Herkese merhabalar. Bugün önceki konularımda biraz erken davrandığımı düşünerek bu konuyu açıyorum. Direkt SCADA'ların hacking yöntemlerinden önce "SCADA nedir"i anlatmam gerek galiba çünkü her açtığım konudan sonra birçok kişi neler yapılabileceğiyle ilgili sorular sordu ve anlattığım şeyler de havada kalmış anladığım kadarıyla.
SCADA Nedir ?
SCADA terimi "Supervisory Control And Data Acquisition" için bir kısaltmadır. Merkezi Denetleme Kontrol ve Veri Toplama" diye türkçeleştirilebilir. Peki ya bu sistemler neyi kontrol eder ve neyden veri toplar ? Kurulu olduğu endüstriyel otomasyon ağının tamamını kontrol eder ve veri toplar. Genelde ICS'ler ve OPC'ler ile arasındaki farklar merak edilir. ICS: Industrial Control Systems demektir ve SCADA sistemi de dahil tüm yönetim birimlerini kapsayan bir ifadedir. SCADA'lar genelde PLC'ler, alarm sistemleri gibi çok kritik şeylerin yönetiminde kullanılır, yani tüm sistemin kontrolü buradan geçtiği gibi büyük sistemlerde tercih edilir. SCADA bir görevler bütününü birlikte yöneten sistemlerdir. PLC'leri izler, verileri alır, bunları işler eğer sistemi kapatmak için bir sebep varsa bunu alarm birimlerine gönderir ve onlar da işlemi en minimum default ayarlarına çeker veya hata mesajı verir. Ve son olarak da bu PLC'lerin ve diğer tüm otomasyon ağına bağlı birimlerin grafiksel görüntüsünü yöneticiye verir. Aşağıda SCADA'lar hakkında temel şeyler listelenmiştir:
SCADA Sistemlerinin Başlıca Özellikleri
* Grafik Arayüz (HMI)
* İzleme Sistemi
* Alarm Sistemi
* Veri Toplama, Analiz ve Raporlama Sistemleridir.
SCADA üç temel bölümden oluşur;
* Uzak Uç Birim (Remote Terminal Unit (RTU) )
* İletişim Sistemi (OPC'ler bir örnektir)
* Kontrol Merkezi Sistemi (Ana Kontrol Merkezi AKM Master Terminal Unit MTU)
OPC Nedir ve Kritizasyonu:
OLE for Proccess Control ya da Open Platform Communications, endüstride veri haberleşmesi üzerine yayınlanan bir dizi standart ve şartnamenin adıdır. Bu şartname doğrultusunda OPC'ler geliştirilmiştir yani yazılı bir kural değil sistemin bir parçasıdır. Çok büyük tesislerde PLC'lerin, alarmların ve diğer tüm ürünlerin haberleşmesi çok zor olduğu için OPC sistemi geliştirilmiştir. OPC sistemi ile üreticiler ürünlerini veri iletişim standardı belirleyerek buna göre şekillendirmiştir. Ürünler arası bağlantı uyumsuzluğu böylece giderilmiştir. OPC'ler siber bir saldırıda çok kritik önem taşıyabilir çünkü SCADA'dan gelen komutlar önce bu OPC'ler ile karşılaşır (arada çok daha küçük birim bulunmakta, büyük ürünler üzerinden gidiyorum) o yüzden OPC'ye gelen komutu HMI üzerinden yanıltabilirseniz ya da gelmiş olan komut yerine OPC üzerinden PLC'lere bir komut verirseniz çok büyük felaketlere yol açabilirsiniz.
Birgün marka marka PLC'lere ve diğer ünitelerin çalışma mantıklarını, kullandıkları ağları ve bunlara yönelik saldırıları (modbus ve SIMATIC'lerin işleyişleri ve güvenlikleri birbirinden farklı olduğu için tek bir konu etrafında toplayamam, saldırı dinamikleri mesela modbus'larda köle-sahip dinamiğine dayanırken SIMATIC modellerinde bu yoktur.) teker teker işlemek isterim ancak sizlere şu anda SCADA'ları etkileyecek bir saldırının ana paradigmasını sunuyorum:
Mesela nükleer santraller erişilmez değildir kesinlikle, Teleperm XS ve Teleperm M isimli Siemens'in geliştirdiği (firewall içeriğine vs kadar haklarında detaylı bilgiye sahip olduğumuz) OPC'ler Avrupa'da Framatome (AREVA) işbirliğinde gerçekleşen Nükleer Tesislerde sıkça kullanılır ve bunlardan bir tane değil birkaç tane vardır. Schneider Electric'in geliştirdiği (modbus'u da üreten firmadır) TRICON alarm (SIS denilir bu birimlere) ve sistemi anında kapatma birimlerine de bağlanan bu OPC'lere TRICON'lar (TriStation 1131 gibi alternatif ürünler port:1502/UDP kullanır) için var olan Triton exploiti ile dolaylı olarak sızabilirsiniz. Bu kendi geliştirdiğim bir teori tabii ki. Ancak görebildiğiniz üzre basit bir işlemi bile etkilemek için kılı kırk yarmanız gerek ve SCADA'lar içerisinde "bak bu modbus ile yönetiliyor bu ise Siemens'in bir ürünü" demek kesinlikle yanlıştır, endüstriyel haberleşme dahilinde birçok birim bir arada kullanılır. Ve hatta her markanın ayrı ayrı sistemini anlatacğım gibi ayrıca Profibus ve Profinet ile modbus veya RTU haberleşmelerini de anlatacağım. Haberleşme dediğiniz şey sistem üzerinden, yöneticiler tarafından gelen komutun iletilmesi ve uygulanmasıdır. Bir de bilginize Triton exploiti ve diğer endüstriyel malware'lar zannettiğiniz gibi bir yapıya ve işleyişe sahip olmuyorlar, genelde bir worm yapısına (en meşhuru Stuxnet de bir worm'dur) sahip oldukları için (direkt exploit olarak çıkan hiçbir SCADA genelinde akıllı exploit benzeri bir şey yoktur, exploit kullanacaksanız her bir birime ayrı ayrı saldırmanız gerekir) internetten Triton2u bulup IP adresi girip saldırayım demekle olmuyor
Stuxnet anlatılmıştı sanırım forumda ancak detaylı bir konuda ben açmalıyım.
Bu yukarıda anlattığım her şey, saldırıda geçen tüm birimler SCADA'nın bir parçasıydı işte, yani direkt SCADA üreten bir firma yok, bunlar bir parça halinde değil ve direkt bu sistemlere yönelik tek bir exploit bulunmamakta. Yani bir SCADA hacklediğiniz zaman illaki HMI'ın o grafiksel arayüzünü görmek zorunda değilsiniz.
İnternette gördüğünüz SCADA resimleri genelde HMI Panel resimleri olacaktır. Yani "Human Manual Interface"ler, çünkü SCADA denilen şey tek bir birim değildir, sistemin bütünüdür ve bizler SCADA sistemini bilgisayarlarımız üzerinde kurulu bu "İnsan Etkileşimli Arayüz"ler sayesinde kontrol ederiz. Kafanızda çok basit bir şema canlandırabilirsiniz: Diyelim ki bir su tankının kapağını açmak istiyoruz. Bu tank bir PLC'ye yani Programmable Logic Controller'a bağlıdır, bu PLC'lerin kontrolü ise bir SCADA'ya ve beraberinde bir HMI'a bağlıdır. Yani tüm bir sistemi bir tabletten, bilgisayardan veya cep telefonundan bile izleyebilirsiniz. Ancak şu detayı vermem şart: SCADA'lar çok büyük sistemlerin yönetiminde kullanıldığı için (trafik kontrol, büyük tesisler, nükleer santraller vb.) içerisinde SCADA yönetimi bulunan bir tesise saldırmak bir siber terör suçu sayılabilir. Daha küçük tesisler daha minimal suçlar teşkil ederken bunlar sizin başınızı yakabilir.
Peki ya SCADA hacklemek dediğimiz şey nedir ? Aslında bizler SCADA hacklediğimiz zaman bu sistemin en kritik noktası olan ana PLC'ye saldırmış oluruz. Bu ana PLC'ye erişmek bir HMI üzerinden olabilir. Büyük sistemler HMI ve görüntüleme panelleri kullanırken daha küçük tesisler direkt (modbus'u örnek olarak alıyorum) PLC'nin kendisine bağlanıp işlem gerçekleştiriyorlar. Modbus ve bağlantıları ve hacklenmesini de detaylıca anlatacağım.
Bir SCADA her daim ağa bağlı mıdır ? Evet bağlıdır ancak bu ağ bir iç ağ olup dışarıdan gelecek TCP/IP bağlantılarına kapalı olabilir. İlerde nükleer santraller hakkında açacağım bir konu bunu çok detaylı açıklayacaktır. Ancak bu hiçbir SCADA bir TCP/IP ağına bağlı değildir demek değil elbette. Ve hatta en kritik portlardan biri olan VNC üzerinden işlem gerçekleştiriyorum ben genelde.
SCADA'ların ne olup olmadığını temel çalışma mantıklarını ve ne gibi diğer alt ICS birimlerine bağlandığını anlattığımı düşünüyorum. Son olarak bizler SCADA güvenliği dediğimizde anlamamız gereken şey ana PLC ve bunu yöneten HMI panelinin güvenliği olmalıdır. Bu sistemler korumasız kaldıkça bizim günlük yaşantımız bir kenara hayatımız dahi büyük bir tehdit altında kalıyor. Unutmayın ! Tüm nükleer santraller ve kimyasal tesisler bir ekrandan yönetiliyor ! Ve o gördüğünüz ekran SCADA...
SCADA Nedir ?
SCADA terimi "Supervisory Control And Data Acquisition" için bir kısaltmadır. Merkezi Denetleme Kontrol ve Veri Toplama" diye türkçeleştirilebilir. Peki ya bu sistemler neyi kontrol eder ve neyden veri toplar ? Kurulu olduğu endüstriyel otomasyon ağının tamamını kontrol eder ve veri toplar. Genelde ICS'ler ve OPC'ler ile arasındaki farklar merak edilir. ICS: Industrial Control Systems demektir ve SCADA sistemi de dahil tüm yönetim birimlerini kapsayan bir ifadedir. SCADA'lar genelde PLC'ler, alarm sistemleri gibi çok kritik şeylerin yönetiminde kullanılır, yani tüm sistemin kontrolü buradan geçtiği gibi büyük sistemlerde tercih edilir. SCADA bir görevler bütününü birlikte yöneten sistemlerdir. PLC'leri izler, verileri alır, bunları işler eğer sistemi kapatmak için bir sebep varsa bunu alarm birimlerine gönderir ve onlar da işlemi en minimum default ayarlarına çeker veya hata mesajı verir. Ve son olarak da bu PLC'lerin ve diğer tüm otomasyon ağına bağlı birimlerin grafiksel görüntüsünü yöneticiye verir. Aşağıda SCADA'lar hakkında temel şeyler listelenmiştir:
SCADA Sistemlerinin Başlıca Özellikleri
* Grafik Arayüz (HMI)
* İzleme Sistemi
* Alarm Sistemi
* Veri Toplama, Analiz ve Raporlama Sistemleridir.
SCADA üç temel bölümden oluşur;
* Uzak Uç Birim (Remote Terminal Unit (RTU) )
* İletişim Sistemi (OPC'ler bir örnektir)
* Kontrol Merkezi Sistemi (Ana Kontrol Merkezi AKM Master Terminal Unit MTU)
OPC Nedir ve Kritizasyonu:
OLE for Proccess Control ya da Open Platform Communications, endüstride veri haberleşmesi üzerine yayınlanan bir dizi standart ve şartnamenin adıdır. Bu şartname doğrultusunda OPC'ler geliştirilmiştir yani yazılı bir kural değil sistemin bir parçasıdır. Çok büyük tesislerde PLC'lerin, alarmların ve diğer tüm ürünlerin haberleşmesi çok zor olduğu için OPC sistemi geliştirilmiştir. OPC sistemi ile üreticiler ürünlerini veri iletişim standardı belirleyerek buna göre şekillendirmiştir. Ürünler arası bağlantı uyumsuzluğu böylece giderilmiştir. OPC'ler siber bir saldırıda çok kritik önem taşıyabilir çünkü SCADA'dan gelen komutlar önce bu OPC'ler ile karşılaşır (arada çok daha küçük birim bulunmakta, büyük ürünler üzerinden gidiyorum) o yüzden OPC'ye gelen komutu HMI üzerinden yanıltabilirseniz ya da gelmiş olan komut yerine OPC üzerinden PLC'lere bir komut verirseniz çok büyük felaketlere yol açabilirsiniz.
Birgün marka marka PLC'lere ve diğer ünitelerin çalışma mantıklarını, kullandıkları ağları ve bunlara yönelik saldırıları (modbus ve SIMATIC'lerin işleyişleri ve güvenlikleri birbirinden farklı olduğu için tek bir konu etrafında toplayamam, saldırı dinamikleri mesela modbus'larda köle-sahip dinamiğine dayanırken SIMATIC modellerinde bu yoktur.) teker teker işlemek isterim ancak sizlere şu anda SCADA'ları etkileyecek bir saldırının ana paradigmasını sunuyorum:
Mesela nükleer santraller erişilmez değildir kesinlikle, Teleperm XS ve Teleperm M isimli Siemens'in geliştirdiği (firewall içeriğine vs kadar haklarında detaylı bilgiye sahip olduğumuz) OPC'ler Avrupa'da Framatome (AREVA) işbirliğinde gerçekleşen Nükleer Tesislerde sıkça kullanılır ve bunlardan bir tane değil birkaç tane vardır. Schneider Electric'in geliştirdiği (modbus'u da üreten firmadır) TRICON alarm (SIS denilir bu birimlere) ve sistemi anında kapatma birimlerine de bağlanan bu OPC'lere TRICON'lar (TriStation 1131 gibi alternatif ürünler port:1502/UDP kullanır) için var olan Triton exploiti ile dolaylı olarak sızabilirsiniz. Bu kendi geliştirdiğim bir teori tabii ki. Ancak görebildiğiniz üzre basit bir işlemi bile etkilemek için kılı kırk yarmanız gerek ve SCADA'lar içerisinde "bak bu modbus ile yönetiliyor bu ise Siemens'in bir ürünü" demek kesinlikle yanlıştır, endüstriyel haberleşme dahilinde birçok birim bir arada kullanılır. Ve hatta her markanın ayrı ayrı sistemini anlatacğım gibi ayrıca Profibus ve Profinet ile modbus veya RTU haberleşmelerini de anlatacağım. Haberleşme dediğiniz şey sistem üzerinden, yöneticiler tarafından gelen komutun iletilmesi ve uygulanmasıdır. Bir de bilginize Triton exploiti ve diğer endüstriyel malware'lar zannettiğiniz gibi bir yapıya ve işleyişe sahip olmuyorlar, genelde bir worm yapısına (en meşhuru Stuxnet de bir worm'dur) sahip oldukları için (direkt exploit olarak çıkan hiçbir SCADA genelinde akıllı exploit benzeri bir şey yoktur, exploit kullanacaksanız her bir birime ayrı ayrı saldırmanız gerekir) internetten Triton2u bulup IP adresi girip saldırayım demekle olmuyor
Stuxnet anlatılmıştı sanırım forumda ancak detaylı bir konuda ben açmalıyım.Bu yukarıda anlattığım her şey, saldırıda geçen tüm birimler SCADA'nın bir parçasıydı işte, yani direkt SCADA üreten bir firma yok, bunlar bir parça halinde değil ve direkt bu sistemlere yönelik tek bir exploit bulunmamakta. Yani bir SCADA hacklediğiniz zaman illaki HMI'ın o grafiksel arayüzünü görmek zorunda değilsiniz.
İnternette gördüğünüz SCADA resimleri genelde HMI Panel resimleri olacaktır. Yani "Human Manual Interface"ler, çünkü SCADA denilen şey tek bir birim değildir, sistemin bütünüdür ve bizler SCADA sistemini bilgisayarlarımız üzerinde kurulu bu "İnsan Etkileşimli Arayüz"ler sayesinde kontrol ederiz. Kafanızda çok basit bir şema canlandırabilirsiniz: Diyelim ki bir su tankının kapağını açmak istiyoruz. Bu tank bir PLC'ye yani Programmable Logic Controller'a bağlıdır, bu PLC'lerin kontrolü ise bir SCADA'ya ve beraberinde bir HMI'a bağlıdır. Yani tüm bir sistemi bir tabletten, bilgisayardan veya cep telefonundan bile izleyebilirsiniz. Ancak şu detayı vermem şart: SCADA'lar çok büyük sistemlerin yönetiminde kullanıldığı için (trafik kontrol, büyük tesisler, nükleer santraller vb.) içerisinde SCADA yönetimi bulunan bir tesise saldırmak bir siber terör suçu sayılabilir. Daha küçük tesisler daha minimal suçlar teşkil ederken bunlar sizin başınızı yakabilir.
Peki ya SCADA hacklemek dediğimiz şey nedir ? Aslında bizler SCADA hacklediğimiz zaman bu sistemin en kritik noktası olan ana PLC'ye saldırmış oluruz. Bu ana PLC'ye erişmek bir HMI üzerinden olabilir. Büyük sistemler HMI ve görüntüleme panelleri kullanırken daha küçük tesisler direkt (modbus'u örnek olarak alıyorum) PLC'nin kendisine bağlanıp işlem gerçekleştiriyorlar. Modbus ve bağlantıları ve hacklenmesini de detaylıca anlatacağım.
Bir SCADA her daim ağa bağlı mıdır ? Evet bağlıdır ancak bu ağ bir iç ağ olup dışarıdan gelecek TCP/IP bağlantılarına kapalı olabilir. İlerde nükleer santraller hakkında açacağım bir konu bunu çok detaylı açıklayacaktır. Ancak bu hiçbir SCADA bir TCP/IP ağına bağlı değildir demek değil elbette. Ve hatta en kritik portlardan biri olan VNC üzerinden işlem gerçekleştiriyorum ben genelde.
SCADA'ların ne olup olmadığını temel çalışma mantıklarını ve ne gibi diğer alt ICS birimlerine bağlandığını anlattığımı düşünüyorum. Son olarak bizler SCADA güvenliği dediğimizde anlamamız gereken şey ana PLC ve bunu yöneten HMI panelinin güvenliği olmalıdır. Bu sistemler korumasız kaldıkça bizim günlük yaşantımız bir kenara hayatımız dahi büyük bir tehdit altında kalıyor. Unutmayın ! Tüm nükleer santraller ve kimyasal tesisler bir ekrandan yönetiliyor ! Ve o gördüğünüz ekran SCADA...
Son düzenleme:
