ניו-טק מגזין | אוגוסט 2024 | המהדורה הדיגיטלית

MODBUS פקודת כיבוי. הבעיה בפרוטוקול היא שמדובר בפרוטוקול פשוט מאוד שנראה כך: D 9 9 A 00 00 13 00 05 01 פירוט הפקודה: ) Slave Address כתובת העבד ( :01 ■ קוד הפונקציה לכתיבה של פלט בודד :05 ■ ) Write Single Coil ( ,) Coil Address כתובת הפלט ( :13 00 ■ 20 במקרה זה פלט מספר (במקרה Coil הנתונים שיכתבו ל- :00 00 ■ ) OFF זה, כיבוי הפלט – לסיום ההודעה CRC ) Checksum ( : D 9 9 A ■ . 20 בכתובת Coil פקודה זו תכבה את ה נשאלת השאלה מדוע לא נתקבלה התראה בגין אירוע שכזה? ישנם מספר גורמים לכך: הבקשה נשלחה כבקשה לגיטימית לכל דבר. ■ היא נשלחה ממקור אמין – תחנת ■ . engineering ה- פעולת כיבוי היא פעולה לגיטימית. ■ לכן, קשה מאוד לאבחן תקלות או אירועים מסוג זה. ההמלצות הכלליות הן: הגבלת הגישה יישום בקרות גישה חזקות: ■ ולמכשירי ניטור. SPAN לפורטים של לבצע : SPAN ניטור תצורת פורטים של ■ סקירות ובדיקות קבועות של התצורות. שימוש במכשירי ניטור מאובטחים: ■ לוודא שמכשירים המחוברים לפורטים של . מוגנים SPAN חקר שקילת שיטות ניטור חלופיות: ■ רשת. TAPs אפשרויות כמו לחלק את הרשת יישום פילוח רשת: ■ למקטעים קטנים יותר. דרישה פעולות כיבוי: = הגבלה על ביצוע ■ להזדהות כפולה בעת ביצוע פעולות מסוג זה. קושי בזיהוי מתקפת הסייבר

מקור התקלה או התקיפה. כפי שתואר קודם לכן, ניטור מערכות מתבצע באמצעות שימוש PORT , והתעבורה מאותו ה- SPAN PORT ב מוזרמת אל המערכות השונות לניתוח ומתן התראות. במהלך החקירה ניתן היה להבחין בקיום ) בפרוטוקול PLC תקשורת בין בקר ( שונות. בבדיקה של IP לבין כתובות MODBUS תעבורה זו, התגלתה תופעה מעניינת: על כל שליחה של פקודת הדלקה של הבקר האחראי על הצ'ילרים, מיד נשלחה פקודת כיבוי. השאלה העיקרית שנשאלת היא האם מדובר בתקלה של אחד המהנדסים – הגדרה שגויה, תכנה שגויה, או עדכון שלא הצליח – או האם מדובר במתקפת סייבר? חקירה מעמיקה יותר גילתה כי אכן קיימת תכנה זדונית engineering work station על גבי מחשב ה- – המחשב שמשמש את המהנדסים לעדכן הגדרות או תכנה על גבי הבקר או המערכות . התכנה SCADA השונות הקשורות לרשת ה מאזינה לרשת וברגע שנשלחת פקודת להדלקה, מיד נשלחת פקודה זהה MODBUS לכיבוי. נראה על פי ההתנהגות כי זוהי תכנה זדונית שמטרתה למנוע הדלקה של מערכות הקירור. אופן הפעולה של תכנת התוקף תכנת התוקף נדרשת לבצע את השלבים הבאים: האזנה לתעבורת רשת באמצעות ממשק ■ הרשת MODBUS זיהוי חבילות ■ MODBUS של Write Coil זיהוי פקודת ■ OFF שליחת פקודת ■ בכל פעם שתשלח פקודת הדלקה, מיד תשלח חקירת האירוע: תקלה או מתקפת סייבר?

סיכום תחכום המתקפות, לצד נגישות לרכיבים שהיו בעבר יקרים וקשים להשגה, מאפשרים בניית מודלים של מערכות אמיתיות בעלות נמוכה. כך התוקפים בונים מודלי אימון שמגדילים את סיכויי הצלחת התקיפה. קיימות מספר "פרות קדושות" בתחום, וביניהן רגישות המערכות, מניעת השימוש SPAN PORT בפעולות אקטיביות והתלות ב- – שעליהן יש לשקול מחדש. של חברת CTO נמרוד לוריא הוא היזם וה- , המפתחת טכנולוגיות להגנת מערכות IO 01 ותשתיות קריטיות. IOT

35 l New-Tech Magazine