Selam arkadaşlar, şu sıralar endüstriyel kontrol sistemleri (EKS) üzerine güvenlik testleri yapmaktayım. Bu yazımda sizlere endüstriyel kontrol sistemleri nedir, niye bu kadar hedef halinde ve testler esnasında karşılaştığım bazı konuları ele alacağım.
Denetleyici kontrol ve veri toplama (SCADA), dağıtılmış kontrol sistemleri (DCS) ve programlanabilir mantık denetleyicileri (PLC) gibi farklı bilgi sistemleri ve teknolojilerinin tümüne endüstriyel kontrol sistemleri (EKS) denilmektedir.
SCADA: Denetleyici kontrol ve veri toplama anlamına gelmektedir. SCADA sistemleri, coğrafi olarak dağınık sistemleri kontrol etmek, merkezi veri toplama ve kontrol sistemlerinin çalışması için ihtiyaç duyulan kritik sistemlerdir. Su dağıtım ve atık su toplama sistemleri, kimya, kağıt, yiyecek, içecek, ilaç, petrol ve doğalgaz boru hatları, elektrik şebekeleri, demiryolu ulaşım sistemleri gibi dağıtım sistemlerinde kullanılırlar. SCADA sistemleri, verimliliği korumaya, daha iyi kararlar için verileri işlemeye ve kesinti süresinin azaltılmasına yardımcı oldukları için endüstriyel kuruluşlar için çok önemlidir. Temel SCADA mimarisi, programlanabilir mantık denetleyicileri (PLC) veya uzak terminal bileşenleri (RTU) ile başlar.
PLC: Elektrikli donanımlar (röleler, anahtarlar ve mekanik zamanlayıcı/sayaçlar) tarafından yürütülen mantık işlevlerini gerçekleştirmek için tasarlanmış küçük endüstriyel bilgisayardır.
RTU: Uzak SCADA istasyonlarını desteklemek için tasarlanmış özel amaçlı veri toplama ve kontrol birimidir. RTU’lar kablo/tel tabanlı iletişimin mümkün olmadığı durumları desteklemek için genellikle kablosuz radyo ara yüzleriyle donatılmış saha cihazlarıdır.
Endüstriyel kontrol sistemleri piyasaya ilk sürüldüğünde güvenlik o günler için çok ön planda tutulmamıştı. Güvenlik ön planda tutulmadığından, zamanla EKS’ler hedef haline dönüşmeye başladı. Saldırganlar güvenliği iyi olmayan bu sistemleri hedef alarak sistemlere zararlı yazılımlar bulaştırdı veya tespit edilen güvenlik açıkları ile sistemlere sızarak üretimlerin durmasına sebep oldular. 2010 yılında İran nükleer santrallerine yapılan StuxNet saldırısı ile endüstriyel kontrol sistemlerinin kritikliğinin daha çok farkına varmış olduk. EKS sistemlerine yapılan saldırılara örnek vermek gerekirse; 2015 yılında Kemuri su şirketinin EKS altyapısına izinsiz giriş yapan saldırganlar musluk suyunu arıtmak için kullanılan kimyasalların seviyelerini değiştirmişti. Aynı yıl içerisinde Ukrayna’da bir enerji şirketine yapılan siber saldırı sonucunda Ukrayna’nın yarısı elektriksiz kalmıştı.
EKS üzerine ilk güvenlik açıkları (2 adet) 1997 yılında yayınlanması ile başladı. O zamandan buyana güvenlik açıklarında ciddi bir artış görüldü. 2010 yılında toplamda 19 güvenlik açığı yayınlanmışken bu sayı 2015 yılında 189’a çıktı. Bu güvenlik açıklarının %49’u kritik, %42’si ise orta seviye, 25 tanesinin exploit (sömürü) kodu ise internette bulunabilmekteydi. Bu zafiyetlerin asıl kritik olan kısmı ise %15’inin düzeltilememiş/yama yayınlanamamış olmasıydı ve bu düzeltilememiş zafiyetlerin 14’ü ise yüksek seviyeliydi.
EKS güvenlik açıklarının sayısı 2018 yılında 2017’ye göre %30 arttı ve sayısı 257’ye çıktı. 2017 yılında güvenlik açıklarının çoğu HMI/SCADA sistemlerinde bulunmuştu, 2018’de ise güvenlik açıkları ağırlıklı olarak PLC/RTU ve endüstriyel ağ cihazlarında bulundu. Bu güvenlik açıklarının yarısından fazlası (%64) uzaktan kullanılabilmekteydi. Araştırmacılar 2018 yılında halka açık arama motorlarını kullanarak internete açık endüstriyel kontrol sistemlerini taradılar ve elde edilen veriler ise aşağıdaki gibidir:
| HTTP | 76.241 |
| Ethernet/IP | 49.156 |
| Fox | 35.805 |
| BACnet | 19.853 |
| SNMP | 7.336 |
| CODESYS | 3.414 |
| Modbus | 3.344 |
| FTP | 1.858 |
| FINS | 1.585 |
| PCWorx | 1.399 |
2019 yılında ise EKS güvenlik açıklarının sayısı 509’a yükseldi. 2018 yılına göre yüksek veya kritik güvenlik açıkları oranında ciddi artış olmuştur. 2019 yılında yayınlanan güvenlik açıklarında dikkat çekenler ise:
- Güvenlik açıklarının çoğu (420) kimlik doğrulama olmaksızın uzaktan çalıştırılabilir
- Güvenlik açıklarının çoğu (480) herhangi bir uzmanlık bilgisi veya ileri düzey bilgiye sahip olmayan saldırganlar tarafından istismar edilebilir
2019 yılında en fazla güvenlik açıkları tespit edilen sistemler aşağıda belirtilmiştir:
- SCADA/HMI bileşenleri (63, %12)
- DCS (56, %11)
- PLC (47, %9)
Endüstriyel kontrol sistemleri genel olarak izole edilmiş ağ içerisinde bulunur. Fakat artık ayrı izole edilmiş ağ EKS için yeterli güvenlik kontrolü olarak kabul edilemez. Zararlı yazılım bulaşmış diskler/USB bellekler veya kişisel akıllı telefonlar/modemler aracılığı ile EKS ağlarından internete yetkisiz bağlantılara ve içeride bulunan bir çalışana kadar olan her şey davetsiz misafirlere açıktır. Yukardaki internete açık endüstriyel kontrol sistemlerinin sayısı göz önüne alındığında yanlış yapılandırma veya başka işler için internete açılmış sistemler büyük risk oluşturmaktadır. Bazı IT veya operatör bilgisayarlarının (internete açık) doğrudan endüstriyel kontrol sistemlerinin bulunduğu ağa erişimi de risk olarak kabul edilebilmektedir. Testler esnasında gördüğümüz en kritik zafiyetlerden biri ise endüstriyel kontrol sistemlerinin desteği bitmiş işletim sistemleri üzerinde çalışıyor olmasıdır. Bu işletim sistemlerinin destekleri sona erdiği için güvenlik yamaları yayınlanmayacaktır ve bu yüzden sistemler savunmasız kalacaktır.
EKS Sızma Testleri
13 Temmuz 2017 yılında resmi gazetede EPDK tarafından yayınlanan Endüstriyel Kontrol Sistemleri Bilişim Güvenliği Yönetmeliği yürürlüğe girdi. Bu düzenleme kapsamında gerçekleştirilmesi istenen testler aşağıdaki başlıkları kapsamaktadır:
- EKS Ağının ve Mimari Yapının İncelenmesi Analizi
- EKS Yapılarında Görevli Personele Yönelik Sosyal Mühendislik Testleri
- EKS Ağında Zafiyet Tarama Analizi
- EKS Ağında Zararlı Yazılım Analizi
- EKS Kablosuz Ağ ve Bileşenleri Testleri
- EKS Ağında Sömürü Testleri
Sızma testinin amacı enerji sektöründe kullanılan endüstriyel kontrol sistemlerinde yetkisiz erişim elde edilmesine veya hassas bilgilere ulaşılmasına neden olabilecek güvenlik açıklarının sömürülmeden önce tespit edilip düzeltilmesinin sağlanmasıdır. Söz konusu üretim olduğundan endüstriyel kontrol sistemleri saldırganlar tarafından öncelikli olarak hedef seçilmektedir. Saldırganlardan önce güvenlik önlemlerinizi almazsanız verileriniz zararlı yazılımlar tarafından şifrelenebilir veya üretimin devam etmesi için sizden fidye talep edilebilir veya doğrudan üretiminizi durdurarak şirketinizi maddi zarara uğratabilir.
Sızma testi yaptırarak yukarıda bahsedilen zafiyetler ile saldırganların sisteme girmesinin ve endüstriyel kontrol sistemlerinizin sıkılaştırma işlemlerini gerçekleştirerek saldırıların önüne geçebilirsiniz.
Bir sonraki yazıda görüşmek üzere 🙂
Hocam öncelikle elinize sağlık yazıların hepsini okumayı düşünüyorum. Pentest ile uğraşıyorum. Pentest yaparken yapılması gerekenler veya önerilerim baştan sona neler yapılmalı? Gibi bir yazı gelirse çok mutlu olurum. Takipteyim hocam🙏