Endüstriyel kontrol sistemlerinde (EKS) organizasyonel tehditlerden sonra bugünkü yazımda Altyapı ve Teknoloji ile ilgili tehditleri ele alacağız. Altyapı ve Teknoloji alanındaki tehditleri 4 ana başlık altında toplayabiliriz.
1) Eskiyen Teknoloji Altyapıları
EKS bileşenleri uzun ömürlü olduğundan, işlem ve bellek kapasiteleri daha yeni EKS uygulamaları çalıştırmak için çok sınırlı kalabilir. Eskiyen teknolojilerde güvenlik kontrolü için gerekli olan işlemci gücü ve belleği gerektiren kriptografik güvenlik modüllerinin uygulanmasını ve etkinleştirilmesi mümkün olmayabilir. Ayrıca, birçok EKS bileşeni ve uygulama yazılımı, sadece sınırlı sayıda insanın EKS’lerin çalışma mantığını ve iç yüzünü anladığı bir çevrede geliştirilmiştir. Fabrika varsayılan şifreleri, donanım ve yazılıma derinlemesine gömülmüş durumdadır. Çoğu marka ve model de seçenek sunulmuş olsa bile fabrika varsayılan şifrelerini değiştirmek yaygın bir uygulama değildir.
EKS bileşenlerinin yaşlanması başka bir tehdit ortamını bize oluşturuyor: üreticilerin üretim desteğini kaldırması, üretilen ürünlerden zaman içerisinde vazgeçmesi ya da başka nedenlerle yedek parça tedarik edememesi durumu. Onarım mümkün olmadığında, EKS kontrollü süreçler normal olarak tekrar çalışmaya başlamadan önce çok zaman alabilir. Bu tür organizasyonların yönetimi, bir kontrolün gerçekleşmesi durumunda kontrollü süreçlerin manuel olarak kontrol edilmesinin bir alternatif olduğunu belirtilmektedir. İşgücünün süreçlerin otomasyonu nedeniyle manuel operasyonlardaki tüm pratik deneyimlerini yıllar önce azaldığı gerçeğini göz ardı ediyor gibi görünüyorlar.
EKS bileşenlerinin yaşlanması başka bir tehdit ortamını bize oluşturuyor: üreticilerin üretim desteğini kaldırması, üretilen ürünlerden zaman içerisinde vazgeçmesi ya da başka nedenlerle yedek parça tedarik edememesi durumu. Onarım mümkün olmadığında, EKS kontrollü süreçler normal olarak tekrar çalışmaya başlamadan önce çok zaman alabilir. Bu tür organizasyonların yönetimi, bir kontrolün gerçekleşmesi durumunda kontrollü süreçlerin manuel olarak kontrol edilmesinin bir alternatif olduğunu belirtilmektedir. İşgücünün süreçlerin otomasyonu nedeniyle manuel operasyonlardaki tüm pratik deneyimlerini yıllar önce azaldığı gerçeğini göz ardı ediyor gibi görünüyorlar.
2) Varsayılan Şifrelerle ve Güvenlik Seçenekleriyle Gelen Ürünler
Bir başka EKS tehdidi, bileşenlerin fabrika varsayılan şifreleriyle son kullanıcılara teslim edilmesidir. Genellikle güvenlik seçenekleri varsayılan olarak devre dışıdır. EKS alanındaki bileşenleri yüklemek bu nedenle kolaydır, ancak doğal olarak güvensizdir. Temel kural, yardımcı programların yüzde 30’unun bu işi yapmadığı, teknik olarak değiştiremeyeceği veya sözleşmeyle fabrika varsayılan şifrelerini değiştiremeyeceği yönündedir.
EKS üreticilerini ilk kurulum aşamasında zorunlu güvenlik prosedürlerini uygulamaya ve varsayılan şifrelerin değiştirilmeden kurulumların yapılmamasına ikna etmek zordur. Son zamanlarda, bazı EKS üreticileri ürünlerini kurulum sırasında parola değişikliği gerektiren bir varsayılan güvenli duruma sahip olacak şekilde değiştirmeye başladılar.
Çok önemli diğer bir tehdit, parolalar da dahil olmak üzere kimlik doğrulama bilgilerinin genellikle şifrelenmediği ve siber saldırganlar tarafından hafızada açık metinler halinde bulunabileceğidir. Bu tehdit setinin bir örneği, teknik klavuzlara sarılmış iyi bilinen bir üreticinin PLC’sidir. Bu tip klavuzlarda, bir matkap deliği şablonunu gösterir ve elektrik fişini ve bir UTP kablosunu nereye bağlayacağını gösterir. Bir CD ve bir çift sayfa kurulum kılavuzu, CD’nin, PLC’nin bağlı olduğu ağdaki bir PC’de başlatılması gerektiğini göstermektedir. Ağdaki çalıştırılabilir daha sonra PLC’yi keşfetmeye çalışır. Web tabanlı bir arayüz PLC’nin yapılandırılmasına yardımcı olur. Bu CD’de yeralan kılavuzun sadece son sayfalarındaki bir pdf, bir parolanın nasıl ayarlanacağını veya kaldırılacağını söylemektedir. Pek çok insan kılavuzları okumadığından, bu tip PLC’ler şifre koruması olmaksızın kurar ve doğrudan internete bağlar. Shodan aracını kullanarak saldırganlar, herhangi bir kimlik doğrulama koruması olmaksızın bu tür PLC’lere erişiyorlar.
EKS üreticilerini ilk kurulum aşamasında zorunlu güvenlik prosedürlerini uygulamaya ve varsayılan şifrelerin değiştirilmeden kurulumların yapılmamasına ikna etmek zordur. Son zamanlarda, bazı EKS üreticileri ürünlerini kurulum sırasında parola değişikliği gerektiren bir varsayılan güvenli duruma sahip olacak şekilde değiştirmeye başladılar.
Çok önemli diğer bir tehdit, parolalar da dahil olmak üzere kimlik doğrulama bilgilerinin genellikle şifrelenmediği ve siber saldırganlar tarafından hafızada açık metinler halinde bulunabileceğidir. Bu tehdit setinin bir örneği, teknik klavuzlara sarılmış iyi bilinen bir üreticinin PLC’sidir. Bu tip klavuzlarda, bir matkap deliği şablonunu gösterir ve elektrik fişini ve bir UTP kablosunu nereye bağlayacağını gösterir. Bir CD ve bir çift sayfa kurulum kılavuzu, CD’nin, PLC’nin bağlı olduğu ağdaki bir PC’de başlatılması gerektiğini göstermektedir. Ağdaki çalıştırılabilir daha sonra PLC’yi keşfetmeye çalışır. Web tabanlı bir arayüz PLC’nin yapılandırılmasına yardımcı olur. Bu CD’de yeralan kılavuzun sadece son sayfalarındaki bir pdf, bir parolanın nasıl ayarlanacağını veya kaldırılacağını söylemektedir. Pek çok insan kılavuzları okumadığından, bu tip PLC’ler şifre koruması olmaksızın kurar ve doğrudan internete bağlar. Shodan aracını kullanarak saldırganlar, herhangi bir kimlik doğrulama koruması olmaksızın bu tür PLC’lere erişiyorlar.
3) Varsayılan Ayarlarla Gelen Yeni Özellikler
1960’lı yıllarda, transistör kartı teknolojisine dayanan özel donanım olarak birçok EKS geliştirilmiştir. On yıl veya daha eski kurulumlar için yedek parçalar, daha modern teknolojiye dayanacak, ancak yine de saha uyumlu arayüzlere sahip olacağını düşünüyorum. Üreticiler, zaman içerisinde EKS sistemlerine yeni işlevler eklemiş olabilirler. Örneğin, PLC’ler günümüzde PLC’nin işlevselliğine ek olarak gömülü bir e-posta istemcisine ve SNMP aracına kullanıcı dostu bir erişim sunan bir çip üzerinde hizmet veren web sunucusu eklemiş olabilir. Saha’daki mühendisler yapılan bu değişikliği tanıyamayabilir. Arızalı bir bileşeni gecenin ortasında yenisiyle değiştirirler ve yeni işlevselliğe sahip bir ürünü sahaya kurmak durumunda kalabilirler. Yeni işlevsellik, bağlanacak ilk yetkisiz kişi için yapılandırılmamış durumdadır. Yeni işlevselliğin farkında olunmazsa ve gerekli güvenlik önlemleri alınmazsa saldırganlara davetiye çıkarmış olacaktır. Bu durum EKS sistemlerinde yeni bir tehdit oluşturacaktır.
4) Protokoller
EKS protokollerinin tehdidini tartışırken, EKS protokolü spesifikasyonundaki hataların düzeltilmesi ve protokol uygulamasındaki zayıflıklar arasında ayrım yapmamız gerekmektedir.
Protokol özellikleri ile ilgili olarak, EKS mimarileri ve tasarımları, güvenlikle ilgili bir güvenlik duruşunu, EKS teknolojisine ilişkin bilgi eksikliğini ve EKS’lere saldırmakla ilgilenen herhangi bir aktör olmadığını varsaymaktadır. Bu nedenle, EKS protokollerinin çeşitliliği protokol mesajlarının içeriğini korumaz, ortadaki adam saldırılarına (MITM) karşı koruma sağlamaz ve mantıksız bir protokol unsuru tespit edildiğinde ne yapılması gerektiğini uygulamaz. EKS protokollerin güvenlik analiz çalışmalarında, EKS protokollerinin siber saldırılara karşı güvenli ve dirençli olmadığını göstermiştir. Bu güvensiz EKS protokolleri, bilgisayar korsanları ve Trojan yazılımları tarafından kullanılan bir EKS tehdit vektörü oluşturur.
Temel protokol hataları ve zayıflıkların dışında,EKS protokolü uygulamaları güçlü yapılmamaktadır. Üreticilere ve sistem entegratörlerine göre, EKS’lerin son kullanıcıları çoğu kez yalnızca yeni EKS işlevleriyle ilgileniyorlar ve protokol uygulamalarının güvenliği ve güçlülüğüyle ilgilenmiyorlar. İnternet dünyası, ölüm pingi saldırısı (ping-of-death POD attack) ve DNS BIND zayıflıklarını zaman içerisinde öğrenmiştir.
TOCSSiC test standında yedi farklı üreticinin 25 EKS cihazında gerçekleştirdiği CERN2 testleri, hizmet reddi saldırısı yaşandığında EKS cihazlarının %32’sinin düştüğünü gösterdi. Teste tabi tutulan cihazlarının power-cycling özelliği ile yeniden başlatılması gerekiyordu. Nessus testlerinin %21’inde daha cihaz tarama sırasında düştü. Geri kalan %18’lik kısımda, Nessus önemli güvenlik açığı bildirdi. Örneğin, Modbus portu (502) tarandığında ve EKS ekipmanı üzerindeki çeşitli diğer protokollere beklenenden daha uzun bir giriş yapıldığında bir Modbus sunucusu çöktü ve EKS’nin ölüm pingine benzer şekilde çökmesine neden oldu. (Kaynak : https://accelconf.web.cern.ch/accelconf/ica05/proceedings/pdf/O5_008.pdf)
Protokol özellikleri ile ilgili olarak, EKS mimarileri ve tasarımları, güvenlikle ilgili bir güvenlik duruşunu, EKS teknolojisine ilişkin bilgi eksikliğini ve EKS’lere saldırmakla ilgilenen herhangi bir aktör olmadığını varsaymaktadır. Bu nedenle, EKS protokollerinin çeşitliliği protokol mesajlarının içeriğini korumaz, ortadaki adam saldırılarına (MITM) karşı koruma sağlamaz ve mantıksız bir protokol unsuru tespit edildiğinde ne yapılması gerektiğini uygulamaz. EKS protokollerin güvenlik analiz çalışmalarında, EKS protokollerinin siber saldırılara karşı güvenli ve dirençli olmadığını göstermiştir. Bu güvensiz EKS protokolleri, bilgisayar korsanları ve Trojan yazılımları tarafından kullanılan bir EKS tehdit vektörü oluşturur.
Temel protokol hataları ve zayıflıkların dışında,EKS protokolü uygulamaları güçlü yapılmamaktadır. Üreticilere ve sistem entegratörlerine göre, EKS’lerin son kullanıcıları çoğu kez yalnızca yeni EKS işlevleriyle ilgileniyorlar ve protokol uygulamalarının güvenliği ve güçlülüğüyle ilgilenmiyorlar. İnternet dünyası, ölüm pingi saldırısı (ping-of-death POD attack) ve DNS BIND zayıflıklarını zaman içerisinde öğrenmiştir.
TOCSSiC test standında yedi farklı üreticinin 25 EKS cihazında gerçekleştirdiği CERN2 testleri, hizmet reddi saldırısı yaşandığında EKS cihazlarının %32’sinin düştüğünü gösterdi. Teste tabi tutulan cihazlarının power-cycling özelliği ile yeniden başlatılması gerekiyordu. Nessus testlerinin %21’inde daha cihaz tarama sırasında düştü. Geri kalan %18’lik kısımda, Nessus önemli güvenlik açığı bildirdi. Örneğin, Modbus portu (502) tarandığında ve EKS ekipmanı üzerindeki çeşitli diğer protokollere beklenenden daha uzun bir giriş yapıldığında bir Modbus sunucusu çöktü ve EKS’nin ölüm pingine benzer şekilde çökmesine neden oldu. (Kaynak : https://accelconf.web.cern.ch/accelconf/ica05/proceedings/pdf/O5_008.pdf)
