Pull to refresh

Comments 12

Современные SCADA системы в целом решето. И если кто-то захочет их взломать, при наличии подключения производственной ЛС к интернету — её взломают. И даже без подключения — взломают, если заказчик достаточно обеспечен, пример — тот же stuxnet.

Вообще, ИМХО, сейчас всем производителям занятым в этом бизнесе, нужно крепко подумать не над внедрением всяческих фич, типа связь со SCADA через мобильник или веб-страницу, а о том как усилить безопасность собственных систем на всех уровнях.
Да что там ломать-то… большинство популярных «промышленных» протоколов даже не подразумевают никакой защиты и аутентификации. Тот же ModBus TCP например.
А если какой протокол и предусматривает авторизацию, то пароль передаётся в открытом виде. О чем и речь.
За что платят, то и получают! Обычно заказчики присылают не тз, а уг, сами не зная чего хотят. Ценники жмут, а сроку просто убивают. И кровь из носа надо уложится и сделать. Поэтому такие и казусы.
Да не в ТЗ дело. А в зоопарке устройств. Каждый производитель устройств думает, что он самый умный и хитрый, и делает свой собственный протокол обмена со своим чудо-устройством. А если так на вскидку посмотреть, то становится понятным, почему такое происходит: нет у нас единого, открытого, универсального, защищенного и безопасного промышленного протокола обмена, разве что OPC-UA, но производители как-то не спешат с его внедрением.
Ага, одних только «клонов» Modbus на десятки идет. Меня порадовал один терминал, который вроде как по документации использовал модбас, но в реале между адресом устройства и кодом функции был еще один байт =)

Каждая новая железка даже того же производителя, что уж там — новые сюрпризы. ABB, разобрались как читаются по SpaBUS осциллограммы? вот вам 600 серия, теперь все по-другому =) пользуйтесь, пожалуйста, только «Нашим ПО».

Поэтому они и делают «хитрые и свои» протоколы, потому что хотят чтобы завязывались на их продукты, чтобы нельзя было легко интегрироваться с решениями от конкуртентов, чтобы поддержка новых устройств и протоколов была НЕВЫГОДНА.

" единого защищенного и безопасного промышленного протокола обмена" а что с 61850 — MMS? защита есть, единый, поддерживается многими, но не всеми.
Позвольте заметить, что задача выполняется обычно на том ПО которое предоставляют поставщики оборудования. С их проприетарными протоколами, их ПО, их же методах в разработке. Конечный пользователь, создавая уг ТЗ, по умолчанию считает что ему поставят надёжное ПО от производителя с мировым именем, которое используется в том числе на АЭС. Поэтому всесильно доверяет бумажкам, сертификатам, и походами в сауну с менеджерами поставщиков за их счет. А в итоге оказывается, что самый-самый первое звено было ржавым решетом. И единственный выход хоть как-то обезопасить производственную ЛС, это отрубить её от связи с внешним миром. Исполнитель, которые разрабатывает SCADA по ТЗ заказчика уже ничего толком поделать не может. Разве что поменять стандартные пароли везде где можно, правда, это практически бессмысленно против тех кто замыслил ужасное.
+надо к нарисованной картине добавить обещание майкрософт затягивать все пароли и клавиатурный ввод пользователя в своё облако. Скоро у них на серверах накопится достаточно парольчиков, для того, чтобы порулить заводами…

При этом некоторые западные специалисты называют русских и китацев параноиками, потому что существуют документы, запрещающие соединение сетей некоторых заводов с глобальной сетью в любом виде…
Вы просканируте местный диапазон ип-адресов и увидите очень много интересных и совершенно открытых ресурсов — аля сеть «ОАО МОЛОЧНЫЙ ЗАВОД», в которой будет сервак 1С, все доки, вся отчётность, и это хорошо если на какой -нибудь папке будет хоть один пароль!

Поэтому нашим верзилам, только и надо запрещать соединения с нетом в любом виде!
Правильно, ли я вас понял, что вы не видите угрозы в подключении промышленных сетей к глобальной сети и обработке паролей и клавиатурного ввода в облаках производителей ОС?
Нет, я же написал, что единственное, что может обеспечить хоть какую-нибудь безопасность, это отключение пром. сетей от глобальной сети. И даже не потому, что кто-то там мониторит, а просто из-за беспечности тех, кто эту сеть поднимал.

За себя скажу, что писать что-то на проприетарном по, и свято веря, что разработчик этого по ничего туда не засунул — это детская наивность. Промышленный шпионаж существовал всегда. И если уже затейник поручил разработку, то либо на своих костылях это делать, пусть и криво, но по-доброму, либо брать отрытые исходники и тщательно все колупать. Благо, опенсорса сейчас хватает…
Удивительное исследование :) Вы сами не поняли, что вы исследовали и как оно устроено. Вы не поняли что нашли и как оно может (может ли?) повредить. Ну а так да, тема модная, почему бы не написать статейку)
Sign up to leave a comment.