آموزش امینت سیستم های کنترل صنعتی (SCADA)
تعریف سیستم های کنترل نظارت (SCADA)
در اثر فاجعه 11 سپتامبر و با تهدید رو به رشد “تروریسم اینترنتی”، یک سوال بسیار مهم در مورد آسیب پذیری سیستم های نظارت بر سیستم های کامپیوتری (SCADA) که برای نظارت و کنترل بر سیستم های توزیع آب، خطوط لوله نفت و گاز و شبکه برق ما مورد استفاده قرار می گیرد، ایجاد شده است. درباره ی این موضوع بسیار گفته و نوشته شده است، اما هیچ پاسخ واحدی به این سوال اساسی وجود ندارد. بسته به ویژگی های خاص یک سیستم SCADA، این سیستم کم و بیش مستعد چنین حمله ای است. معماری چنین سیستمی، همراه با فناوری رایانه، طی بیست سال گذشته متحول شده است و طرح های فعلی، گرچه انعطاف پذیرتر و کاربردی تر هستند، ممکن است آسیب پذیرتر باشند.
همچنین مهم است که درک کنیم که حمله به چنین سیستمی می تواند به همان اندازه که ممکن است از یک منبع خارجی بیاید، از “داخل” بیاید. این مقاله راه هایی را مورد بررسی قرار می دهد که یک سیستم SCADA می تواند مورد حمله قرار گیرد و راه هایی برای کاهش یا از بین بردن احتمال چنین حمله ای مورد بحث قرار می دهد.
سیستم های کنترل نظارت اسکادا
سیستم های کنترل نظارت (SCADA) از اوایل دهه 1970 به عنوان وسیله ای برای نظارت و کنترل از راه دور، فرایندهای بطور گسترده توزیع شده از لحاظ جغرافیایی، مانند تصفیه و توزیع آب، خطوط لوله نفت و گاز و انتقال و توزیع برق مورد استفاده قرار گرفته است. معماری اصلی این سیستم ها شامل یک سیستم کامپیوتری “مرکزی” است که با استفاده از یک یا چند طیف وسیع از فن آوری های مخابراتی، به واحدهای متعدد از راه دور و الکترونیکی (به نام RTU ها یا واحد های پایانه دوردست) ارتباط دارد که به تجهیزات فرایند مبتنی بر میدان متصل می شوند (نگاه کنید به شکل 1.0).
طراحی سیستم های SCADA با گذشت زمان
با گذشت زمان، در دهه های 1980 و 1990 که ریزپردازنده، رایانه شخصی و تکنولوژی شبکه تکامل یافت، طراحی سیستم های SCADA تغییر یافت تا بتواند با جدیدترین فن آوری ها آمیخته شود. امروزه یک سیستم مدرن SCADA (از دیدگاه معماری) بیشتر شبیه یک شبکه IT شرکتی است تا یک سیستم کنترل در زمان واقعی .(نگاه کنید به شکل 1.1). اما نکته این است که یک سیستم SCADA یک سیستم کنترل زمان واقعی است و حمله موفقیت آمیز به چنین سیستمی می تواند عواقب بسیار جدی و گسترده ای (از نظر تلفات زندگی و آسیب های فیزیکی) نسبت به حمله “محروم سازی از سرویس” به یک وب سایت شرکتی داشته باشد.
هدف یک حمله
هدف از حمله سایبری به سیستم SCADA می تواند تلاش یک هکر برای اثبات اینکه می تواند دفاع شما را بشکند یا یک تروریست که می خواهد به خط لوله حمل و نقل محصولات نفتی آسیب برساند، باشد. احتمالا کسی ممکن است یک حمله را برای اهداف جاسوسی (صنعتی) ایجاد کند یا اطلاعات “غلط” را به سیستم SCADA منتقل کند. جدی ترین تهدیدها آنهایی هستند که قصد دارند به طور جدی سیستم را غیرفعال کنند (که ممکن است شامل تولید داده های کاذب باشد تا اپراتورها در جریان مشکلات در حال توسعه قرار نگیرند) یا آن حملاتی که با دستورالعمل های کنترل نامناسب، سعی در تحت کنترل درآوردن سیستم برای ایجاد آسیب به فرآیند یا تجهیزات اند.
استحکام سیستم SCADA
مهم است که به یاد داشته باشید که اکثر سیستم های SCADA با اضافه کاری کامل و احتمالا برخی سطوح اضافی برای تحمل خطا طراحی شده اند. این به این دلیل است که (به دلایلی) مردم هرگز به قابلیت اطمینان تجهیزات الکترونیکی اعتماد نداشته اند. این بدان معنی است که از پا درآوردن چنین سیستمی از یک سرور معمولی IT سخت تر خواهد بود. با این وجود، اگر یک تروریست جدی سیستم SCADA را هدف قرار داد، شیوه های “سایبری” برای رسیدن وی به هدفش وجود دارد.
بیشتر بخوانید: آشنایی با SCADA و اهمیت آن
امنیت فیزیکی
این مقاله امنیت فیزیکی را مورد توجه قرار نمی دهد، اما واضح است که نباید به کسی اجازه داد که با یک اره برقی، تبر یا تفنگ ساچمه ای به سیستم SCADA شما نزدیک شود و باید در صورت امکان از آن جلوگیری شود. و در واقع، امنیت فیزیکی حیاتی است، و این موضوع شایسته ی یک مقاله جداگانه است. این مقاله به حملات غیر فیزیکی (مواردی غیر از آسیب فیزیکی، قطع برق، و غیره) در برابر سیستم های SCADA می پردازد.
اتصالات خارجی
با سیستم های قدیمی و اصلی SCADA تنها ارتباط خارجی با دنیای بیرون، کانال های مخابراتی مورد استفاده برای “نظرسنجی” و ایجاد ارتباط با تجهیزات RTU در محل های دوردست است(نگاه کنید به شکل 1.0). فن آوری های ارتباطی که برای این منظور استفاده می شود، می توانند هر چیزی باشد از تجهیزات مخابراتی مایکروویو شخصی، خانگی و نصب شده تا مدارهای تلفنی اجاره شده (که توسط “Ma Bell” ارائه میشد) یا رادیوی نیمه دوطرفه تحت لیسانس. ارتباطات در این مدارها با استفاده از پروتکل های ارتباطی تخصصی، اختصاصی، و مخصوص فروشندگان مدیریت میشد.
این پروتکل ها شامل قابلیت های تشخیص خطا و اصلاح اساسی است، اما نه در حدی ارتباطات ایمن را تضمین کند. با گذشت زمان، ناسازگاری در میان پروتکل های اختصاصی، همراه با بیکار شدن فروشندگان SCADA / RTU ، باعث شد مشتریان سیستم RTU و SCADA به دنبال پروتکل های “استاندارد” باشند.
استاندارد بودن پروتکل
“استاندارد” بودن یک پروتکل به این معنی است که به خوبی منتشر و مستند سازی شده و از منابع مختلف قابل دسترسی است. کسی با یک دستگاه تست RTU (یک لپ تاپ که نرم افزار شبیه سازی پروتکل را اجرا می کند) و یک رادیوی سازگار می تواند در واقعیت، در نزدیکی یک سایت RTU نشسته و دستورات کنترل را که توسط سیستم RTU پذیرفته میشود را بفرستد آنطور که گویا از سیستم مرکزی SCADA فرستاده می شود. اگر وی بتواند به مدار تلفن در یک سایت از راه دور دسترسی پیدا کند، تحت کنترل در آوردن RTU حتی آسان تر خواهد بود. این نوع حمله به طور کامل سیستم میزبان را نادیده می گیرد و به طور مستقیم به مکان هایی که کنترل و نظارت انجام می شود، می رود.
نحوه کار RTU و PLC ها
برخی از RTU ها و اکثر PLC ها دانلود کنترل منطق از طریق پورت های ارتباطی خود را پشتیبانی می کنند. این امر امکان یک برنامه ریزی مجدد تروریستی از یک واحد راه دور از طریق این طرح را میسر می سازد.
استفاده از سیستم های SCADA برای کارکنان فنی
برای کمک به کارکنان فنی و پشتیبانی فروشنده سیستم دراصلاح سیستم نرم افزار و مشکلات پیکربندی (بدون رفتن به سایت مشتری)، بسیاری از سیستم های SCADA در حال حاضر همراه با یک پورت تلفن dial-in ارائه می شوند. (نگاه کنید به شکل 3.0)
این کار به فردی با شماره تلفن و شناسه / رمز معتبر اجازه دسترسی به سطح مدیریتی را در سیستم SCADA میداد. بدتر از همه، بسیاری از این پورتهای دسترسی یک رمز عبور / شناسه «مخفی» را که تنها در دسترس فروشنده بود (و هر کسی که تاکنون برای این فروشنده کار می کردند) را پشتیبانی می کردند، تا در صورتی که مشتری کاملا فایلهای شناسه / رمز عبور سیستم را خراب کردند، مشکلی پیش نیاید.
نحوه ورود هکرها به سیستم ها
هکرها با “شماره گیر جنگی” و نرم افزار رمز شکن نیز می توانستند به این بنادر حمله کنند. ورود به سیستم از طریق چنین پورت هایی اغلب بالاترین سطح دسترسی به سیستم را اعطا می کند. اما اکثر هکرها از دنیای یونیکس / مایکروسافت بیرون می آیند، چرا که از زمانیکه سیستم های آنلاین در دهه 1980 متداول شدند (از سیستم های بولتن بورد شروع شد و به اینترنت منتهی شد) این دو رایجترین سیستم عامل ها بوده اند. این بدان معنی است که بسیاری از افراد با سیستم عامل های موجود در این سیستم های قدیمی SCADA هیچ آشنایی نداشتند. این دسترسی آنها را محدود می کرده.
پشتیبانی از رایانه های اضافی از راه دور
همانطور که رایانه های شخصی شروع به تبدیل شدن به پایه ای برای ایستگاه های کاری اپراتور شدند، در نظر گرفتن پشتیبانی از رایانه های اضافی، که از راه دور از طریق مدارهای ارتباطی تلفنی متصل شوند ممکن شد. به طوری که یک مدیر کارخانه یا مهندس بتواند در مواقع اورژانسی، به جای بازگشت به کارخانه یا مرکز، از کامپیوتر شخصی خود از خانه “dial-in” کنند.
همانند “پورت های” تعمیر و نگهداری و پشتیبانی، این قابلیت یک نقطه نفوذ برای یک هکر را فراهم میکرد. بدون نیاز به دانستن چیزی در مورد پروتکل ها، اگر دسترسی به مدار ارتباطی شماره گیری ایجاد می شد، می توانست یک فرصت کامل برای حمله “باز پخش” که در آن پیام ها ثبت می شوند و بعد از آن دوباره ارسال می شود باشد.
اکثر تحلیلگران پروتکل تجاری برای این کار کافی هستند. بسیاری از سیستم های مبتنی بر یونیکس از استاندارد X-Window برای این ایستگاه های کاری از راه دور استفاده می کردند. این بدان معنی بود که هر کس با یک کامپیوتر، نرم افزار X-Window و دسترسی به مدار ارتباطی، یک کنسول اپراتور کامل را دارا بود، که معمولا تنها با یک ورود شناسه / رمز عبور محافظت می شد.
اتصال سیستم های SCADA به سیستم های کسب وکار
از آنجا که سیستم های SCADA مقدار زیادی از داده ها را جمع آوری می کنند و گزارش های زیادی را تولید می کنند، منطقی بود که در نهایت سیستم های SCADA به سیستم های کسب و کار متصل می شدند تا مبادله خودکار این داده ها انجام شود.
در پیاده سازی های اولیه این کار با نرم افزار های کاربردی سفارشی انجام می شد. اما در چندین سال گذشته این کار با شبکه های TCP / IP و برنامه های کاربردی آی پی استاندارد مانند “ftp” (پروتکل انتقال فایل) یا مبادلات داده XML (صفحه وب) انجام میشده است.
هنگامی که یک سیستم از طریق TCP / IP به دیگری (با هر تعداد دیگری سیستم در میان آنها) متصل است، اگر مقررات امنیتی فعال نشود، یک کاربر در سیستم “دیگر” راه های متعددی برای نفوذ به سیستم هدف دارد، بسیار شبیه به یک سیستم نفوذ در داخل پورت تعمیر و نگهداری (نگاه کنید به شکل 1.1).
که این ما را به آسیب پذیری خارجی “نهایی” می رساند: اتصال به اینترنت. همانطور که قبلا ذکر شد، هنگامی که یک سیستم با استفاده از شبکه TCP / IP متصل می شود، کاربر در هر سیستم دیگر در همان شبکه، بدون در نظر گرفتن اینکه چند رایانه دیگر “بین” آنها هستند، می توانند به سیستم هدف دسترسی پیدا کند. این زیبایی و قدرت طراحی اینترنت “IP” است.
امنیت سیستم های SCADA
اما همچنین این بدان معنی است که هر شخصی، در هر نقطه از جهان، با اتصال به اینترنت می تواند تلاش کند تا وارد سیستم SCADA شما شود. بنابراین، اگر شما مقررات خاصی را برای امنیت برقرار نکنید، اگر سیستم SCADA شما به یک سیستم متصل شود که به یک سیستم متصل است که به … و در نهایت به سیستمی که متصل به اینترنت است متصل شود، گویا سیستم SCADA شما به اینترنت متصل است. این کار سیستم شما را در معرض هکرها، کرم ها و انواع حملات اینترنتی قرار می دهد.
عرضه سیستم های اسکادا
بسیاری از سیستم های اسکادا قدیمی اوریجینال (دهه ی شصت و هفتاد میلادی) در رایانه های شخصی با سیستم عامل های اختصاصی و توسعه یافته توسط فروشنده عرضه می شدند. سپس، در دهه 1980، سیستم عامل های “استاندارد” مانند یونیکس و VAX / VMS در دسترس قرار گرفت. این اتفاق توسعه و پشتیبانی سیستم را بسیار ساده تر کرد. اما همانند پروتکل های RTU استاندارد، این اتفاق همچنین تعداد زیادی از مردم را از عملکرد سیستم های مبتنی بر این فناوری تجاری آگاه ساخت.
حفره های امنیتی در سیستم های SCADA
در ده سال گذشته تعداد بیشتری از سیستم های SCADA بر اساس تکنولوژی سیستم عامل مایکروسافت بوده اند. به دلایل مختلف، هکرها علاقمندند تا محصولات مایکروسافت را مورد حمله قرار دهند (بسیاری از این افراد از جهان یونیکس / لینوکس خارج می شوند) و تعداد زیادی از حفره های امنیتی شناخته شده و مستند در محصولات نرم افزار بیل گیتس وجود داشته است. این موارد می تواند مورد سوء استفاده قرار گیرد اگر حفاظت مناسب (مانند آخرین بسته های سرویس مایکروسافت) به کار گرفته نشود.
تهدیدات داخلی
تنظیم یک مانع امنیتی سایبری در اطراف سیستم SCADA شما یک ایده خوب است و نه یک تلاش ناچیز. اما بسیاری از راه هایی که می تواند یک سیستم SCADA را غیرفعال ، آسیب دیده یا مورد استفاده برای خرابکاری کند ، “کار داخلی” است. متاسفانه سرخوردگی با دولت، یک حرفه یا حتی یک رابطه، می تواند شخص نرمالی را در مسیری قرار دهد که آسیب برساند. بمب گذاری در شهر اوکلاهما یک یادآوری دقیق از این واقعیت است. اگرچه همه ما می خواهیم به همکارانمان، مدیران و کارمندان اعتماد کنیم، ، آنها هم انسان هستند و در یک محیط اقتصادی که در آن بسیاری از شرکت ها در حال کوچک سازی هستند، همکاران سابق (و کارکنان سابق فروشندگان) در بیرون با دانش بالقوه خطرناکی حضور دارند.
اقدامات تهدیدات داخلی
یک تهدید داخلی می تواند به صورت یک اقدام اتفاقی باشد که سبب آسیب می شود و یا یک اقدام عمدی باشد. رویه های امنیتی خوب باید یکی از موارد را تا حدی غیرممکن سازد. همانطور که قبلا ذکر شد، این مقاله امنیت فیزیکی را شامل نمی شود، که شامل موضوعاتی مانند کنترل دسترسی، تأیید اعتبار و نظارت است. اما مسائل مربوط به رویه امنیتی جزء مرکزی پیشگیری از تهدید داخلی هستند و شامل عملکردهایی مانند مدیریت رمز عبور می شوند.
ایجاد آسیب به سیستم SCADA
چندین سناریوی ممکن برای ایجاد آسیب به سیستم SCADA از “داخل” وجود دارد. یکی از راه ها معرفی نرم افزارهای مخرب در سیستم است. یک کارمند که نرم افزار غیر مجازی را از خانه (احتمالا نرم افزار به اشتراک می گذارد) به محل کار می آورد و آن را به رایانه رومیزی خود منتقل می کند (یا رایانه ای که به عنوان یک ایستگاه کاری کار می کند) احتمال ایجاد یک ویروس، کرم، اسب تروجان یا سایر ” عفونت ” نرم افزاری را به سیستم های متصل را بوجود می آورد. همانطور که ایستگاه های کاری اپراتور به کامپیوتر تبدیل شده اند، این به یک تهدید قطعی برای سیستم های SCADA تبدیل شده است. بسته به طراحی سیستم، و O.S. سرورها، نتایج این ممکن است فقط از دست دادن یک کامپیوتر خاص باشد، یا این می تواند در سراسر سیستم گسترش یابد.
برنامه های کاربردی د حال اجرا در SCADA
برنامه های کاربردی در حال اجرا در رایانه مرکزی SCADA اغلب دسترسی غیرمستقیم به خروجی های کنترل RTU های مبتنی بر میدان دارند. یک فرد با تجربه برنامه نویسی در یک محصول SCADA (که از سوی فروشنده سیستم موجود است) کاملا می تواند یک برنامه کاربردی را توسعه و معرفی کند که می تواند هشدارهای انتخاب شده و دستورات کنترل مشکل را خاموش کند. تغییر در این امر می تواند تغییراتی در یک برنامه نظارتی موجود ایجاد کند تا آسیب های مورد نظر را در بر گیرد. این به طور کلی نیاز به اطلاعات دقیق و خاص از سیستم هدف دارد.
حملات بر روی سیستم های SCADA
حمله مشابهی می تواند بر روی سیستم ها انجام شود که در آن “تنظیماتی” وجود دارد که از سیستم فایل های کامپیوتری مرکزی خوانده می شوند و به پارامترها و دستوراتی تبدیل می شوند و سپس به RTU های فیلد فرستاده می شوند. در دنیای لوازم الکتریکی این ممکن است مقادیر تعیین شده برای تنظیم ولتاژ یا دستورات برای پوشش دار کردن بانک ها باشد. در صنعت آب ممکن است مقادیر سطح و فشار باشد که در طول نوسانات روزانه متغیر است. اگر این جداول تغییر داده شوند، نتایج شبیه به راه اندازی یک برنامه کاربردی مخرب خواهد بود.
یک کارمند با دسترسی به سیستم (و کلمه عبور) همچنین می تواند سرویس های سطح سیستم (مانند مدیر فایل) را اجرا کند که سیستم نرم افزاری را پاک می کند و سیستم را خاموش می کند. اگر آنها نتوانند اول نرم افزار یدکی سیستم را از بین ببرند، واحد یدکی بلافاصله کنترل را در دست می گیرد. اکثر سیستم های SCADA دارای سخت افزار “سگ دیده بان” می باشند که با این اقدامات فعال می شود، اما احتمالا پس از آنکه آسیب انجام شده است.
کارایی حملات بر روی سیستم های SCADA
کارآیی چنین حمله ای قطعی نیست و نسخه پشتیبان از سیستم به صورت محلی (و خارج از سایت) در مکان امن و محافظت شده باید وجود داشته باشد. در اکثر موارد یک سیستم ممکن است در حدود یک ساعت به عملکرد کامل بازگردانده شود، با این فرض که هیچ خسارت فیزیکی ایجاد نشده است (احتمالا این یک فرض امن نیست.) همچنین برای سیستم های بحرانی SCADA که توسط سیستم های بکاپ پشتیبانی می شوند و در مکان های جغرافیایی جایگزین قرار دارند، بیشتر شایع است. هر اقدامي که کل سيستم سيستم اصلي SCADA را خاموش مي کند (مانند زلزله، سيل، حمله تروريستي و يا حمله سايبري واقعا موثر) ، و باعث مي شود که سايت بکاپ کنترل را در دست بگیرد.
تهدید خارجی
به عنوان بخشی از تهدید “خارجی”، آنچه پیش از این مورد بحث قرار گرفته بود، پتانسیل برنامه ریزی مجدد RTU یا PLC با دسترسی به شبکه رای گیری / ارتباطی بود. یک اقدام مشابه می تواند به عنوان بخشی از یک حمله داخلی انجام شود. فایل های حاوی برنامه نویسی معتبر برای RTU ها و PLC ها می توانند توسط یک نرم افزار “بد” جایگزین شوند (نگاه کنید به شکل 5). این می تواند انجام شود و فایل ها بلافاصله دانلود می شوند و یا صرفا جایگزین نرم افزار معتبر در سیستم فایل می شوند، نرم افزار “بد” در نقطه ی بعدی دانلود می شود که در آن یک RTU یا PLC مجددا بارگیری می کند (معمولا این اتفاق رخ نمی دهد).
تاثیرات دانلود عمده ی فوری به چندین کنترل از راه دور
یک دانلود عمده ی فوری به چندین کنترل از راه دور می تواند تاثیر بسیار بیشتری داشته باشد. مهم است که به یاد داشته باشید که تمام RTU ها و پروتکل ها دانلود از راه دور از طریق کانال های مخابراتی را پشتیبانی نمی کنند (اما بسیاری از PLC ها انجام می دهند!) در صنعت خطوط لوله نفت و گاز، معمول است که RTU ها حاوی مقدار مناسبی از کنترل توالی و منطق کنترل قانونی باشند. جایگزینی این منطق با منطق مخرب و یا صرفا دانلود تنظیمات خطرناک می تواند به تجهیزات و عملیات خط لوله آسیب ایجاد کند. باز هم این نوع حملات نیاز به دسترسی سطح بالا و میزان معقولی از دانش و تخصص سیستم دارد.
دیدگاهتان را بنویسید