با سلام و عرض ارادت، با توجه به پیامهایی که بعضا برای بنده ارسال میشود، مبنی بر به اشتراک گذاشتن مطالب در شبکههای اجتماعی بومی، بنده تصمیم به ایجاد کانال در سایر شبکههای اجتماعی کردم. حال دوستانی که علاقمند هستند در سایر شبکههای اجتماعی با ما همراه باشند، با توجه به رویکرد خود میتوانند از طریق شبکههای اجتماعی که در زیر آورده شده است ما را همراهی کنند.
کانال سروش http://sapp.ir/ICSdefender
کانال آی گپ http://igap.net/icsdefender
کانال بیسفون http://bpn.im/icsdefender
کانال گپ https://gap.im/icsdefender
کانال آپارات http://www.aparat.com/icsdefender
توییتر http://twitter.com/ICS_defender
لینکدین http://www.linkedin.com/in/icsdefender
اینستاگرام http://www.instagram.com/icsdefender
ایتا https://eitaa.com/ICSdefender
تم تم https://tt.me/ICSdefender
http://www.icsdefender.ir/detail.html?i=Tml1UEJjQ3VkTDQ9
همانطور که مستحضرید زیرساختهای حساس و حیاتی عملیاتی که عموما صنعتی هستند، امروزه از تجهیزات سایبری برای کاهش هزینه نظارت در فرآیندهای صنعتی خود استفاده میکنند که این امر باعث رخنه آسیبپذیریهای شبکههای سایبری به زیرساختهای صنعتی میشود. اما مسئله مهم این است که مخاطرات مذکور تاثیر مستقیم بر سیستمهای صنعتی وارد میکنند که این مهم به خودی خود ممکن است صدمات جبرانناپذیری را وارد نماید. این ویدیو که شرکت SANS آن را تهیه کرده است، آناتومی یک حمله سایبری به زیرساختهای صنعنی را به نمایش میگذارد. برای مشاهده لطفا بر روی لینک بالا کلیک کنید.
#SANS #Cyber_Attack #ICS_Security #Video
@ICSdefender
آسیب پذیری نرم افزار Top Server
بررسی اجمالی آسیبپذیری
محققانی با نام های Adam Crain از شرکت Automatak و Chris Sistrunk از شرکت Mandiant آسیبپذیری resource exhaustion را در برنامه کاربردی Top Server از شرکت Software Toolbox شناسایی کرده است. در همین راستا شرکت Software Toolbox نسخه جدیدی از این محصول را به منظور کاهش آسیبپذیری گزارش شده، ارائه کرده است. این آسیبپذیری قابلیت بهرهبرداری از راه دور را دارد. مهاجمی که بتواند از این آسیبپذیری بهرهبرداری موفق داشته باشد، قادر خواهد بود که نرم افزار اپلیکیشن OPC Server را در سیستم قربانی crash کند. تاثیراتی که این آسیبپذیری برای سازمان ها ایجاد می کند، برای هر سازمان کاملا منحصر به فرد بوده و به صورت case study باید مورد مطالعه قرار گیرد. بررسی تاثیرات به معماری شبکه، محیط عملیاتی و محصولات بستگی دارد.
سابقه محصول آسیب پذیر
Software Toolbox یک شرکت آمریکایی می باشد دفتر اولیه آن در ماتیوز بوده است. اپلیکیشن TOP Server در نرم افزار های ارتباطی تجهیزات صنعتی برای ارتباط بین کاربران تجهیزات OPC و embedded، سیستم های یکپارچه و پردازش های اتوماسیون شده OEM استفاده می شود. محصول آسیب پذیر Top Server می باشد. این محصول، یک نرم افزار بر اساس Microsoft Windows بوده و که اتصال به DNP3 چندگانه از جمله HMI، RTU، PLC، سنسور ها و اندازه گیرنده ها را برقرار می کند. بر اساس گزارش شرکت Software Toolbox محصول آسیب پذیر (Top Server) به صورت جهانی در بخش هایی چون شیمیایی، تاسیسات تجاری، زیر ساخت های حساس، انرژی، غذا و کشاورزی، فناوری اطلاعات و سیتسم های آب و فاضلاب مورد استفاده واقع شده است.
محصولات آسیب پذیر
تمامی نسخه های نرم افزار Top Server از شرکت Software Toolbox تا قبل از نسخه 5.16
بهرهبرداری از آسیبپذیری
تشریح آسیبپذیری به شرح زیر می باشد.
UNCONTROLLED RESOURCE CONSUMPTION (RESOURCE EXHAUSTION)
یک تفسیر مبهم از پروتکل DNP3 به مهاجم اجازه می دهد که پاسخ خاصی به تعداد زیادی از ورودی ها به master در برخی اجرائیات بدهد. این موضوع نمی تواند به عنوان یک مشکل جهانی برای کاربران، فروشندگان و دست اندر کاران پروتکل DNP3 باشد، اما می تواند مشکل ساز باشد. شناسه CVE-2014-5425 به این آسیبپذیری اختصاص یافته است. این آسیبپذیری قابلیت بهرهبرداری از راه دور ار داشته و یک مهاجم با سطح توانایی پایین می تواند بهرهبرداری موفق از این آسیبپذیری داشته باشد.
توصیه نامه
به منظور کاهش آسیبپذیری گزارش شده، بهتر است حداقل مقدار تجهیزاتی که از راه دور در حال کار هستند را صفر در نظر نگیریم . حداقل میزان آن را عددی بالاتر از صفر تنظیم کنیم. این به این دلیلی است که زمانی که پیامی با طول داده صفر به master ارسال می شود، دستگاه پردازش خود را متوقف می کند. در همین راستا، بولتنی در مورد پروتکل DNP3 در آدرس زیر ارائه شده است.
https://www.dnp.org/DNP3Downloads/AN2013-004b%20Validation%20of%20Incoming%%20Data.pdf
همچنین شرکت Software Toolbox نیز نسخه بروز رسانی شده ای از محصول آسیب پذیر را در آدرس زیر ارائه کرده و به کاربران محصول آسیب پذیر تاکید کرده است که این نسخه بروز شده را دانلود و نصب کنند.
http://www.toolboxopc.com/html/support.asp
در صورت نیاز به مطالعه توصیه نامه برای مرتفع نمودن مشکلات اینچنینی به لینک زیر مراجعن کنید.
#آسیبپذیری #top_server
@ICSdefender
بدافزار ODINI دور زدن محیطهای Air-Gap و قفس فارادی از طریق زمینههای مغناطیسی
برخی از رایانهها و یا سیستمها و یا سرورهای بخصوص بدلیل داشتن اطلاعات و دادههای حساس در محیطهای Air-Gap و یا در قفس فارادی نگهداری میشوند. محیطهای Air-Gap ارتباط دستگاه مذکور را با دنیای بیرون از نظر منطقی و فیزیکی از بین میبرد و البته قفس فارادی پا را فراتر گذاشته و امکان نشت سیگنالهای الکترومغناطیسی ناشی از قطعات مختلف کامپیوتر را نیز غیر ممکن میکند. میتوان گفت استفاده از محیط Air-Gap به همراه قفس فارادی یک سپر امنیتی مناسب را برای سیستم ایجاد میکند.
برای نشت اطلاعات از کامپیوترهای بسیار امن که بوسیله محیط Air-Gap به همراه قفس فارادی پوشش داده شدند، بهرهبرداری از میدان مغناطیسی ایجاد شده توسط CPU بر خلاف روشهای گذشته یعنی تابش الکترومغناطیس میباشد. از آنجا که CPU یک بخش ضروری از هر رایانه است، این کانال پنهان تقریبا هر وسیله ای را که با پردازنده مربوط می شود مانند: رایانه های رومیزی، سرورها، لپ تاپ ها، سیستم های جاسازی شده و اینترنت اشیاء (IoT) را پوشش میدهد. این روش یک بدافزار به نام ODINI را معرفی میکند که میتواند میدانهای مغناطیسی با فرکانس پایین که از خود سیستم آلوده توسط تنظیم کننده بار هسته CPU کنترل می شود، کنترل کند. دادههای دلخواه را میتوان از طریق انتشار مغناطیسی پردازنده و دریافت آنها توسط یک گیرنده مغناطیسی (bug) که در نزدیکی قرار گرفته است انتقال داد. همچنین در این روش نشان داده شده است که کد مخرب نیازمندی های خاصی (root) ندارد و می تواند از داخل ماشین مجازی (VM) نیز کارایی داشته باشد. در صورتی که نیازمند مطالعه بیشتر در این زمینه هستید میتوانید با مراجعه به لینک زیر ویدیوی مربوطه را مشاهده کنید و سند آن را نیز دانلود کنید.
#vulnerability #ODINI #Air_Gap
@ICSdefender
سخنرانی دکتر Marlene Ladendorff در کنفرانس امنیت سیستمهای کنترل صنعتی سنگاپور در رابطه با امنیت سایبری در راکتورهای هستهای.
#ICSCCS18
@ICSdefender
به گفته Richard Bussiere از شرکت Tenable Security بررسی دیداری یا بازرسی حضوری، اولین مسئله ای است که متخصصین ICS Security، برای امنسازی زیرساختهای صنعتی به آن احتیاج دارند.
#ICSCCS18 #ICS_Security
@ICSdefender
finally, after a heart surgery & recovering period; mehrsam come back to home.
thanks for praying
@ICSdefender
نفوذ به محیط Air-Gap بوسیله بدافزار GSMem
نفوذ به شبکههای Air-Gap که از شبکههای عمومی جدا شدهاند و با آنها هیچ ارتباط منطقی و فیزیکی ندارند هنوز چالشهای زیادی را در بین متخصصین و صاحبنظران ایجاد کرده است. در این روش سیستمی که در محیط Air-Gap قرار دارد مطمئنا نرمافزارهایی را در سیستمعامل خود دارد که با آلوده کردن این نرمافزارها به بدافزار GSMem میتوان دادهها را از طریق سیگنالهای الکترومغناطیسی در فرکانسهای سلولی رسانههای متصل به سیستم به یک تلفن همراه ارسال نمود.
بخشی از بدافزار مذکور در سیستم هدف و بخشی دیگر در سیستم مبدا پیادهسازی میشود تا از طریق آن بتوان ارتباطی تک سویه را بین این دو بوجود آورد. اگر گیرنده یک موبایل معمولی باشد فاصلهای بین یک مترونیم تا پنج متر را پوشش میدهد که با اتصال گیرنده اختصاصی میتوان فاصله نقل و انتقال داده را تا 30 متر نیز افزایش داد. در صورت نیاز به جزئیات بیشتر میتوانید فیلم و سند مربوطه را در لینک بعدی مشاهده و دانلود کنید.
#Air_Gap
#ICS_Attack
#GSMem
@ICSdefender
در صورت نیاز به جزئیات بیشتر میتوانید فیلم این حمله و سند مربوطه را در لینک زیر مشاهده و یا دانلود کنید.
http://www.icsdefender.ir/detail.html?i=bU53VVBSWWxkWDA9
#Air_gap
#GSMem
@ICSdefender
روش Funthenna (رادیویی و امواج الکترومغناطیس) برای نفوذ به شبکه Air-Gap
در این روش نیز از امواج رادیویی و الکترومغناطیس موجود در تمامی تجهیزاتی که کمی پیشرفته هستند میتوان استفاده کرد. به عنوان مثال، میتوان از ماژولهای داخلی که برای تامین انرژی قطعات روی برد یک PLC، پرینتر لیزری و یا یک کامپیوتر رومیزی و یا هرچیز دیگری استفاده نمود و با آلوده کردن آن توسط بدافزار بازه امواج را تغییر داد و با تقویت آنها دادههای مورد نظر را برای یک گیرنده خارج از محیط Air-Gap ارسال نمود. در واقع این روش به دلیل امکان استفاده از بسیاری از تجهیزات برای انتقال دادهها کاربرد خوبی میتواند داشته باشد.
برای دانلود سند تشریح این روش به لینک زیر مراجعه کنید:http://www.icsdefender.ir/detail.html?i=eHJ5OEthUWRnWGM9
#Funthenna
#Air_Gap
#ICS_Attack
@ICSdefender
سیستم های کنترل صنعتی و اسکادا - تست نفوذ PLC - بخش 1
http://www.aparat.com/v/HSXB0
@ICSdefender
نگرانی آمریکا از حملات سایبری ایران بعد از خروج از برجام:
در روز سه شنبه، دونالد ترامپ، رئیس جمهور آمریکا، اعلام کرد که ایالات متحده از معاهده هسته ای ایران خارج خواهد شد و همچنین قول داده است تحریم های اقتصادی علیه ایران در جهت محدود کردن برنامه هسته ای ایران را باشدت بیشتری ادامه دهد.
محققان می گویند که بر اساس فعالیت های سایبری گذشته ایران، پیش بینی می شود که حمله سایبری گسترده ای از جانب ایران به احتمال زیاد وجود داشته باشد.
پریسیلا موریوچی، تحلیلگر پیشین NSA، در حال حاضر می گوید: "ما در ماههای گذشته به بررسی این موضوع می پردازیم که شرکت های آمریکایی در بخش های مالی، زیرساخت های حیاتی، بخش های نفت و انرژی، احتمالا از سوی نیروهای حمایت شده از سوی دولت ایران با حملات سایبری مخرب مواجه خواهند شد.
#Cyber_Attack
#Nuclear
@ICSdefender
آسیب پذیری توربین های بادی Xzeres
بررسی اجمالی آسیب پذیری
سیستم عامل 442SR هر دوی شیوههای POST و GET برای ورود داده را پشتیبانی میکند. با استفاده از شیوهی GET، مهاجم میتواند شناسهی کاربری و گذرواژهی دستگاه را از طریق مرورگر وب به دست آورده و یا گذرواژهی مربوط به شناسهی کاربری پیشفرض را تغییر دهد. شناسهی کاربری پیشفرض این دستگاه، سطح دسترسی مدیریتی دارد.
سابقه محصول آسیب پذیر
به گفتهی این شرکت، توربین مورد نظر «در سراسر بخش انرژی» جهان استفاده شده است. این مدل بخشی از توربینهای مقیاس کوچک شرکت XZERES است.
محصولات آسیب پذیر
توربینهای بادی مدل 442 SR شرکت XZERES
بهره برداری از آسیب پذیری
سیستم عامل 442SR هر دوی شیوههای POST و GET برای ورود داده را پشتیبانی میکند. با استفاده از شیوهی GET، مهاجم میتواند شناسهی کاربری و گذرواژهی دستگاه را از طریق مرورگر وب به دست آورده و یا گذرواژهی مربوط به شناسهی کاربری پیشفرض را تغییر دهد. شناسهی کاربری پیشفرض این دستگاه، سطح دسترسی مدیریتی دارد. علاوه بر این، ایجاد کد مخرب جهت سوءاستفاده از این آسیبپذیری ساده است؛ اگرچه کد از پیش آمادهای جهت این کار وجود ندارد، اما با اندکی دستکاری در کدهای دیگر، میتوان از آنها برای اینکار بهره برد.
توصیه نامه
در ادامه به منظور برقراری امنیت بیشتر در زیرساخت صنعتی، پیشنهاد میشود که اقدامات زیر انجام شود:
۱. بازرسی امنیت فیزیکی، پیرامونی و محیطی
۲. ارزیابی سیاستهای امنیتی اعمال شده که باعث میشود آسیبپذیریهای بالقوه کاهش پیدا کند
۳. تستنفوذ زیرساخت کنترل صنعتی
۴. وصله کردن آسیبپذیریها با توجه به گزارشهای تولید شده در سه بخش قبل
۵. امنسازی زیرساخت کنترل صنعتی با رویکرد دفاع در عمق
۶. استفاده از سنسور تشخیص نفوذ در بستر شبکه کنترل صنعتی
۷. استفاده از تجهیزات پیشگیرانه مانند Firewall و Data Diode
۸. پیادهسازی مرکز عملیات امنیت صنعتی/سایبری
۹. زمانی که اپراتورها نیاز به دسترسی از راه دور دارند، از VPN استفاده کنند (لازم به ذکر است که VPNها ممکن است آسیب پذیر باشند و باید به صورت پیوسته بروز شوند)
#Vulnerability
#ICS_Security
#Industrial_control_system
@ICSdefender
استفاده از روش Ultra Sonic برای نفوذ به شبکههای Air-Gap
این روش هم مانند روشهای Fansmitter و DiskFiltration از کانالهای صوتی برای نفوذ به سیستمی که در محیط Air-Gap قرار دارد استفاده میکند. در واقع سیستمی که آلوده به بدافزار است با کنترل بدافزار و از طریق فرکانسهای پایین صوتی را ارسال میکند که سیستم گیرنده با مودلاسون نمودن آن میتواند دادههای ارسالی را بخواند و ذخیره کند. در این روش اسپیکر و یا بلندگوی سیستم به عنوان فرستنده و میکروفن دستگاه دوم به عنوان دریافت کننده دادهها را دریافت میکند. البته شایان ذکر است این روش اولین بار توسط محققین دانشگاه MIT معرفی شد. شایان ذکر است تصویر زیر مربوط به همین حمله میباشد.
#Air_Gap
#ICS_Attack
@ICSdefender
مقاله حملات پایدار و پیشرفته در زیرساختهای کنترل صنعتی(APT)
در این مقاله بنده چند بدافزار صنعنی را مورد بررسی قرار دادم و توضیح مختصری در مورد هر کدوم از آنها دادم و در نهایت با بررسی مفهوم Kill Chain نحوه شناسایی اونها را توضیح دادم. البته به اعتقاد بنده بررسی هر کدام از این بدافزارها به خودی خود نیاز به حداقل ۲۰ ساعت توضیح دارد.
این مقاله را میتوانید از طریق آدرس زیر مطالعه فرمایید.
http://www.icsdefender.ir/detail.html?i=YlJDdURLeDNNNGc9
@ICSdefender
مقاله حملات پایدار و پیشرفته در زیرساختهای کنترل صنعتی(APT)
http://www.icsdefender.ir/detail.html?i=YlJDdURLeDNNNGc9
#APT
#ICS_Security
#ICS_Attack
@ICSdefender
استفاده از دستگاه اسکنر و گیرنده لیزری در نفوذ به AirGap با روش ScanGate
در این روش با استفاده از یک پهپاد که یک دستگاه تصویربرداری لیزری بر روی آن نصب شده است، نفوذ پیاده سازی میشود. به این صورت که پهپاد به ساختمان مورد نظر نزدیک میشود، تمرکز بر روی اسکنر هدف و سپس منتظر بدافزاری برای راه اندازی اسکن میشود. بدافزار یک اسکن را راه اندازی می کند و دستگاه تصوریبرداری لیزری کدها را به عنوان دنباله نور دریافت میکند و پس از ذخیرهسازی آنها را مدلسازی و سپس کد برگردان میکند. ادامه این روش را در لینک زیر مطالعه کنید:
http://www.icsdefender.ir/detail.html?i=NWIvZFpiRWNhYVk9
#Air_Gap
#ICS_Security
@ICSdefender
برگزاری دورههای آموزشی در زمینه امنیت اسکادا با محتوای دورههای SANS اعم از اسلاید، کتاب، تمرینات و سیستمهای عامل های تمرینی.
http://www.icsdefender.ir/trainingcourse.html
#دوره_امنیت_اسکادا
@ICSdefender
یکی از خدماتی که مجموعه ICSdefender به زیرساختهای صنعتی اعم از زیرساختهای حساس، حیاتی و مهم ارائه میکند، ارزیابی سیاست های امنیتی در شبکههای صنعتی و سایبری آنها میباشد. این خدمت که با اتکا به استانداردهای روز دنیا در حوزه امنیت سیستمهای کنترل صنعتی و اسکادا و پایگاهی از سولات امنیتی توسط ابزار جامع ارزیابی سیاستهای امنیتی ICSdefender ارائه میشود، بهترین نتیجه را برای شناسایی مخاطرات و آسیبپذیریهای بالقوه و بالفعل برای زیرساختهای مذکور در کوتاه مدت به ارمغان خواهد آورد. ابزار جامع ارزیابی سیاستهای امنیت سایبری و صنعتی، دارای امکانات متعددی است که میتواند نحوه استفاده از این ابزار را برای کارشناسان حوزه امنیت اطلاعات تسهیل کند. برای کسب اطلاعات بیشتر به لینک تصویر زیر مراجعه کنید.
@ICSdefender
#ارزیابی
#ابزار_ارزیابی_سیاست_امنیت_صنعتی