Selam arkadaşlar, bugün adını sıkça duymaya başladığımız Endüstriyel Kontrol Sistemler (EKS) üzerine bir kaç şey karalamak istedim. Bir önceki yazımda SCADA, RTU, PLC gibi kavramlara ufak bir giriş yapmıştım, bu yüzden bu yazım da daha çok testler esnasında karşılaştığım güvenlik sorunlarına değineceğim.
Tahmini 2010 yıllarına kadar EKS güvenlik kimsenin kafasında yoktu, bir sistem kurulmuştu ve bu sistem öyle böyle işliyordu. Hazır kurulu bir sistem var bu sistemi kurcalamaya ne gerek var dimi. İşte şans eseri 2010 yılına kadar yani dünyaca ünlü ilk EKS siber saldırısı olarak kabul edilen Stuxnet’i duyana kadar hep böyle ilerledik. Aslında bu saldırı tüm hedefleri Endüstriyel Kontrol Sistemlerine çevirdi. Sonrasında işte EKS için belli başlı prosedürler yayınlanmaya başladı ve artık EKS güvenlik üzerine ciddi çalışmalar başladı. Bu saldırılar ne yazık ki sadece Stuxnet ile bitmedi. 2015 yılında Kemuri su şirketinin EKS altyapısına izinsiz giriş yapan saldırganlar musluk suyunu arıtmak için kullanılan kimyasalların seviyelerini değiştirmişti. Aynı yıl içerisinde Ukrayna’da bir enerji şirketine yapılan siber saldırı sonucunda Ukrayna’nın yarısı elektriksiz kalmıştı. Daha dün Amerika’nın en büyük petrol boru hattına sahip olan Colonial Pipeline şirketi siber saldırıya uğradı ve faaliyetlerini geçici olarak durdurmak zorunda kaldı. Verilerinin şifrelendiğini ve geri almak için çalışmanın başladığını belirten bir açıklamada bulundular.
EKS sistemlerinde en çok karşılaştığımız durumları burada elimden geldiğince yazmaya çalışacağım. Bu yazı ufakta olsa checklist niteliğinde olacaktır.
Güncelleme Eksiklikleri
En sık karşılaştığımız problemlerden biri güncelleme eksiklikleridir. Konu üretim olunca haliyle kişisel bilgisayarlar gibi güncelleme atılamıyor. DC ile yönetilemediği için de otomatik kontrol edilemiyor ve internete de açık olmadıkları için güncellemeleri manuel yapmak gerekiyor. Aslında daha da önemlisi bu güncellemeleri atsak bile 3. parti kullanılan ürünlerin bu güncellemeleri desteklemiyor olmasıdır. Örneğin Windows 7 cihazı, Windows 8 upgrade ettiğinizde SCADA yazılımlarının problem çıkardığını görüyoruz. Daha da sıkıntısı ise üretici firma ile iletişime geçtiğinizde henüz bu işletim sistemini destekleyen yazılımının var olmadığı cevabını alıyoruz. Üretici firmalara bağımlı olduğumuz için bu probleme çözüm olarak sıkılaştırma ve IP kısıtlaması (IP Restrictions) uygulayabiliriz. Ek olarak eğer direkt olarak upgrade etmek istemiyorsanız Microsoft’un 2023 yılına kadar Windows 7 gibi işletim sistemlerine desteğini ücretli olarak devam ettirdiği bir hizmet var. Bu hizmetin adı Extended Security Updates yani kısaca ESU olarak geçmektedir. Bu düşünülebilir.
DHCP Protokolünün Aktif Bırakılması
Bunu da çoğu kurumda görebiliyoruz. Evet belki switch’ler kilitli kabinlerde veya odalarda olabilir fakat olmayanları da görebiliyoruz. Saldırgan cihazı direkt switch’e bağladığında DHCP aktif ise otomatik IP alarak sisteme dahil olabilir. Bunun için en güzel yöntem DHCP protokolünün devre dışı bırakılması ve ağa dahil edilen cihazların kontrol ediliyor olması olabilir.(Örneğin NAC vb. gibi)
Endüstriyel Kontrol Sistemlerinin İnternete Açık Olması
Aslında en kritik konulardan biridir. Bu yazıyı yazarken 2000 küsür EKS cihazının internete açık olduğunu görüyorum. (Bu daha derinlemesine bakılır ise arttırılabilir). SCADA gibi sistemlerin dışarıya açık olması direkt olarak hedef olması demektir. Bu yüzden bu sistemlerin internete çıkarılmaması ve izole ortamda bulunması gereklidir.
Birden Fazla Sistemi Wifi Üzerinden Haberleştirmek
Genelde sahası büyük olan üretim fabrikalarında bu görülüyor. Kablolama hem masraflı hem de iş yükü olarak fazla olmasından kaynaklı iki uzak sistemin haberleştirilebilmesi için Wifi yolu seçilebiliyor. Evet bu çözüm olarak mantıklı olabilir fakat güvenlik olarak pek mantıklı değildir malesef. Bazen kullanılan bu Wifi ağlarının parolasının basit seçildiğini ve WEP gibi basit şifreleme yöntemlerinin kullanıldığı görüyoruz. Fabrikaya yakın bir yere konumlanacak bir saldırgan bu Wifi ağlarına saldırı gerçekleştirebilir ve doğrudan sisteme dahil olma durumu söz konusu olabilir. Bu yüzden mümkünse sistemlerin Wifi değil kablolar üzerinden yapılması, mümkün değil ise Wifi ağlarının sıkılaştırma işlemlerinin yapılması burada kritik noktadır.
Parolaların Klavye veya Monitör Üzerine Yapıştırılması
Genel olarak en çok karşılaştığımız problemlerden biridir. Operatör arkadaşlar sürekli parolayı unutmasınlar yada birbirlerine sorup durmasınlar diye genel olarak böyle bir yol izleniyor. Bu yol ciddi problemlere sebep olabilir.
Operatör & Mühendis Bilgisayarlarının Aynı Hesaplar ile Kullanılması
Genel olarak bunu da çok görüyoruz. Operatör çalışanı mesai arkadaşına devrederken aktif olan oturumu da beraberinde devretmiş oluyor. Genel olarak SCADA yazılımlarında bunu görüyoruz. Bunun da aslında olması gerekeni her operatör ve mühendis arkadaşlara ayrı ayrı kullanıcıların verilmesidir.
Vlanlar Arası İzolasyonun Sağlanamaması
Bazı fabrikaların Çevre ve Şehircilik Bakanlığı’na bazı raporları iletmesi gerekiyor. Bunu bilmeyenler için biraz daha açabiliriz. Kısaca fabrikaların bacalarından bıraktıkları dumanın (atık vb. artık tam olarak ne deniyor ise) bir ölçüm cihazı ile ölçülmesi sonucunda bakanlığa raporlanma süreci diyebiliriz. Bu raporları ilettikleri bilgisayarları gözden kaçırıyorlar ve EKS tarafına direkt olarak erişim verebiliyorlar. Haliyle bu cihaz üzerinden içeriye giren saldırgan SCADA tarafına da geçiş yapabiliyor. Burada net olarak yapılması gereken şey bu veya buna benzer cihazların SCADA cihazlarından ayrı bir network içerisinde tutulması gereklidir.
Operatör & Mühendis Bilgisayarlarında Antivirüsün Yüklü Olmaması
Genel olarak en çok gördüğümüz şeylerden birisi de operatör ve mühendislik bilgisayarlarında AV’nin yüklü olmamasıdır. Sistemlere AV yükleyerek sistemlerin saldırılara karşı daha da dirençli olmasını sağlayabiliriz.
Toparlayacak olursak genel olarak dikkat edilmesi gereken unsurları burada sıralamaya çalıştım. Bunlar sadece ana başlıklar diyebiliriz, EKS güvenliği ne yazık ki bu kadarla bitmiyor. Bir sonraki yazımda görüşmek üzere
Güvenli günler