Manuali di istruzione WinCC 7.2

Spesso ci à utile trovare i manuali di istruzione di WinCC e delle sue opzioni. Tramite il seguente link si accede alla raccolta completa di tutta la documentazione.

http://support.automation.siemens.com/WW/view/en/10805584/133300

Alcuni manuali sono disponibili anche in Italiano.

SIMATIC Diagnostics Tool 2013

image

Siemens ha rilasciato un aggiornamento dell’SDT.

Strumento molto utile per raccogliere informazioni di diagnostica e struttura della rete in modo veloce con pochi click.

Il programma è disponibile (FAQ 65976201) al seguente indirizzo:

http://support.automation.siemens.com/WW/view/en/65976201

La documentazione è disponibile in inglese.

TIA Portal documentazione

Siemens ha pubblicato una raccolta ordinata di informazioni importanti sul TIA Portal (FAQ 65601780).

La pagina pubblicata è un riferimento a tutte le risorse, update e documentazioni relative al TIA Portal.

Tutto è ora consultabile dal seguente indirizzo:

http://support.automation.siemens.com/WW/view/en/65601780

La pagina pubblicata per ora è solo in inglese.

Disabilitare combinazione di tasti Windows

Per blindare l’accesso a Windows da parte dell’operatore WinCC è utile seguire la seguente FAQ 332356:

http://support.automation.siemens.com/WW/view/en/332356

La FAQ contiene anche un interessante esempio su come rilevare le autorizzazioni attive in WinCC.

WinCC Professional su Dominio

Siemens ha pubblicato una interessante FAQ relativa all’installazione a all’utilizzo di WinCC professional V11 in ambiante di dominio Windows.

La FAQ 60605851 è raggiungibile al seguente indirizzo:

http://support.automation.siemens.com/WW/view/en/60605851

La documentazione è disponibile in Inglese

Login Logout con WinCC 11

In WinCC Runtime Professional V11 è possibile richiamare direttamente da una pagina il dialogo di login per eseguire il login o il logout di un utente.

La FAQ 55711283 di Siemens riporta l’esempio su come procedere.

http://support.automation.siemens.com/WW/view/en/55711283

Le informazioni sono disponibili anche in Italiano

Antivirus compatibili con TIA Portal

image

Non tutti gli antivirus sono dichiarati compatibili con il TIA Portal.

Siemens effettua periodicamente dei test e riporta nella FAQ 37571060 la compatibilità

Informazioni aggiornate qui:

http://support.automation.siemens.com/WW/view/en/37571060

Tutti gli altri antivirus non elencati, o non sono testati, o non sono compatibili. Se ne sconsiglia pertanto l’uso nei sistemi in produzione.

Creare Login e Logout in WinCC Professional 11

La FAQ 55711283 riporta un esempio su come creare un pulsante di Login e un pulsante di Logout in WinCC Professional 11

image

http://support.automation.siemens.com/WW/view/en/55711283

La documentazione è disponibile anche in Italiano

Remote Desktop e WinCC

image

Per collegarsi in remote Desktop ad un sistema con WinCC seguire le informazioni contenute nella FAQ 53095490

 

http://support.automation.siemens.com/WW/view/en/53095490

L’esempio e’ disponibile solo in Inglese

Vulnerabilità Automation Licence Manager

Siemens ha riscontrato un problema di vulnerabilità nel noto programma di gestione licenze.

La vulnerabilità puo’ causare anche il malfunzionamento delle licenze Siemens.

La descrizione nella FAQ 57252401

http://support.automation.siemens.com/WW/view/en/57252332

Le versioni aggiornate di ALM si possono trovare nella seguente FAQ 114358

http://support.automation.siemens.com/WW/view/en/114358

Le informazioni sono disponibili in Inglese

La security industriale nel mondo Siemens

Siemens mantiene aggiornata costantemente la FAQ 50203404 dove vengono riportate tutte le informazioni, i link e la documentazione relativa alla security industriale.

http://support.automation.siemens.com/WW/view/en/50203404

La documentazione è prevalentemente in Inglese

KB2467174, KB2467175, KB2465361 e KB2465367 e WinCC 11.0

FAQ relativa alle security patches di Microsoft KB2467174, KB2467175, KB2465361 e KB2465367 in WinCC, PCS 7 e WinCC Professional 11.0

http://support.automation.siemens.com/WW/view/en/50197324

Prestare attenzione sull’installazione di questi aggiornamenti Microsoft.

Worm Stuxnet e WinCC

Credo sia utile raccogliere le informazioni relative all’impatto che ha questo Worm che ha come obiettivo principale i sistemi SCADA basati su WinCC e PCS7.

Punto informatico riporta la notizia con le informazioni generali:

È Stuxnet il nuovo Conficker?

La documentazione ufficiale Siemens ha una apposita FAQ (ID:43876783) sull’argomento con le informazioni dettagliate e una prima patch:

SIMATIC WinCC / SIMATIC PCS 7: Information concerning Malware / Virus / Trojan

Nei forum ufficali Siemens si trova anche una discussionecon ulteriori informazioni:

Malware Affecting Siemens WinCC and PCS7 Products (Stuxnet)

Il bollettino di sicurezza Microsoft su questo argomento e’ il numero 2286198:

Vulnerability in Windows Shell Could Allow Remote Code Execution

La relativa KB2286198 ufficiale Microsoft riporta le informazioni ufficiali per la soluzione.

http://support.microsoft.com/kb/2286198

Se la verifica dei sistemi installati rileva la presenza del worm informare l’HotLine Siemens in modo che si possa tenere traccia della diffusione e della pericolosita’ della minaccia.

Microsoft Security Patches e SIMATIC WinCC

Aggiornata la lista delle patch di sicurezza Microsoft compatibili con WinCC

La lista e’ reperibile nella seguente FAQ di Siemens

http://support.automation.siemens.com/WW/view/it/18752994

Altre informazioni dettagliate nel sito Siemens

Security rischi e pericoli

Sappiamo benissimo che le macchine a controllo numerico sono una realtà da anni.
Tuttavia, se da una parte c’è un ovvio beneficio, dall’altra nascono problemi che prima non esistevano e che ora se ne ignora l’esistenza.

Per essere più chiari: un esempio di problema che può nascere è la Cyber Security.

E’ oramai noto che un PC possa essere violato per scopi di spionaggio industriale o per il semplice motivo di monitorare la navigazione WEB. Ora, visto e considerato che, la maggior parte dei supervisori lavorano su PC a stretto contatto con il WEB, la domanda è: siamo sicuri  che il nostro impianto sia al sicuro?

Bene: a questa domanda troverete qui parte della risposta, che vi dico subito essere NO!
In questo Blog, noi ci occupiamo di WinCC, e quindi abbiamo provveduto a fare dei test in laboratorio, provando più tipi di attacco per verificare la sicurezza del noto supervisore, sia in versione 6.x sia il Flexible.

Premetto alcune considerazioni: buon parte degli SCADA e così pure WinCC usano come PROTOCOLLI ModBus/TCP, ETHERNET/IP, DNP3 e OPC per comunicare con PLC, servizi di sistema o sw applicativi. Per ognuno di questi protocolli si potrebbe scrivere tutti i pregi e i difetti, ma son già stati affrontati in molti siti. Qui noi tratteremo solo le vulnerabilità e le falle sulla sicurezza.

Cominciamo con il sottolineare che in WinCC non viene usata:

  1. Nessuna Autenticazione
  2. Nessuna Firma
  3. Nessuna Cifratura

Un’altra vulnerabiltià è che le comunicazioni sono regolate da protocolli (alcuni documentati) da Siemens o da standard come l’OPC: questo per abbattere i costi e per una maggiore interoperabilità di prodotti.

WinCC mette a disposizione interfacce WEB: per la famiglia WinCC 6.x il WEB-Navigator.
Spesso queste utility sono usate con troppa leggerezza in quanto possono essere vittime di backdoor o accessi non autorizzati.
Oltre ad attacchi via OPC (nel caso sia attivato il server OPC), son possibili attacchi direttamente all’SQL Server Microsoft.
L’autenticazione è banale e si può accedere in remoto per modificare tutti i dati e le tabelle contenute nel database con query replicabili. Inoltre i server SQL sono raggiungibili facilmente grazie e dei tool per il WEB che attraverso dei semplici ping (ad sempio SQLPing) possono trovare nella rete il motore di database e accedere facilmente in quanto il metodo di autenticazione è sempre lo stesso !

La sicurezza viene di solito data dal sistema operativo del PC e dai software applicativi installati, nel nostro caso Windows, SQL  Server e applicazioni DCOM e OPC dipendenti. Ma come ben sapete tutti questi sw sono vulnerabili se non vengono in qualche modo protettti.

Riassumiamo qui alcuni punti che si dovrebbero tenere a mente quando si installa una rete PLC-SCADA:

  1. Il PC di gestione con lo SCADA sia possibilmente l’unico ad avere accesso al PLC
  2. Tenere il sistema operativo e lo SCADA aggiornato con i Service Pack e gli aggiornamenti che vengono rilasciati dalla casa madre
  3. Possibilmente il PC con lo SCADA sia facente parte di una rete diversa da quella aziendale collegata alla rete internet.
  4. Installare i migliori Firewall e Antivirus in commercio: nelle riviste specializzate vengono sempre stilate le classifiche dei migliori antivirus.
  5. Accertarsi che periodicamente venga fatta la manutenzione al PC, per controllare lo stato dei dischi, dell’ HW e dello stesso software . Sul sito della Siemens è disponibile una sezione per il download di tutte le nuove patch.
  6. La fase di organizzazione della security dovrebbe essere studiata all’inizio, ovvero nella fase di progettazione.
  7. E’ molto utile l’opzione per WinCC che attiva la ridondanza.

Inoltre il fattore umano ha la sua importanza. Spesso il PC di gestione viene usato come un semplice Personal computer.

Non è una novità che alcuni operatori utilizzano il computer di gestione per guardare DVD, giocare o effettuare altre attività che possono compromettere la stabilità e l’efficenza del sistema.

A questo punto ricordiamo una cosa, per ogni rischio VIRTUALE corrisponde un rischio REALE, spesso il rischio reale ha conseguenze e rischi ben più gravi di un PC mal funzionante.

Vale proprio la pena di rischiare?

(MB)