Ещё о вирусоделии на SIMATICах

Apr. 10th, 2017 08:30 am
1500py073: (Nouse)
[personal profile] 1500py073
Как уже ранее поднимал вопрос, о страшном потенциальном вреде включения ПЛК в общие сети предприятий, в посте Сименс это не только ценный мех, но и... рекомендую посмотреть более подробную работу, на эту тему. Что она на немецком, это совсем не беда, гугл помогает понять детали того, что и так каждому моральному человеку ясно из общетехнических терминов, великолепных иллюстраций и здравого смысла.
https://os-s.net//thesis/MA_Maik_Brueggemann.pdf

Tags:
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Date: 2017-04-10 08:42 am (UTC)
From: [identity profile] fixik-papus.livejournal.com
Знаем-знаем
У нас на эту тему аж вебинары проводятся.
Уроки Stuxnet изучены и усвоены.

Кстати, банится все это просто элементарно.

Сейчас идет проработка вопроса на тему разрешения доступа к ПЛК даже из внутренней фабричной сети только при вставленном в программатор индивидуальном токене-дешифровщике.

Date: 2017-04-10 10:29 am (UTC)
From: [identity profile] aterentiev.livejournal.com
>только при вставленном в программатор индивидуальном токене-дешифровщике

а можно , если не секрет, немного о идее поподробнее?
куда собрались вставлять токен? в контроллер или в ES?

Date: 2017-04-10 10:47 am (UTC)
From: [identity profile] fixik-papus.livejournal.com
В программатор с ES и TIA
Токен разрешает обмен данным с контроллерной сеткой по Ethernet
При отсутствии таковой - общение с контроллером блокируется

(надеюсь, Вы понимаете, что контроллерная сеть это отдельная сеть, никак не пересекающаяся со всеми остальными. Air gap, да)

Date: 2017-04-10 11:00 am (UTC)
From: [identity profile] aterentiev.livejournal.com
Получается, что Terminal-сетка всегда зашифрована, я правильно понял? Но в этом случае должна быть реализация ответной части шифрователя на контроллерной стороне и привязка токена к конкретному контроллеру?
Есть некоторые сомнения в защищенности подобного соединения (раз есть софт-решение для расшифровки, то появится и хак), но уже лучше, чем ничего...
Edited Date: 2017-04-10 11:00 am (UTC)

Date: 2017-04-10 12:14 pm (UTC)
From: [identity profile] fixik-papus.livejournal.com
Не совсем
Это для исключения несанкционированного доступа с программатора в сеть (будь то физическое лицо или злобный червь)

Date: 2017-04-10 02:06 pm (UTC)
From: [identity profile] aterentiev.livejournal.com
Ну если только так, то можно просто вытаскивать сетевой кабель. Air gap :)

Date: 2017-04-10 02:23 pm (UTC)
From: [identity profile] fixik-papus.livejournal.com
И это делается штатно
Однако ж, нужно и программировать, как бы

Date: 2017-04-10 07:43 pm (UTC)
From: [identity profile] 1500py470.livejournal.com
А вебинары кто проводит — материнская компания, Сименс или третья фирма/инструктор по совету материнской компании/своих безопасников?
Edited Date: 2017-04-10 07:44 pm (UTC)

Date: 2017-04-10 08:40 pm (UTC)
From: [identity profile] fixik-papus.livejournal.com
Головное подразделение айтишное свое.
А уж с кем и как они там консультируются - я не знаю.

Date: 2017-04-10 08:50 am (UTC)
From: [identity profile] fixik-papus.livejournal.com
Ах, да, первым пунктом во всех рекомендациях-инструкциях идет
"все виды и сорта web-серверов во всем оборудовании должны быть забанены на всех возможных уровнях, от собственно ПЛК до коммутаторов и гейтов сети"
Там просто невероятное количество дыр. Везде и у всех.

При необходимости телесервиса - это разрешается вручную на нужное время и делается через отдельную виртуалку и с отдельно настроенной маршрутизацией, так, чтобы внешнее подключение физически и в принципе не могло попасть во внутреннюю сеть кроме как к одному конкретному устройству.
  • Add Memory
  • Share This Entry
Flat | Top-Level Comments Only

Profile

1500py073: (Default)
1500py073

March 2019

S M T W T F S
      1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 2223
24 25 26 27 28 29 30
31      

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Jul. 11th, 2025 06:55 pm
Powered by Dreamwidth Studios