Киберзащита АСУ ТП

[CHANt]

Я боюсь, "Никто, кроме нас!" -_-

Ну дайте немного времени! У меня вопросы (просьбы, багодарности) к Александру есть по его докладу... Эээ, а то опять другу другу комплиментов наговорите))) И спрашивать некого будет. Вон уже Иб все посбегало от доброжелательности. Один модератор остался... :)

[Ryzhij]

Так что не надо про ответственность, пожалуйста.

А Вы, Александр Витальевич, зря это на свой счёт приняли с самого начала. Мне жаль.
Я писал свою ремарку об ответственности под свежим впечатлением от записи вебинара.
Интересно мне стало, как отвечает докладчик Иван Юшкевич из Digital Security за содержание своего спича?
Это ж прям "Ноябрьские тезисы", не меньше.

[Technic4]

Настолько, что выкинул меня из группы в фейсбуке

А можно ссылку на это обсуждение? Надо же почитать ответы вероятного противника! :)

Если только другие участники опубликуют. Я там забанен, ссылку скопировать не могу.

https://www.facebook.com/groups/RusCyberSec/ - эта группа? Или еще есть?

[Technic4]

https://www.youtube.com/watch?v=hFSZhxMRAhM
с 14й минуты.

[VADR]

https://www.facebook.com/groups/RusCyberSec/ - эта группа? Или еще есть?

Да-да, это она. Пост третий сверху, со скриншотами нашего форума.

[Jackson]

https://www.facebook.com/groups/RusCyberSec/ - эта группа? Или еще есть?

Да-да, это она. Пост третий сверху, со скриншотами нашего форума.

Собственно, там Антону тоже прямым текстом указывают на недопустимость таких мероприятий в открытом виде (в комментариях). А он не понимает. "Ну не доходит до Штирлица шифровка из центра, хотя читает он шифровку уже в 12-й раз." (с)

От пресс-центра: Антон переведён в READ ONLY на месяц.

[CHANt]

Э, да там пост мой же! "Авторские" должны будут мне! ))) Антон Сергеевич, Вы должник мой теперь, в хорошем смысле! Я на форуме монетизацией не занимаюсь А вот Админов лучше конечно спросить надо было...

[Jackson]

А вот Админов лучше конечно спросить надо было...

Там ссылка есть, всё нормально, да и нет у нас синдрома большого парохода (историю термина могу рассказать).

Всего один толковый комментарий там встретил, простой и взвешенный.
А вот "Дебилами" и "тупыми недоумками" при всём сказанном у нас на форуме их кибербезопасников никто не считал, в отличие от них - это одна из причин ограничения постинга Антону (а в перспективе и всем остальным), ибо надо отвечать и за свои слова и за тех кого "приручил".

[Technic4]

Э, да там пост мой же! "Авторские" должны будут мне! ))) Антон Сергеевич, Вы должник мой теперь, в хорошем смысле! Я на форуме монетизацией не занимаюсь А вот Админов лучше конечно спросить надо было...

Вы вошли в анналы истории))
Скоро вас и цитировать начнут

CHANt.JPG

[Jackson]

Скоро вас и цитировать начнут

Так уже, причем в качестве дисклеймера целиком. Ну и кто, спрашивается, больше понимает в безопасности, если дисклеймер придумали здесь?

Справедливости ради, надо сказать, что показательные конкурсы на тему "как угнать автомобиль", проводятся.

[+] например

[Lifanov]

Ну дайте немного времени! У меня вопросы (просьбы, багодарности) к Александру есть по его докладу... Эээ, а то опять другу другу комплиментов наговорите)))

Велкам в приват А то я уже за свой доступ бояться начинаю

[CHANt]

По первому докладу вопрос интересный был (1.23.00) – почему ломали терминалы РЗА от Сименс и АББ, а не БМРЗ, Бреслер …? Шуточный ответ - Потому что наша компания из Чебоксар. )

Второй доклад, это ответ ТС на вопрос
[quote="Exactamente"]
получается так, что на тему ИБ они не высказываются? Вот здесь же в топике была ссылка на очередную конференцию, где спикеры - половина руководство, половина маркетинг? Куда вы (собирательное "вы") деваете этих спецов от автоматизации? Кто эти люди? Хочу видео, где релейщик (раз уж тут всем энергетика ближе), запустивший с десяток крупных ПС, говорит: ребята, да, без антивируса от касперского вообще никак не прожить! [s](а глазом такой SOS моргает ...---..., мол, камрады, меня заставили))))[/quote]
[ref=#006600]Exactamente[/ref], Вам его показали! )

Александр, спасибо за доклад! В приват нет необходимости, я стараюсь вопросы задать по Вашему докладу )

В слайде «Безопасные системы» можете дополнить пункт Отказоустойчивость материалом из статьи которую специалисты ИБ дали на фейсбуке ) :
[quote] Заключение
Приведенный в статье пример анализа уровня надежности системы управления, использующей элементы автоматизированных или автоматических информационных систем, показал, что при отсутствии учета угроз информационной безопасности получаемые оценки уровня надежности системы могут быть далеки от реальных, поскольку без применения методов и средств информационной безопасности вероятность отказа системы может оказаться близкой к единице. Для данной ситуации это означает, что реальная надежность такой системы в современных условиях может рассматриваться близкой к нулю.
Научная библиотека КиберЛенинка: http://cyberleninka.ru/article/n/metodi ... z4Qjd4UbZZ
[/quote]
:)


Вопрос по слайду «Правило №1» - цитата «Электрик может поменять датчик на другой тип (например 0..6 бар, на 0..10 бар)» Какие программные методы проверки Вы имели в виду? Пример можно?

Слайд «Правило №2» Все верно, можно дополнить тем что работу конечного автомата можно и нужно протоколировать, к примеру, по номеру состояния. Пример: работы К.В. Вавилова, у него шаблон протокола для Сименс SCL, но на ST отличия минимальны.
http://is.ifmo.ru/automata/

Слайд «Правило №4» тема про дата-диоды))) Мой пример - если на RS-232 с протоколом МЭК 60870-5-101, накинуть проводки на GND и RD. Зная тип передачи, номер станции, номер АСДУ и БД телеметрии можно работать на одном порту двумя Scada, и тремя, и… можно и последний проводок в нужное время откинуть а другой присоединить и получить полный канал, оставив первичный в режиме read- only..Ну зачем кулхацкерам это знать? Еще и на конкурсе )))
Вот это то и раздражает. Не проблема снифер модбаса скачать в сети, проблема шифратор между частотником и контроллером держать. В некоторых случаях это не возможно даже…но объяснить это оппонентам не удается, они в одну кучу все гребут. Я не удивлюсь, если к ПЧ начнут пхдшнечать, приговаривая что у Вас тут модбас дает настроечные параметры менять, а мы стакснет повторить хотим ))) А если нам надо параметры на ходу перестраивать? Даже в моей практике такое было, когда к ПЧ по ходу процесса подключали другой АД и командовали сменить параметры ПЧ и что? Таких [s]дыр[/s] особенностей оборудования АСУ ТП хоть пруд пруди. Оно все соответствует каким-то спецификациям и стандартам открытым! Иначе они технологии не нужны ))) И рынок проигран будет)))

Ну и Вы докладчики, все, упомянули что снижали уровень защиты (отключали) ПО, оборудования. Ибо это шоу. Вот и не понятно, если это шоу, то для кого оно? Для менеджеров? Для производителя? Или всплеснуть руками и сказать, что вот, надо ИБ АСУ ТП внедрять?
У меня порой впечатление складывается, что еще немного и ИБ реально начнет «вскрывать» наши системы, чтобы показать, что они нужны, так как они активно набирают опыт сами и дают возможность набирать его другим )))

Ответов нет.
Ответов нет даже на простые вопросы, типа: какова структура проекта и его содержание, на основании чего Вы его будете делать? Ответ – это работа, раз работа то денег стоит. Всем смешно ))) Я же не готовый проект прошу… Это не диалог!

[VADR]

А то я уже за свой доступ бояться начинаю

Э... здесь или там?

[Jackson]

Вопрос по слайду «Правило №1» - цитата «Электрик может поменять датчик на другой тип (например 0..6 бар, на 0..10 бар)» Какие программные методы проверки Вы имели в виду? Пример можно?

Да, присоединяюсь к интересу, ибо у меня это постоянная практика.

Не проблема снифер модбаса скачать в сети, проблема шифратор между частотником и контроллером держать. В некоторых случаях это не возможно даже…но объяснить это оппонентам не удается, они в одну кучу все гребут. Я не удивлюсь, если к ПЧ начнут пхдшнечать, приговаривая что у Вас тут модбас дает настроечные параметры менять, а мы стакснет повторить хотим ))) А если нам надо параметры на ходу перестраивать? Даже в моей практике такое было, когда к ПЧ по ходу процесса подключали другой АД и командовали сменить параметры ПЧ и что? Таких дыр особенностей оборудования АСУ ТП хоть пруд пруди.

+1
И не дыры это никакие. Дырами они станут для хакеров, а в работе это фичи. Я например, на лету, то есть на работающей электростанции, меняю её структурную схему (не коммутационное состояние выключателей, а именно их количество и расположение на схеме), могу также менять номиналы источников, датчиков, то есть критические параметры - еще раз повторяюсь, на лету (станция при этом работает, меняется её режим). Для меня это никакая не дыра, а очень полезная фича, я понимаю всю опасность ошибки при таких операциях и пользуюсь этим соответственно (в обоснованных случаях и нечасто, но пользуюсь). И я также понимаю, что в системах конкрурентов, то есть практически во всех остальных, такой возможности нет потому что она потенциально опасна, то есть я чуть ли не единственный в своём роде, применяющий такие инструменты (предусмотренные разработчиком оборудования и одобренные международными класс.обществами). То есть крайне редкая фича, легко сойдущая за угрозу. Практически все мы используем подобные инструменты постоянно.
Спичками можно огонь на плите зажечь, а можно и дом сжечь - спички же никто не запрещает, правда?

Ну и Вы докладчики, все, упомянули что снижали уровень защиты (отключали) ПО, оборудования. Ибо это шоу.

А смысл?

У меня порой впечатление складывается, что еще немного и ИБ реально начнет «вскрывать» наши системы, чтобы показать, что они нужны, так как они активно набирают опыт сами и дают возможность набирать его другим )))

Аналогично.

[Looker]

Я например, на лету, то есть на работающей электростанции, меняю её структурную схему (не коммутационное состояние выключателей, а именно их количество и расположение на схеме), могу также менять номиналы источников, датчиков, то есть критические параметры - еще раз повторяюсь, на лету (станция при этом работает, меняется её режим). Для меня это никакая не дыра, а очень полезная фича, я понимаю всю опасность ошибки при таких операциях и пользуюсь этим соответственно (в обоснованных случаях и нечасто, но пользуюсь).

А, что тогда говорить, про OnLine программирование PLC и PAC? Там можно поменять почти все. Для ControlLogix знаю как, чтобы почти все стремилось к 100%.

[Jackson]

Доклад вот слушаю. Много интересных вопросов. :)

• Например, PLC-модемы где-то на электростанциях применяются?
• Люди, взятые с улицы и туда же отпущенные, которые успешно устроили диверсии, пообещали никогда так больше не делать - им поверили?
• Упомянули про то что дважды через GSM-модем, оставленный по сценарию наладчиком для удаленного конфигурирования терминала РЗА был получен доступ к терминалу, т.е. атака удалась. Это тоже пример взлома? Мне кажется это заранее подготовленная дыра, то есть диверсия с использованием прямого физического доступа. Люди на местах не совсем же идиоты. Случаи такие есть, оставляют, но не так, и номер телефона на большом транспаранте никто не пишет.
• Ещё было сказано, что цель всего этого - показать руководителям предприятий серьёзность проблемы, а также показать что ей надо заниматься. Как руководитель предприятия по горе обрывочной узкоспецифичной информации это поймёт? Разве что, испугается многих страшных непонятных слов и видео полыхающего макета ячейки? И это всё? Так что цель-то достигается, и неважно как она потом будет реализовываться, главное - будет.
• То что релейщики и АСУшники настолько закостенелые, что никого со стороны не пускают в свои системы - это, во-1-х, неправда, а во-2-х не закостенелые а консервативные, и именно консервативное стремление следовать инструкциям и выполнять нормативы и держит на объектах дисциплину. Никто из докладчиков не считал что дисциплина на объекте есть приличный залог безопасности?

Это по первой части, потом дальше досмотрю.

Отправлено спустя 44 секунды:

А, что тогда говорить, про OnLine программирование PLC и PAC?

Онлайн - это Вы имеете в виду без его остановки или всё-таки удалённое?

[Ryzhij]

Онлайн - это Вы имеете в виду без его остановки или всё-таки удалённое?

Судя по всему, коллега имел ввиду изменение программы без остановки выполнения процессором технологических функций, раз уж речь шла о RockwellAutomation. И да, в принципе нет ничего невозможного в проведении таких процедур удалённо.
Более того, выходя на рынок DCS со своим PlantPax фирма ввела в контроллеры, именно в процессоры контроллеров, механизмы аутентификации пользователей с логгированием доступа, иерархией прав и прочими фичами.
Ранее эти функции были на уровне "от честных людей", сейчас всё серьёзнее.

[Looker]

Онлайн - это Вы имеете в виду без его остановки или всё-таки удалённое?

И первое и второе, хотя под OnLine там понимается первое, второе уже метод доступа.

[Ryzhij]

Вопрос по слайду «Правило №1» - цитата «Электрик может поменять датчик на другой тип (например 0..6 бар, на 0..10 бар)» Какие программные методы проверки Вы имели в виду? Пример можно?

Вообще-то именно для решения озвученной задачи и были придуманы SMART-приборы с полевыми протоколами начиная от Hart и Braine поверх токовой петли (кто-то там через них, правда, верхний уровень атаковать собирался ;)) до всяческих полевых шин.

Критичная позиция? Проводите валидацию параметров прибора и сравнивайте с базой. Просто контрольную сумму параметров запросите из прибора. Это решение "в лоб". При этом используют или AI/AO-модули со SMART-функциями, или ставят SMART-мультиплексоры.
Можно также для диагностики брать по полевой шине, например, температуру с расходомера и сравнивать её с показаниями датчика температуры в той же линии.

Можно использовать прогностические модели и сравнение результата с ожиданием.
Простейший пример, это оценка величины рассогласования между заданием и позицией клапана по обратной связи с позиционера. Сравнение профиля давления (уровня, температуры, плотности...) с ожидаемым также бывает полезно. Так, практически все неполадки в работе приборов КИПиА вылезут как рассогласование между ожидаемым и фактическим давлением в баке короткоцикловой адсорбции. Там давление при работе постоянно меняется. Как только рассогласование между ожидаемой и измеренной величинами превышает порог - пара адсорберов автоматически выводится из работы, а агрегат переходит на другой цикл работы. Скажем с 12-парного цикла на цикл с 10-ю парами адсорберов.

Вот, как-то так...

Ну, а про дублирование и троирование приборов на ответственных позициях, думаю, все слышали.

[Ryzhij]

Онлайн - это Вы имеете в виду без его остановки или всё-таки удалённое?

И первое и второе, хотя под OnLine там понимается первое, второе уже метод доступа.

Для параноиков добавлю:
Отключить возможность удалённого программирования (а заодно и локального) проще простого - поверни ключ CPU в RUN-позицию, вынь его и унеси с собой ;)

[Jackson]

Отключить возможность удалённого программирования (а заодно и локального) проще простого - поверни ключ CPU в RUN-позицию, вынь его и унеси с собой ;)

Дык да, это такие очевидные вещи, о которых тут и не говорят, а никто и не спрашивает. Вот мужики-то и не знают.

Я заметил, что абсолютно все так называемые атаки начинались с одного и того же условия: АСУшная сеть расшарена в интернет каналом с руку толщиной, а в отдельных случаях и с вывеской "добро пожаловать, хакеры!" (пример с GSM и PLC модемами). Там же сказал один человек из зала, что даже диверсия в Иране со стакснетом не показательна, потому что там с одних и тех же АРМов и порно смотрели и центрифугами управляли, так что кроме стакснета там еще полное собрание троянов можно было поиметь совершенно не напрягаясь, с помощью которых не то что стакснет, а винду на АРМах переустановить. Там и в подобных случаях не Кибер, а самая обычная безопасность подорвана изнутри изначально. И с этой безопасности и дисциплины и надо начинать (во многих случаях, уверен, ей и закончится), а уж потом в высокие технологии лезть.

Можно какие угодно сложные замки на дверь ставить, от многоуровневых тяг до СКУДа с контролем по сетчатке глаза, но если местный рабочий привык открывать двери болгаркой вместо ключа - грош цена всей системе, пока этот рабочий не уволен.

Больше того, если уж речь о высоких технологиях, второй докладчик наглядно продемонстрировал, по какой сетевой активности в конкретном случае можно однозначно бить тревогу: включать сирены, мигалки, вызывать спецназ переводить систему в ручное местное управление и взрывать к черту отключать внешний канал, который за каким-то рожном там есть.

[Lifanov]

По первому докладу вопрос интересный был (1.23.00) – почему ломали терминалы РЗА от Сименс и АББ, а не БМРЗ, Бреслер …? Шуточный ответ - Потому что наша компания из Чебоксар. )

После чего, кстати, последовал серьезный ответ - по причине структуры вендоров оборудования на подстанциях сейчас.

Вопрос по слайду «Правило №1» - цитата «Электрик может поменять датчик на другой тип (например 0..6 бар, на 0..10 бар)» Какие программные методы проверки Вы имели в виду? Пример можно?

Вообще, в оригинале фраза "программные" не звучала - http://www.slideshare.net/ssuser5af272/safe-by-design , слайд 12.
Но и это мы тоже изредка делали, даже двумя вариантами. Хотя обычно такие вещи опытные операторы у нас отлавливали чисто глядя на тренды глазами.

Вариант 1. Обычно реализовывался там, где датчик давления использовался для контроля уровня в баке. Объем партии на линии всегда идет примерно один и тот же. Бак всегда заполняется процентов на 80-90 (иначе из-за мешалки будет брызгать через край).
Подвариант 1а, датчик поставили более хлипкий. Тогда до достижения тех же 90-95-100% сработает концевик максимального уровня.
Подвариант 1б, датчик поставили более могучий. У нас обычно управление окончанием перекачкой в автоматическом режиме делалось как "уровень бака-источника менее N & уровень бака-приемника более M & насос работает на прямую подачу & уровень не растет более таймаута". Так вот, в этом случае второе условие не отработается, оператор обратит внимание, что перекачка длится дольше обычного и секция формально не освобождается.

Вариант 2. Расходомеры в пищевке ставить дорого, а подачу на технологическое оборудование делать надо. Поэтому в не очень ответственных местах расход меряли либо по производной от уровня в баке источнике (скользящим средним от изменения уровня за заданное время), либо по давлению в трубе после насоса (у нас стояли шестеренчатые насосы, у них давление прямо пропорционально оборотам и расходу). Здесь просто смотрели на корелляцию частоты на моторе (в этих местах обычно стояли частотники) и давления. Частотник врать не может, и если например для достижения 3 бар надо крутить насос не до 30 герц, а до 45 - значит или насос скоро навернется, или датчик давления врет.

Более того, это помогало "лечить" даже смежные ситуации. Если из-за каких-то косяков по водяной системе начинала бродить воздушная пробка - падал проток в рубашке обогрева (может, даже локально), тогда продукт начинал застывать на датчике давления и давление просто переставало меняться.

А со временем, контроль был сделан просто организационно. Мастер смены писал тикет на замену датчика, киповец менял, а закрывающий тикет автограф в журнале ставил оператор после прогона первой партии. За самовольное ковыряние киповцев в оборудовании просто били по рукам.

Слайд «Правило №2» Все верно, можно дополнить тем что работу конечного автомата можно и нужно протоколировать, к примеру, по номеру состояния. Пример: работы К.В. Вавилова, у него шаблон протокола для Сименс SCL, но на ST отличия минимальны.
http://is.ifmo.ru/automata/

Логи - это вообще отдельная тема. Что, как, куда и (главное) кто вообще знает о существовании этих логов :)

Слайд «Правило №4» тема про дата-диоды))) Мой пример - если на RS-232 с протоколом МЭК 60870-5-101, накинуть проводки на GND и RD. Зная тип передачи, номер станции, номер АСДУ и БД телеметрии можно работать на одном порту двумя Scada, и тремя, и… можно и последний проводок в нужное время откинуть а другой присоединить и получить полный канал, оставив первичный в режиме read- only..Ну зачем кулхацкерам это знать? Еще и на конкурсе )))

Я, вообще-то, рассказывал о том, почему так делать нельзя. Любое ружье на сцене выстрелит (по классику). Если сигнал нужно менять - изменения в лог. Если сигнал менять не нужно - в read-only его. Так и только так!!!
Был прецендент, когда давление аварийного отключения насоса выставили настройкой с доступом оператору. Что-то на линии подстыло, насос начал останавливаться по давлению, а оператору с мастером хотелось партию в свою смену закрыть, а не следующим оставлять. Ну, они и решили - давай насосом продавим. А чтобы не выбивало - поставили при датчике 0...6 бар уровень отключения в 10 бар. Ну, на фильтре сорвало крышку, которая держалась на шести шпильках М8, была большая лужа. После этого настройку убрали, вбили константу прямо в контроллер; аварию "останов по давлению" естественно оставили. Чтобы даже не пробовали.

Ну и Вы докладчики, все, упомянули что снижали уровень защиты (отключали) ПО, оборудования. Ибо это шоу. Вот и не понятно, если это шоу, то для кого оно? Для менеджеров? Для производителя? Или всплеснуть руками и сказать, что вот, надо ИБ АСУ ТП внедрять?
У меня порой впечатление складывается, что еще немного и ИБ реально начнет «вскрывать» наши системы, чтобы показать, что они нужны, так как они активно набирают опыт сами и дают возможность набирать его другим )))

Вы, видимо, невнимательно слушали. Конкурс длится сутки-двое. Вначале всегда защита поднята вся и по полному профилю. Как минимум после половины конкурса становится понятно - держит внешний периметр или нет. Далее, обычно защита делается эшелонированная. В этот момент снимается внешний периметр и начинаем смотреть, как держит следующий. Потому что это реальный относительно бесплатный шанс проверить стойкость своей системы к внешним воздействиям.
Самолеты гражданские тоже проверяются и на перегрузки на вираже, и на удар молнии, и на жесткую посадку какой в реальной жизни скорее всего и не будет - чтобы знать, где предел прочности конструкции до того, как внутрь самолета сядет пассажир.

Зачем туда пришел я, представитель Advantech. Ровно по вышеописанной причине. Для меня это типа тестирования на ЭМС. Я хочу знать, какие воздействия мое железо может выдержать самостоятельно, чисто за счет конфигурирования, а от каких я вынужден буду рекомендовать применить дополнительные средства.

Насчет угрозы безопасности страны. Вы смотрели хоть, что в президиуме сидит и по залу ходит?
2015 год - Центр информационной безопасности ФСБ (пруф http://hitech.vesti.ru/news/view/id/7058, второй блок)
2016 год - ФСТЭК, Росфинмониторинг (пруф http://apps4all.ru/post/05-18-16-camoe- ... -phdays-vi)
Просто посетителями подходили и те же ФСБшники, и представители МРСК, и ребята просто с номерами в/ч вместо названия организации (судя по вопросам - видимо какие-то МО-шные НИИ). На стенде, кстати, у меня ковырялась отнюдь не школота - в основном пентестеры от организаций и банковские безопасники.

Насчет "сами ИБшники начнут вскрывать". Поверьте, вы им не интересны. Во-первых, без контракта на аудит это уголовка, во-вторых тратить собственные силы без оплаты не интересно никому. Особенно когда есть оплачиваемый вектор применения собственных сил.

Вы знаете, пришли бы и посмотрели сами для начала. А то получается по Жванецкому - "давайте спорить о вкусе устриц и кокосовых орехов с теми, кто их ел".

Уф. Излил, больше на эту тему обещаю здесь не высказываться ;)
Пошел спать.

[VADR]

Я заметил, что абсолютно все так называемые атаки начинались с одного и того же условия: АСУшная сеть расшарена в интернет каналом с руку толщиной, а в отдельных случаях и с вывеской "добро пожаловать, хакеры!" (пример с GSM и PLC модемами).

Не совсем так, но суть это меняет незначительно. Если взять ту самую презентацию, по которой безопасникам так не хотелось слышать претензии - там нет подключения к интернету и вирусов, принесённых на флешках. Есть система, в которой эксплуатируется уязвимость софтины под названием FieldCare, которая может как-то проявиться только в представленной схеме, причём схема эта нештатная (Надеюсь, до разработчиков FieldCare довели информацию об уязвимости? Надо будет спросить в E+H...). То есть - общее в данном случае с другими атаками - специально подготовленная схема, являющаяся обязательным условием либо наличия уязвимости, либо возможности её эксплуатации. То есть - достаточно разработчику системы не быть клиническим дебилом продумывать свои технические решения и как можно меньше (в идеале - никак не) колхозить, и вот именно эти конкретные проблемы исключаются.
При этом проблема-то реально существует:
1. Да, большинство платформ АСУТП разрабатывалось исходя из того, что система физически изолирована, а значит - атаковать её невозможно. Да, реалии таковы, что это не всегда так: как минимум, наличие OPC-сервера, имеющего доступ к оборудованию и доступного из офисной локалки - обычное дело (а значит, в теории OPC-сервер можно ломануть и закинуть на него софт, которым можно как-то нагадить в системе). И это - вполне штатная схема.
2. Да, в большинстве своём промышленные сети разрабатывались без учёта секурности, и вмешаться в них - проблема небольшая. Однако шлюзы, которые для них появились (кстати, реально появились, но пока слегка смешные) проблемы не решают: никак не исключается возможность подключения между шлюзом и целевым устройством, и при этом - дополнительное устройство в последовательной цепочке увеличивает вероятность выхода всей цепочки из строя (кстати, вопросами надёжности меня там тоже пытались ткнуть, но ответить я уже не смог из-за бана). Поставить по шлюзу внутрь каждого устройства - тоже не выход, ибо ко всей этой радости понадобится дополнительный настроечный и диагностический интерфейс. Как "костыль" для защиты от перенастройки устройства в поле производитель может, к примеру, закрыть такую возможность паролем (закинул пароль по определённому адресу - имеешь несколько минут на настройки, закинул ноль - закрыл доступ), но это не решает проблему с потенциальной подменой устройства. По большому счёту, для решения таких проблем нужна разработка новых протоколов/интерфейсов, секурных от устройства до устройства, с блекджеком и шлюхами цифровой подписью и шифрованием канала, на физике, аналогичной существующей... но кто это потянет?

Отправлено спустя 7 минут 24 секунды:
3. Чуть не забыл про ПАЗ. Как ни колдуй, какие шлюзы не изобретай - там чистая физика. Подменяй - не хочу, искажай на здоровье, кроме закона Ома ничего знать не надо (разве что ещё чуть-чуть Кирхгофа). Раз уж получил физический доступ к объекту. И тут при имеющейся нормативке сделать нельзя ничего. Совсем. А уж изменение нормативки по ПАЗ...

[Ryzhij]

Дык да, это такие очевидные вещи, о которых тут...

Так ведь и Вы - не параноик...

[Jackson]

Дык да, это такие очевидные вещи, о которых тут...

Так ведь и Вы - не параноик...

Так в том дело что это нормалально когда я не задаю таких вопросов (да и то ненормально - всё меняется и надо быть в курсе), а вот что ОНИ этим даже не пытаются интересоваться - ненормально. Я это хотел сказать. Первый докладчик - опытный человек, создавал и отлаживал системы, ездил по объектам, как говорит. Думаю что это ему и мешает - самоуверенность, т.к. исходники для примеров он брал ну просто смешные. Кстати быстрая сбивчивая речь говорит о бессистемности знаний - язык не успевает за мыслями. Когда человек чётко или наоборот сбивчиво формулирует своё мнение - это говорит далеко не только о его ораторском навыке.

Логи - это вообще отдельная тема. Что, как, куда и (главное) кто вообще знает о существовании этих логов :)

Очень странное мнение. Вот как раз сегодня с утра получил подарок в виде обесточивания на удалённом объекте (автоматика сама погасила все генераторы) - как раз и разбираюсь, это был сбой, ошибка оператора или диверсия. И как Вы думаете, с помощью чего? Логи АРМов, логи сервера СКАДА, логи каждого контроллера.

Если кто-то не знает о существовании логов, значит должен знать (или должен знать что в конкретном устройстве их нет), это его обязанность. Или должен знать где узнать. Короче кто-то должен за это отвечать. И ответ должен быть не "да х.з. что там за логи, кто о них слышал", а чёткий и определённый "да, посмотрю", "не знаю, пойду узнавать", "логи не пишутся/утеряны/недостаточно полные". А такой ответ - "да х.з. что там за логи, кто о них слышал" - это бардак о котором я писал выше, с таким подходом нельзя подходить к защите объекта, и к самому объекту тоже. Супротив такого бардака не сдюжит никакая система защиты.

Найдите пожалуйста в толковых словарях смысловое значение слова "система". Любая система автоматически включает в себя набор определённых правил, которые должны соблюдаться безоговорочно, а не так.

В целом, вторую часть еще пока не осилил, а по первой есть позитив, есть познавательные вещи, но и присутствует явное ощущение бессистемности знаний со всеми вытекающими помноженных на рвение создавать и творить - дров с таким подходом будет переломано немало, главное что не только своих - вот в чём всё дело, если б только своих то никто бы тут так не возбуждался.

А то я уже за свой доступ бояться начинаю

Э... здесь или там?

Тут ещё никто не выкинут или наказан исключительно из личной неприязни, даже если она и имеет иногда место.