واحد ترمینال راه دور (RTU)، یک دستگاه الکترونیکی تحت کنترل ریزپردازنده است که از طریق انتقال اطلاعات دورسنجی به یک سیستم مرکزی و با استفاده از پیام های سیستم نظارت مرکزی برای کنترل اشیای به هم متصل، رابط بین اشیا در دنیای فیزیکی و یک سیستم کنترلی توزیع شده یا سیستم SCADA می باشد.
RTU بر پارامترهای میدانی دیجیتال و آنالوگ نظارت کرده و داده ها را به ایستگاه نظارت مرکزی ارسال
می کند. RTU حاوی نرم افزار راه اندازی برای اتصال جریان های ورودی اطلاعات به جریان های خروجی اطلاعات، برای تعریف پروتکل های ارتباطی و عیب یابی مشکلات راه اندازی می باشد.
بسته های طراحی شده و خاص که به درگاه 2404/TCP ارسال شده، می تواند باعث شود فعالیت دستگاه تحت تأثیر، دچار نقص گردد. ممکن است راه اندازی در دمای محیط برای بازیابی سیستم مورد نیاز باشد.
آخرین سفت افزار ETA4 برای ماژول ارتباطی SM-2558 IEC 60870-5-140، یک آسیب پذیری را برطرف می سازد که می توانست به مهاجمان راه دور اجازه دهد حمله انکار سرویس را تحت شرایط خاصی اجرا کنند.
در سیستم عامل اندروید دسترسی مولفه ها و برنامه های عادی به منابع سیستمی محدود شده است و برای دسترسی به اینگونه منابع نیاز به سطح دسترسی SuperUser است. رسیدن به این سطح دسترسی با روش های خاصی امکان پذیر است ولی در صورتی که برنامه ای قابلیت دسترسی به این سطح را پیدا کند به دلیل اینکه به همه منابع سیستم دسترسی خواهد داشت بسیار خطرناک خواهد بود. همچنین به دلیل اینکه در سیستم عامل اندروید برنامه ها را می توان از منابع مختلفی بارگذاری نمود، امکان بارگذاری برنامه های آلوده ای که در فروشگاه های غیر معتبر وجود دارند زیاد است. این نرم افزار ها در نگاه اول نرم افزار های سالمی هستند که پس از نصب سعی در بدست آوردن سطح دسترسی بالا و ایجاد آلودگی و یا سرقت اطلاعات دارند.
درگذشته شاهد استفاده از سطح دسترسی SuperUser در تبلیغات درون برنامه هایی مانند Leech ، Guerilla، Ztogبوده ایم. این نوع استفاده از سطح دسترسی root، عادی نیست. با این حال برای حملات بدافزار های بانکداری، به دلیل اینکه پول را می توان به روش های دیگری که نیاز به سطح دسترسی خاصی ندارد، دزدید از این روش ها استفاده نمی شد.
در آغاز فوریه سال 2016، آزمایشگاه Kaspersky، یک تروجان بانکداری روی سیستم های اندروید تحت عنوان توردو Trojan banker (android os.tordow) پیدا کرد. نویسندگان این تروجان، استفاده از سطح دسترسی root را مفید می دانستند. به همین دلیل قابلیت های توردو بسیار بیشتر از سایر بدافزار های بانکداری می باشد و این موضوع می تواند باعث ایجاد حملات جدیدی از طرف مهاجمین شود.
دانلود پیوست
با وجود اینکه کلمه «Locky» جالب به نظر می رسد، در واقع یکی از متداول ترین گروه های باج افزار را نشان می دهد. با شناسایی شدن این باج افزار در اواسط فوریه 2016، همه گیر شدن رمزگذاری فایل، به اندازه ای پیچیده است که از رادار برخی ضد بدافزارها مخفی می ماند. به علاوه، سازندگان این باج افزار، در پیاده سازی رمزنگاری و استفاده از مکانیزم قفل اطلاعات که متخصصان امنیتی همچنان به دنبال راهکار دائمی برای آن هستند، بسیار تبحر دارند. درنهایت، این باج افزار نه تنها کاربران منحصر به فرد بلکه مؤسسات بهداشتی، شرکت های مخابراتی، دانشگاه ها و حتی دولت ها را مورد هدف قرار می دهد.
کمپین Locky به جای یک روند ایستا، یک فرآیند است. در طول فعالیت هشت ماهه خود، پنج شاخه مجزا از آن حاصل شده و احتمالاً چندین شاخه دیگر نیز در حال آماده سازی است. هر به روزرسانی جدید،
باج افزار را به دقت تنظیم می کند، به طوری که می تواند تلاش های رمزگشایی را مؤثرتر پاسخ دهد و فعالیت خود را برای گریز از شناسایی، مبهم کند. اکنون بررسی می گردد که چگونه این آسیب، طی زمان تکامل یافته است.
دانلود پیوست
با هزاران فایل جدید مخربی که هر روزه تولید می شوند، استفاده از راه های قدیمی مانند استفاده از آنتی ویروس ها راه دفاعی کافی در برابر حملات جدید محسوب نخواهد شد. Device Guard در ویندوز 10 نسخه سازمانی ، رویه سیستم عامل را از حالتی که در آن برنامه ها قابل اعتماد هستند (مگر اینکه توسط یک آنتی ویروس یا برنامه ی امنیتی دیگر جلوی کار آنها گرفته شود)، به حالتی که در آن سیستم عامل فقط به برنامه هایی اعتماد می کند که توسط خود شرکت مجاز شده باشند تغییر داده است. این برنامه ها با ایجاد سیاست های درستی کد، به عنوان برنامه های قابل اعتماد مشخص می شوند.
مکانیزم صحت کد دو قسمت دارد: حالت درستی کد در مد هسته و حالت درستی کد در مد کاربر. حالت هسته ی درستی کد در نسخه های قبلی ویندوز وجود داشته و هسته ی سیستم عامل را در برابر اجرا شدن درایور های شناخته نشده محافظت می کرد. در ویندوز ۱۰ و ویندوز سرور ۲۰۱۶ علاوه بر حالت هسته، حالت کاربر درستی کد هم برای محافظت در برابر ویروس ها و بد افزار ها اضافه شده است.
برای بیشتر کردن میزان امنیتی که سیاست های درستی کد ایجاد می کند، Device guard می تواند از قابلیت های پیشرفته ی سخت افزار ها برای محافظت بیشتر آنها استفاده کند. این قابلیت ها شامل شبیه سازی CPU (Intel VT و AMD-V) و ترجمه سطح دوم آدرس (SLAT) می شود. علاوه بر این سخت افزار هایی که دارای واحد های مدیریت ورودی و خروجی حافظه هستند، محافظت بیشتری را شامل می شوند. وقتی که قابلیت های پیشرفته سخت افزار را فعال سازی می کنید، سرویس درستی کد می تواند در کنار هسته ی ویندوز در یک حالت محافظتی اجرا شود.
دانلود پیوست
سیستم های کنترل صنعتی (ها ICS)، بخش اصلی زیرساخت های حیاتی هستند و به تسهیل فعالیت های صنایع حیاتی مانند برق، نفت و گاز، آب، حمل و نقل، تولیدات و تولیدات شیمیایی کمک می کنند. موضوع در حال گسترش امنیت سایبری و تأثیر آن برICS، خطرات اساسی برای زیرساخت حیاتی کشور را نشان
می دهد. مدیریت مؤثر مسائل امنیت سایبری ICS، نیازمند درک صریح چالش های کنونی امنیت و اقدامات متقابل دفاعی خاص است. یک راهکار جامع (راهکاری که از اقدامات متقابل خاص پیاده سازی شده در لایه ها جهت ایجاد وضعیت امنیتی جامع و مبتنی بر خطر استفاده میکند) به دفاع در مقابل تهدیدات و آسیب پذیری های امنیت سایبری که می تواند بر این سیستم ها تأثیر بگذارد، کمک می کند. این راهکار که غالبا به عنوان «دفاع در عمق » به آن اشاره می شود، چارچوب انعطاف پذیر و قابل استفاده ای را برای بهبود امنیت سایبری در زمان پیاده سازی در سیستم های کنترل، ارائه می کند.
دانلود پیوست
اجرای چندین ماشین مجازی روی یک کامپیوتر بجای سرورهای اختصاصی که هر کدام نیازمند نگهداری های دمایی و مراقبت های توان مصرفی است، مبحث متقاعدکننده ای است. گره های مجازی سازی شده که توسط یک سرور فیزیکی واحد تغذیه می شوند، صرفه اقتصادی مناسبی دارد. تأثیرات اقتصادی مجازی سازی می تواند به طرز جذابی قوی باشد. به استناد نظر سنجی انجام شده توسط Forrester در سال 2011، پیاده سازی زیرساخت های ماشین های مجازی 255% از ریسک تنظیم شده در مدل ROI در یک بازه ی 4 ساله را به همراه داشته است که حتی با یک بازدهی 17 ماهه بعد از گسترش نیز برابر است.
اکنون سؤال این است که چه تعداد از ماشین های مجازی را می توان با آن مشخصات سخت افزاری بدون تأثیر قابل توجه در کارایی آنها پیاده سازی کرد؟ این به عنوان نرخ تثبیت شناخته می شود و این در حقیقت بخش ماهرانه کار است. با بسیاری از فاکتورهای که باید در نظر گرفته شود. به عنوان مثال باید دید ماشین مجازی مورد نظر چه نوع کارهایی را باید بتواند انجام دهد؟ از چه نرم افزاری برای ساخت استفاده می شود؟ ریسک های موجود برای سرمایه گذاری تمام عیار روی این کار چیست؟ و چگونه مطمئنانه زیرساخت مجازی خود را باید امن نمود و بدون کاهش بسیار زیاد سرعت در کار، از عدم آسیب پذیری در مقابل مجرمان مجازی اطمینان حاصل کرد؟ برای انتخاب تصمیم درست، به فهمیدن چندین مقوله و چگونگی ارتباط کاری بین آنها نیاز است.
آسیبپذیری دور زدن احراز هویت و پایان یافتن منابع بر روی محصولات siprotec4 و siprotec compact شرکت زیمنس
شرکت زیمنس از انتشار نسخهی بروز رسانی سفت افزار برای دو محصول siprotec 4 و siprotec compact خبر داده است که به منظور کاهش آسیب پذیری های دور زدن احراز هویت و پایان یافتن منابع می باشد. این آسیب پذیری ها می توانند از راه دور مورد سوء استفاده قرار گیرند.
محصولات تحتتأثیر
طبق گزارش شرکت زیمنس، محصول زیر تحت تاثیر این آسیب پذیری قرار دارد:
تأثیرات آسیب پذیری
مهاجم، با سوء استفاده از این آسیب پذیری میتواند به قسمت مربوط به مدیر اپلیکیشن تحت وب وصل شود. مهاجمانی که به شبکه از طریق رابط وب (port80/tcp) متصل اند، میتوانند احراز هویت را دور بزنند و عملیاتی در سطح مدیر انجام دهند.
تاثیر این آسیب پذیری بر سازمان ها به فاکتورهای متعددی که برای هر سازمان منحصر به فرد هستند، بستگی دارد. NCCIC/ICS-CERT به سازمان ها توصیه می کند تاثیر این آسیب پذیری را بر اساس محیط عملیاتی، معماری و پیاده سازی محصول شان ارزیابی کنند.
اقدامات جهت کاهش شدت آسیبپذیری
شرکت زیمنس سفت افزار نسخه v4.29 را برای بروز رسانی ماژول EN100 در این دو محصول ارایه کرده است. همچنین برروز رسانی به اخرین نسخه را نیز توصیه کرده است.
ادرس محل دانلود نسخه های بروز برای این دو محصول در زیر امده است:
http://www.siemens.com/downloads/siprotec-4
http://www.siemens.com/downloads/siprotec-compact(link is external)
به عنوان یک اقدام امنیتی عمومی، شرکت زیمنس به حفظ شبکه از دسترسی دستگاه های خارجی و غیر محیطی به آن با مکانیزم های مناسب توصیه می کند.
مرکز ماهر جهت به حداقل رساندن خطر بهره برداری از این آسیبپذیری ها، به کاربران توصیه می کند تدابیر امنیتی در نظر گیرند. به طور خاص، کاربران باید:
مرکز ماهر یادآور می شود که سازمان ها قبل از اعمال تدابیر امنیتی، آنالیز مناسبی از تأثیر و ارزیابی خطر انجام دهند.
گزارش آماري از آسيب پذيري هاي محصولات شركت زيمنس
در سال 2014 و نيمه اول سال 2015
1 معرفي انواع آسيب پذيريها
1-1 آسيب پذيري انكار سرويس
آسيب پذيري انكار سرويس يا حمله DoS جهت ممانعت يا متوقف كردن كاركرد عادي يك وب سايت، سرور يا ساير منابع شبكه طراحي شده است. مبناي حملات DOS زير بار قرار دادن يك سرويس به شكلي كه ديگر قادر به پاسخگويي نباشد مي باشد و باعث اتلاف منابع و نهايتا از كار افتادن سيستم مي شود.
حملات انكار سرويس با هدف قرار دادن سرويسهاي گوناگون و در اشكال متنوعي ظاهر مي شوند، اما سه شيوه اصلي حمله وجود دارد كه عبارتند از:
مصرف كردن منابع نادر، محدود و غير قابل تجديد
از بين بردن يا تغيير دادن اطلاعات مربوط به پيكربندي سيستم
خرابي فيزيكي يا تبديل اجزاي شبكه
1-2 آسيب پذيري اجراي كد
آسيب پذيري اجراي كد به مهاجمان و نفوذگران اجازه تزريق كد و اجراي كد دلخواه بر روي محصول آسيب پذير را مي دهد.
1-3 آسيب پذيري سرريز
آسيب پذيري سرريز زماني رخ ميدهد كه حجم اطلاعات كپي شده به بافر يا پشته، بيشتر از ميزان مشخص شده براي آنها باشد. اين آسيب پذيري به مهاجمان راه دور اجازه اجراي كد دلخواه از طريق بردارهاي نامشخص را ميدهند.
1-4 آسيب پذيري تزريق كد
تزريق كد عبارتاست از سوء استفاده از باگهاي يك سامانه كه منجر به اجرايِ كدهاي ناخواسته در سامانه ميشود. مهاجم با استفاده از حملات تزريق ميتواند مسير برنامه را به سمتي كه ميخواهد تغيير دهد. يكي از موارد رايج براي حملههاي تزريق كد، اعتماد نابجاي توسعهدهندگان نرمافزارها به ورودي كاربران است كه در پي آن مهاجم با سوءاستفاده از اين موضوع كد خود را در كنار ورودي كاربر جاسازي ميكند.
حمله هاي XSS نوعي از تزريق كد هستند كه به وسيله ي آن اسكريپت هاي مخرب را درون يك وب سايت مورد اعتماد، تزريق مي كنند. حمله هاي XSS زماني اتفاق مي افتد كه هكر از يك برنامهي وب براي ارسال كدهاي مخرب خود كه عموماً در شكل اسكريپت هاي سمت مرورگر است به كاربر نهايي استفاده كند. رخنه هايي كه باعث ميشوند اين حمله موفقيت آميز باشد، بسيار شايع است و اين آسيب پذيري در هر برنامه ي تحت وبي كه از ورودي هاي كاربر در خروجي و بدون اعتبارسنجي يا كدگذاري استفاده مي كند، وجود دارد.
براي مطالعه كامل اين گزارش به پيوست مراجعه نماييد.
وضعيت امنيت در سيستمهاي كنترل امروزي
سيستمهاي كنترل صنعتي (ICS) يا نرمافزار و سختافزاري كه تجهيزات فيزيكي و فرايندهاي مربوط به زيرساختهاي حياتي مانند آب، نفت، گاز، انرژي، خدمات رفاهي و همچنين توليدات اتوماتيك، فرايند داروسازي و شبكههاي دفاعي را مديريت و كنترل ميكنند، به هدف بسيار جالبي براي افرادي كه قصد تخريب يا تهديد اين زيرساختها را براي مقاصد شخصي دارند، تبديل ميشوند. به سبب هزينههاي قابل توجه طراحي، توسعه و بهينهسازي سيستمهاي كنترل، افرادي كه بهخاطر منافع شخصي به دنبال كسب دادههاي تكنيكي هستند نيز اين سيستمها را مورد هدف قرار ميدهند.
موسسه SANS، نگرانيهاي كنوني مربوط به حملات در اين بخش را با ظهور استاكسنت تشخيص داد و توسعه فرايند امنيتي ICS را آغاز كرد كه گزينش رو به رشدي را در پيشنهادات آموزشي و تحقيق ساليانه درباره متخصصان شاغل يا فعال در سيستمهاي كنترل صعنتي شامل ميشود. از زمان اولين تحقيق امنيت ICS، وقايع نگرانكنندهاي را مشاهده كردهايم مانند حادثه كارخانه استيل آلماني در سال 2014 و بدافزارهاي هدفگيرنده ICS مانند Havex و Dragonfly.
در سال 2015، سومين تحقيق را روي امنيت ICS انجام داديم كه توسط 314 شركتكننده انجام شد. جوابهاي شركتكنندگان نشان ميدهد كه سازمانهايآنها در رابطه با اجراي اساسيترين عمليات ICS به نحو قابل اعتماد و ايمن، ابراز نگراني كردهاند. جوابهاي شركتكنندگان ترديد رو به رشدي را نيز نشان ميدهد كه آيا به سيستمهايشان بدون اطلاع آنها نفوذ شده است يا خير. همچنين نتايج حاصل از تحقيق، دادههاي صنعت ديگري را منعكس ميكند كه نشاندهنده مورد هدف قرار گرفتن مكرر سيستمهاي كنترل صنعتي، مخصوصا سيستمهاي توليد انرژي است. همچنين اين دادهها نشان ميدهند كه آن حملات هدفدار، با توجه به تعداد زياد رخنهها حاصل شدهاند.
براي دريافت كامل اين مستند به پيوست مراجعه نماييد.
پيوست شماره 1
گزارش آماري از آسيب پذيري هاي امنيتي سامانه هاي كنترل صنعتي برندهاي معروف دنيا در سال هاي اخير
تمدن مدرن تا حد زيادي به سيستم هاي اتوماسيون پردازش صنعتي ICS/SCADA وابسته هستند. تكنولوژي كامپيوتر در حال حاضر عمليات نيروگاه هاي هسته اي، نيروگاه هاي برق آبي (هيدروالكتريسيته) خطوط نفت و گاز و همچنين سيستم هاي حل و نقل در سطح ملي و جهاني را كنترل ميكند.
سود شركت ها و امنيت ملي، هر دو در اين سيستم هاي كنترلي به عمليات بدون خطر و قابل اعتماد بستگي دارد.
امنيت چنين سيستم هايي در سالهاي اخير، در پي يك سري از حوادث مربوط به ويروس هاي كامپيوتري خاص مانند Flame و Stuxnet ، به يك موضوع مهم تبديل شده است. اين حملات نشان مي دهند در صورتي كه امنيت اطلاعات ICS/SCADA/PLC در اولويت بالا قرار داده نشده باشد چگونه مهاجمان سايبري، شركت هاي رقيب يا سرويس هاي مخفي از كشورهاي ديگر، مي توانند به آساني از آنها سود ببرند.
حملات شبيه سازي شده و مدل سازي تهديد جزء ضروري از فرآيند استقرار براي سيستم هاي حياتي هستند. از آنجايي كه فهميدن اين موضوع كه مهاجم احتمالي ممكن است چه مهارتي داشته باشد و چه روش حمله اي را انتخاب مي كند امري مهم است، از حملات شبيه سازي شده و مدل سازي تهديدات استفاده ميشود. به منظور پاسخ به اين پرسش، كارشناسان Positive Research يك بررسي امنيتي كامل از سيستم هاي ICS/SCADA انجام داده اند. اين گزارش، جزئيات يافته هاي مطالعه آسيبپذيري هاي كشف شده در طي مدت سال 2005 تا اكتبر 2012 را بيان مي كند.
اين گزارش شامل 3 بخش مي باشد.
براي دريافت كامل اين مستند به پيوست مراجعه نماييد.
پيوست شماره 1