Security rischi e pericoli

Sappiamo benissimo che le macchine a controllo numerico sono una realtà da anni.
Tuttavia, se da una parte c’è un ovvio beneficio, dall’altra nascono problemi che prima non esistevano e che ora se ne ignora l’esistenza.

Per essere più chiari: un esempio di problema che può nascere è la Cyber Security.

E’ oramai noto che un PC possa essere violato per scopi di spionaggio industriale o per il semplice motivo di monitorare la navigazione WEB. Ora, visto e considerato che, la maggior parte dei supervisori lavorano su PC a stretto contatto con il WEB, la domanda è: siamo sicuri  che il nostro impianto sia al sicuro?

Bene: a questa domanda troverete qui parte della risposta, che vi dico subito essere NO!
In questo Blog, noi ci occupiamo di WinCC, e quindi abbiamo provveduto a fare dei test in laboratorio, provando più tipi di attacco per verificare la sicurezza del noto supervisore, sia in versione 6.x sia il Flexible.

Premetto alcune considerazioni: buon parte degli SCADA e così pure WinCC usano come PROTOCOLLI ModBus/TCP, ETHERNET/IP, DNP3 e OPC per comunicare con PLC, servizi di sistema o sw applicativi. Per ognuno di questi protocolli si potrebbe scrivere tutti i pregi e i difetti, ma son già stati affrontati in molti siti. Qui noi tratteremo solo le vulnerabilità e le falle sulla sicurezza.

Cominciamo con il sottolineare che in WinCC non viene usata:

1. Nessuna Autenticazione
2. Nessuna Firma
3. Nessuna Cifratura

Un’altra vulnerabiltià è che le comunicazioni sono regolate da protocolli (alcuni documentati) da Siemens o da standard come l’OPC: questo per abbattere i costi e per una maggiore interoperabilità di prodotti.

WinCC mette a disposizione interfacce WEB: per la famiglia WinCC 6.x il WEB-Navigator.
Spesso queste utility sono usate con troppa leggerezza in quanto possono essere vittime di backdoor o accessi non autorizzati.
Oltre ad attacchi via OPC (nel caso sia attivato il server OPC), son possibili attacchi direttamente all’SQL Server Microsoft.
L’autenticazione è banale e si può accedere in remoto per modificare tutti i dati e le tabelle contenute nel database con query replicabili. Inoltre i server SQL sono raggiungibili facilmente grazie e dei tool per il WEB che attraverso dei semplici ping (ad sempio SQLPing) possono trovare nella rete il motore di database e accedere facilmente in quanto il metodo di autenticazione è sempre lo stesso !

La sicurezza viene di solito data dal sistema operativo del PC e dai software applicativi installati, nel nostro caso Windows, SQL  Server e applicazioni DCOM e OPC dipendenti. Ma come ben sapete tutti questi sw sono vulnerabili se non vengono in qualche modo protettti.

Riassumiamo qui alcuni punti che si dovrebbero tenere a mente quando si installa una rete PLC-SCADA:

1. Il PC di gestione con lo SCADA sia possibilmente l’unico ad avere accesso al PLC
2. Tenere il sistema operativo e lo SCADA aggiornato con i Service Pack e gli aggiornamenti che vengono rilasciati dalla casa madre
3. Possibilmente il PC con lo SCADA sia facente parte di una rete diversa da quella aziendale collegata alla rete internet.
4. Installare i migliori Firewall e Antivirus in commercio: nelle riviste specializzate vengono sempre stilate le classifiche dei migliori antivirus.
5. Accertarsi che periodicamente venga fatta la manutenzione al PC, per controllare lo stato dei dischi, dell’ HW e dello stesso software . Sul sito della Siemens è disponibile una sezione per il download di tutte le nuove patch.
6. La fase di organizzazione della security dovrebbe essere studiata all’inizio, ovvero nella fase di progettazione.
7. E’ molto utile l’opzione per WinCC che attiva la ridondanza.

Inoltre il fattore umano ha la sua importanza. Spesso il PC di gestione viene usato come un semplice Personal computer.

Non è una novità che alcuni operatori utilizzano il computer di gestione per guardare DVD, giocare o effettuare altre attività che possono compromettere la stabilità e l’efficenza del sistema.

A questo punto ricordiamo una cosa, per ogni rischio VIRTUALE corrisponde un rischio REALE, spesso il rischio reale ha conseguenze e rischi ben più gravi di un PC mal funzionante.

Vale proprio la pena di rischiare?

(MB)

Comments

• 
  

• Feed

  • RSS Articoli
  • RSS Commenti

• Blogroll

  • ) GNK Service & Resource
  • ) Siemens Italia HMI
  • ) Siemens Italia WinCC
  • - Siemens Centro di Competenza WinCC (in inglese)
  • - Siemens Supporto Tecnico
  • - Siemens WinCC (in inglese)
  • - Siemens WinCC Forum (in inglese)
  • Siemens Process News

• Servizi

  Sei un utilizzatore di WinCC o lo stai diventando ?

  E' probabile che alcuni dei servizi che offriamo è proprio quello che stavi cercando !

  Visita la nostra sezione Servizi costantemente aggiornata e non esitare a contattarci per informazioni.

• Informazioni su ...

  WinCC.it non è un sito ufficiale Siemens A&D e non ha la pretesa di sostituirsi al supporto fornito dalla casa madre. Il nostro scopo è di fornire informazioni utili anche ad altri utilizzatori del prodotto. Se ritieni di poter produrre contenuti utili a questo blog non esitare a contattarci tramite la sezione Aiuto. Per ulteriori informazioni vedere la sezione Info.

• Richiedi consulenza...

  
  
  

• NewsLetter

  Loading ...

• Post Recenti

  • Worm Stuxnet e WinCC
  • KPI e OEE con SIMATIC WinCC DowntimeMonitor
  • Aggiornamento Forum WinCC.it
  • WorkShop avanzato WinCC a Padova
  • Progetto demo per WinCC 7.0 SP1
  • SP1 per WinCC powerrate 3.0
  • Toolbarbuttons dello UserArchive all’esterno dello OCX
  • HotFix 5 per WinCC 7.0 SP1
  • Edizione speciale WorkShop avanzato WinCC
  • Ricerca sostituisci in una stringa

• Categorie

  • Alarm Logging
  • BasicScript
  • Comunicati
  • Corsi
  • cScript
  • DataBase
  • Documentazione
  • Esempi WinCC
  • Graphics Designer
  • Riviste
  • Security
  • Text Libray
  • Tools

• Archivio

  • luglio 2010
  • giugno 2010
  • maggio 2010
  • aprile 2010
  • marzo 2010
  • febbraio 2010
  • gennaio 2010
  • novembre 2009
  • ottobre 2009
  • settembre 2009
  • luglio 2009
  • giugno 2009
  • maggio 2009
  • aprile 2009
  • marzo 2009
  • febbraio 2009
  • gennaio 2009
  • novembre 2008
  • ottobre 2008
  • settembre 2008
  • agosto 2008
  • luglio 2008
  • giugno 2008
  • maggio 2008
  • aprile 2008
  • marzo 2008
  • febbraio 2008

• TAG Cloud

  ADO archivi backup chiusura Comunicati Connectivity cScript DataBase DataMonitor dati disattivare download esempio FAQ Forum HMI Hotfix Manuale MultiClient oggetto opzioni Pack Patch PLC proprietà runtime SCADA script server Siemens A&D Siemens A&D Simatic Spegni Sponsor Text Libray Tool Trasparente UniClient visualizzare WebNavigator Wincc WinCC.IT WinCC Forum Windows WSH

  WP Cumulus Flash tag cloud by Roy Tanck requires Flash Player 9 or better.

• Admin

  • Collegati