаю я? Особенно в памятное тёплое лето 2010го...

О, да!
Ведь в том году все АСУТП-шники с электриками исчезли с планеты Земля, и только ИТ-шники, аки атланты, держали производство на своих плечах...

Понятно.
Я закончил институт в 2000м, специальность 22.02 (АСУ).
С 1999 по 2011 работал на пищевом производстве, начинал как программист SCADA (сначала Citect, потом WinCC 4-5-6), потом инженер (плюс программирование S7-200/300/400), потом ведущий инженер (плюс разработка электросхем), потом начальник отдела (плюс подбор технологического оборудования), потом как замдиректора по техобеспечению (плюс бюджетирование и служба эксплуатации).
Поскольку время было бурное - работали и для себя (как эксплуатанты), и на сторону (как интеграторы), собственное оборудование разрабатывали, готовое доделывали/переделывали под себя.
А насчет жары 2010го года - чиллеры климатики склада не справлялись, на фирме один акционер, он же владелец, он же директор. Вызвал, сказал, что если на складе температура превысит +25, я участвую в убытках. А на складе лежало сырья и готовой продукции под 300 тыс долларов... Так что не надо про ответственность, пожалуйста.

PS. Моя текущая работа в данном случае не при чем.